「DoS」カテゴリーアーカイブ

WikipediaへのDDoS攻撃とSNSへ投稿された「IoTのテスト」についてまとめてみた

2019年9月6日頃、ウィキメディア財団はWikipediaがDDoS攻撃を受け、一部の地域で同サイトへつながりにくくなる接続障害が発生したと発表しました。Twitter上ではこの攻撃の関連を主張する投稿も行われていました(既にアカウント凍結済)。ここでは関連する情報をまとめます。

ウィキメディア財団の発表

wikimediafoundation.org

  • 接続障害の原因を悪意のある攻撃と表現し、発表が行われた時点で攻撃が進行中とした。
  • 複数の国からの接続が断続的に遮断される状況となった。

DDoS攻撃の状況とその対応

Wikipediaへ行われたDDoS攻撃やその対応について、ThousandEyesNetblocksが公開した記事をまとめると以下の通り。

約9時間の障害
  • 2019年9月7日 2時40分頃から約9時間にわたって世界各地のWikipediaのサイトで接続障害が発生した。
  • 最初に接続障害の影響が確認された主な地域はヨーロッパ、中東、アフリカ。(最初にアメリカで観測されたと報告もある。)
  • その30分後に米国、メキシコ、アルゼンチン、ブラジルでも断続的に影響が出始める。
  • ピークタイム(攻撃から約9時間後)にはインド、韓国、香港、マレーシア、オーストラリアでも影響が確認された。
  • 接続障害が発生していない地域でもHTTPレスポンスタイムに遅延が生じていた。
ネットワークレイヤを狙った攻撃か
  • 障害発生時、TCP層で接続に問題が生じていた。
  • WikipediaのIPアドレス周辺のNTTやTelia等のISPの複数のルーターでもパケット損失が認められた状況から、ネットワークレイヤのDDoS攻撃が行われた可能性を指摘。
Cloudflare導入の動き
  • 観測されていた範囲においては、攻撃直後からWikipedia 米国バージニア州のサイト(208.80.154.224)と外部のルーティングの間にCloudflareが挟まれるようになった。
  • オランダのサイトの経路も多くがCloudflareを経由した経路に変更されていた。

Wikipediaへの攻撃を主張する投稿

  • 障害が発生している同時間帯に同サイトに対し攻撃を行ったと主張する投稿が行われていた。

f:id:piyokango:20190912163212p:plain
攻撃を主張する投稿

  • 自身の投稿の真偽を確実とするために一時的に攻撃中止をする予告を行っていた。
  • Wikipediaへの攻撃に対し、選定した経路にAMS-IX、Equinix Chicagoの名前が上がっており、2つのIPアドレス(91.198.174.193208.80.153.224)が示されていた。AMS-IXが選ばれた理由は(恐らくWikipediaで利用されている)帯域が最大の20 Gだったからとしている。
  • 攻撃の目的を問われたところ金銭の要求をするものではなく新しいIoTを使ったテストをしているだけだと回答。
  • このテストに際し0dayは使っておらず、既知のPoCを用いた新しいデバイスだけによるものとしていた。
  • piyokangoが確認した限り、具体的なIoT製品への言及は確認できず。
  • TwicthやBlizzard CSへのDDoS攻撃にも言及がありBlizzardも被害を発表していた。

f:id:piyokango:20190912070231p:plain
テスト目的と回答

  • その翌日、投稿を行っていたTwitterアカウントが凍結されていた。プロフィールに記載のあったWebサイトdrillas.infoも停止されていた。

f:id:piyokango:20190912125621p:plain
何らかの理由でアカウントはSusptend済

  • ネット上ではDoxする動きがあり、英国のFacebookアカウントにリンクされていたことから関与を疑う声もあるが特定には至っていない。

更新履歴

  • 2019年9月13日 AM 新規作成

クラシックミニの波がPCにも。小型DOSゲーム機「PC Classic」正式発表、30種類以上のレトロゲームを収録予定

クラシックミニの波がPCにも。小型DOSゲーム機「PC Classic」正式発表、30種類以上のレトロゲームを収録予定

クラシックミニの波がPCにも。小型DOSゲーム機「PC Classic」正式発表、30種類以上のレトロゲームを収録予定

クラシックミニの波がPCにも。小型DOSゲーム機「PC Classic」正式発表、30種類以上のレトロゲームを収録予定 Unit-e Technologiesは小型DOSゲームコンソール「PC Classic」を発表した。11月後半から12月のあいだにクラウドファンディングで支援者を募り、2019年の春から夏に発売予定。価格は99ドル。本体色はオールドPC...

