FBIが昨日、サイバー攻撃請負サービス13社の摘発を発表した時、長らくインターネットインフラを悩ませてきた犯罪業界と法執行機関のいたちごっこの日々の、ただの日常のように思われたかもしれない。犯罪業界は容赦ないジャンクトラフィックの波を突きつけ、被害者をオフラインに追い込んできた。しかし実際には、この犯罪に終止符を打つことを目標に、10年近くも水面下で静かに活動してきた、目立たない捜査班にとって、これはまさに新たな勝利だった。
昨日の作戦は、過去5年間に起きた3件の大規模なサイバー犯罪者摘発のうち、最新のものに過ぎない。これらはすべて、「Big Pipes」と名乗る非公式のワーキンググループ内で始まった。約30名のメンバーで構成され、主にSlackと毎週のビデオ通話で連絡を取り合っている。メンバーには、インターネット最大手のクラウドサービスプロバイダーやオンラインゲーム会社のスタッフ(これらの企業のメンバーは、雇用主の名前を伏せるという条件でWIREDに話してくれた)に加え、セキュリティ研究者、学者、そして少数のFBI捜査官と連邦検察官も含まれている。
ビッグパイプスの捜査官たちは何年もの間、分散型サービス拒否(DDOS)攻撃を販売する「ブーター」または「ストレサー」サービスの出力を系統的に追跡、測定、ランク付けしてきた。これらのサービスは、顧客が敵のサーバーに破壊的なデータ洪水を浴びせることを可能にする。彼らはこれらのサービスの運営者を追跡しており、グループの民間部門のメンバーがしばしば手がかりを掘り起こし、グループの法執行機関と検察に提供している。彼らは協力して、2018年12月にテイクダウン作戦を開始し、3人のハッカーを逮捕し、12のブーターサービスをオフラインにすることに成功した。昨年12月、彼らの活動はオペレーション・パワーオフの基礎を築き、6人の逮捕と49ものDDOS攻撃請負サイトのテイクダウンにつながった。これはこの種のものとしては最大規模の摘発となった。
オペレーション・パワーオフからわずか4ヶ月後の昨日の摘発は、グループの活動による活動が加速していることを示唆している。ケンブリッジ大学のセキュリティ研究チームを率い、Big Pipesで最も長く活動しているメンバーの一人であるリチャード・クレイトン氏は、Big Pipesは依然としてオンライン上に残るブーターを追跡・追跡していると警告する。「今回の摘発で摘発されなかった人たちの中には、そろそろ引退すべきだというメッセージを受け取ってくれる人がいることを願っています」とクレイトン氏は言う。「今回摘発されなかった人は、捜査対象になる可能性が高まったと結論付けるかもしれません。様子見で様子を見るのはやめましょう」
大きなパイプが喧嘩の始まり
Big Pipesのアイデアは、2014年にピッツバーグで開催されたSlam Spamカンファレンスで生まれました。当時デロイトに所属していたセキュリティ研究者のアリソン・ニクソンが、悪名高いGame Over Zeusボットネットの閉鎖に尽力したばかりのFBI捜査官エリオット・ピーターソンと出会ったことがきっかけでした。ニクソンはピーターソンに、深刻化するブーターサービスの問題に対処するために協力することを提案しました。当時も今も、ハッカーたちはニヒリスティックな楽しみ、ささいな復讐、そして金儲けのために、インターネット上でDDOS攻撃を仕掛け続け、大混乱を引き起こしていました。そして、攻撃をサービスとして販売するケースも増えていました。
攻撃者は、マルウェアに感染した数千台のコンピューターからなるボットネットを利用するケースもありました。また、「リフレクション」攻撃や「アンプリフィケーション」攻撃といった手法も用いられ、正規のオンラインサービスが運営するサーバーを悪用し、ハッカーが選択したIPアドレスに大量のトラフィックを送信するよう仕向けるケースもありました。多くの場合、ゲーマーは増加の一途をたどるブーターサービスに料金を支払い(複数の攻撃を提供するサブスクリプションはわずか20ドル程度)、ライバルの自宅のインターネット接続を攻撃していました。こうしたDDOS攻撃は、無差別なトラフィックの洪水に対処するインターネットサービスプロバイダーに深刻な巻き添え被害をもたらすことがよくありました。場合によっては、単一の標的を狙ったDDOS攻撃によって、近隣地域のインターネット接続が遮断されたり、救急サービスが混乱したり、さらには、特に悲惨なケースでは、養鶏場の自動システムが破壊され、数千羽の鶏が死んだりすることもありました。
Big Pipesはすぐに、攻撃の被害者と防御者の両方の経験に基づき、ブーターに関する直接的な知識を持つ大手インターネットサービス企業からスタッフを採用し始めた。(このグループの名前は「big pipes start fights(大きなパイプは喧嘩を始める)」というフレーズに由来する。これは、メンバーがインターネット上で誰が一番大きな帯域幅を持っているかを自慢するジョークである。)一方、NixonとClaytonは、自ら構築したセンサーネットワーク(ハニーポット)からのデータを提供した。ハッカーのボットネットに参加したり、リフレクションサーバーとして機能したりするように設計されたもので、研究者はハッカーがどのような攻撃コマンドを送信しているかを確認できる。
Big Pipes の創設当初から、一部のメンバーは、フォーラムの投稿や攻撃サービスを宣伝しているウェブサイトを手がかりに、ブーターサービスの運営者の正体を暴こうと積極的に探し求めていました。ある例では、グループのメンバーが、オンライン上の偽名、電話番号、メールアドレスの痕跡をたどり、HackForums のウェブサイト上のハッカーのハンドルネーム「itsfluffy」から、Pawfect Dog Training のトレーナーという本職と本名の Matthew Gatrel を明らかにするウェブページにたどり着き、ブーターの運営者を特定しました。「コモディティ DDoS サービスの運営者は、それほど洗練されたアクターではありません」と、これらの痕跡をたどった匿名を希望する Big Pipes メンバーは述べています。「彼らは間違いを犯すのです。」
クリスマスのテイクダウンの伝統
ビッグパイプスによるブーターサービス運営者に関するデータ収集が拡大するにつれ、同グループとFBIの提携も拡大しました。最終的に、この連携は、インターネット上で最も悪質なブーターサービスを可能な限り多く摘発し、妨害するという、クリスマスシーズンの断続的な恒例行事へと発展しました。ビッグパイプスのメンバーは、これらの作戦のタイミングは残酷さを意図したものではなく、ハッカー自身がクリスマスを狙ったことへの対抗策だったと強調しています。長年にわたり、ニヒリスティックなハッカーグループは、クリスマス当日まで待ってから、プレイステーションネットワークやXbox Liveなどのオンラインゲームサービスに対して破壊的なDDOS攻撃を仕掛け、一年で最も忙しい日、子供たちがプレゼントされたばかりのゲームを試しているまさにその日に、主要ゲームサービスをオフラインにすることを狙っていました。
そこで2018年、Big PipesのメンバーはFBIと米国司法省と協力し、クリスマス前の介入を独自に実施しました。データを精査し、グループの捜査官や検察官に手がかりを提供することで、成長を続けるブーター業界で最も活発なサービスを排除しようとしました。「ターゲットの選定を検討しています。どのブーター所有者を特定できるか?DDOSトラフィックの量で、どのブーターが最も被害が大きいか?」と、現在セキュリティ企業Unit221bで働くニクソン氏は言います。「つまり、最も被害が大きいターゲットはどれか、簡単に排除できるのはどれか、という点です。では、実際に誰を排除するのか?」
2018年12月、クリスマスのわずか5日前、FBIはBig Pipesが最悪の