はてなブックマーク - クラシックミニの波がPCにも。小型DOSゲーム機「PC Classic」正式発表、30種類以上のレトロゲームを収録予定 はてなブックマークに追加

[インシデントまとめ][DoS] 仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた

2017年9月14日頃から国内の仮想通貨やFXを取り扱う複数のサイトでDDoS攻撃と見られる大量のアクセスを受けたことによる障害が発生したと発表しています。これら確認されているDoS攻撃が同一の攻撃元かどうかは不明です。

ここでは関連情報をまとめます。

No区分障害発生元障害発生日時復旧日時原因リリース等
1FXマネーパートナーズ9月14日9時10分頃9月14日13時10分DDoS攻撃【続報3】当社取引システム並びにホームページにおける動作確認のお知らせ
当社取引システム並びにホームページにおける動作確認のお知らせ
9月14・15日に発生したサイバー攻撃について
2FXDMM9月15日7時24分9月15日8時40分−(記載無し)ログインがしづらい事象について
【続報・復旧】ログインがしづらい事象について
3仮想通貨テックビューロ9月15日9時頃9月15日19時40分頃DDoS攻撃本日発生したアクセスしにくい現象に関するご報告
4FXFXトレード・フィナンシャル9月16日9時53分9月19日12時見込DDoS攻撃当社システムに対するDDoS攻撃について
5仮想通貨みんなのビットコイン9月18日8時頃9月18日21時頃DDoS攻撃ユーザーと見られるTweetその1Tweetその2
6FXヒロセ通商(1回目)9月18日10時15分9月18日11時28分DDoS攻撃本日発生しました障害について
7FXJFX9月18日10時15分9月18日11時28分DDoS攻撃本日発生しました障害について
8FXヒロセ通商(2回目)9月19日9時54分9月19日17時57分DDoS攻撃当社ホームページへのアクセスについて
9仮想通貨ビットフライヤー(1回目)9月20日17時46分9月20日22時50分(報道)DDoS攻撃Twitterでの報告
10FXデューカスコピー・ジャパン9月21日4時00分9月21日5時44分DDoS攻撃9月20日以降に発生したサイバー攻撃について
11FXコムテックス9月21日8時前9月22日0時頃決済代行業者へのDDoS攻撃Twitterでの報告
12FX外為どっとコム9月21日9時15分9月21日10時00分DDoS攻撃の可能性トップページ掲載(魚拓)
Twitterでの報告
13FX東洋証券9月21日9月21日10時00分DDoS攻撃ネット入金サービス障害のお知らせ
ネット入金サービス障害【復旧】のお知らせ
14FX上田ハーロー9月21日10時15分頃−(発表無し)DDoS攻撃の可能性9月21日、22日の弊社ホームページアクセス状況につきまして
15FXインヴァスト証券9月21日8時頃9月21日9時30分頃決済代行業者へのDDoS攻撃Myページおよび即時入金の復旧のお知らせ
16仮想通貨BTCボックス9月21日18時頃9月21日18時20分−(発表無し)9月21日 アクセス状況について
17FXデューカスコピー・ジャパン9月21日18時15分9月21日18時30分DDoS攻撃9月20日以降に発生したサイバー攻撃について
18FXデューカスコピー・ジャパン9月21日18時50分9月21日18時59分DDoS攻撃9月20日以降に発生したサイバー攻撃について
19FXデューカスコピー・ジャパン9月21日21時08分9月22日2時45分DDoS攻撃9月20日以降に発生したサイバー攻撃について
20FXインヴァスト証券9月22日8時40分頃9月22日9時20分頃決済代行業者へのDDoS攻撃Myページ復旧のお知らせ
【重要】Myページおよび即時入金サービス障害のご報告(続報)
21FXセントラル短資FX(1回目)9月22日9時3分9月22日9時12分DDoS攻撃【重要】DDoS攻撃により当社ウェブサイトにアクセスしづらくなっています
【重要】本日(9月22日)発生したサイバー攻撃について
22FXマネースクウェア・ジャパン9月22日10時6分9月22日12時35分DDoS攻撃【FX】ログイン障害への対応について
23FXセントラル短資FX(2回目)9月22日18時20分9月22日19時00分頃DDoS攻撃【重要】本日(9月22日)発生した2回目のサイバー攻撃について
【重要】DDoS攻撃への対応について
24FXデューカスコピー・ジャパン9月22日21時50分9月22日22時00分DDoS攻撃9月20日以降に発生したサイバー攻撃について
25仮想通貨ビットフライヤー(2回目)9月23日20時25分9月23日20時56分−(記載無し)Twitterでの報告
26アフィリエイトインタースペース9月25日10時4分頃9月25日11時56分頃DDoS攻撃【お詫び】障害発生のご報告と復旧のお知らせ
  • 障害発生時刻、復旧時刻はいずれも2017年。
  • DMMの障害発生、復旧時間はリリース掲載時間を記載。
  • ヒロセ通商(2回目)の障害発生、復旧時間はTwitterの投稿時間を記載。
  • コムテックスの障害発生、復旧時間は報道情報より記載。
  • この他にSNS上では楽天証券YJFX!の障害に関して投稿がある。

関連不明な脅迫メールの発生

DDoS攻撃の前に脅迫メールを受信した組織

DDoS攻撃の直前に脅迫メールを受け取っていた組織が複数存在していたことが判明。報道*1 *2で脅迫があったことが明らかにされた組織は次の通り。

脅迫を受けた組織脅迫を受けた時期脅迫の状況など
マネーパートナーズ9月14日9時過ぎ複数のアドレスで送られていた。
24時間以内に2BTCを要求する英文メールであった。
直後にDDoS攻撃が発生した。
15分間攻撃する、24時間以内に支払いがない場合、攻撃を再開するという内容。
24時間のリミット前に再度攻撃が発生した。
FXトレード・フィナンシャル9月16日午前中DDoS攻撃の数分前にマネーパートナーズと同様のメールを受信した。
ヒロセ通商9月18日脅迫メールを受信。
FX取引業者と契約している決済代行業者2017年9月21日8時前Armada Collectiveを名乗り、DDoS攻撃の予告、攻撃の停止と引き換えに金銭を要求するもの。
メール受信直後にDDoS攻撃が発生。
システム会社はドメイン名を変更する措置を取り、攻撃を回避。
  • 脅迫を受けた時期はいずれも2017年。
Phantom Squadを自称する送信元

JPCERT/CCやSANSが9月19日頃より、「Phantom Squad」を名乗る送信元から脅迫(DoS攻撃の停止と引き換えに金銭を要求)するメールが届いているとの情報が国内で確認されていると報告しています。JPCERT/CCによればこの脅迫メールと今回確認されているDoS攻撃との関連は不明とのこと。

関連Tweet

テックビューロ
FXFT
JFX
ヒロセ通商
ビットフライヤー
外為どっとコム
上田ハーロー
コムテックス
BTCボックス

更新履歴

  • 2017年9月19日 AM 新規作成
  • 2017年9月20日 PM ヒロセ通商の9月19日DoS攻撃による障害について追記
  • 2017年9月21日 PM 外為どっとコム、東洋証券の障害を追記、Phantom Squadの脅迫メールを追記
  • 2017年9月22日 AM ビットフライヤー、上田ハーローの障害を追記
  • 2017年9月22日 AM SANSを追記
  • 2017年9月22日 PM コムテックス、マネースクウェア・ジャパンの障害を追記
  • 2017年9月23日 AM コムテックスの障害を修正。Armada Collectiveの脅迫メールを追記。
  • 2017年9月24日 AM 上田ハーローのリリース追記、ビットフライヤーの障害を追記。
  • 2017年9月25日 AM 脅迫メールを追記。
  • 2017年9月25日 PM インタースペース、セントラル短資FX、インヴァスト証券の障害を追記。
  • 2017年9月26日 PM インヴァスト証券の障害発生日等誤りがあったため修正。
  • 2017年10月8日 PM デューカスコピー・ジャパンの障害を追記。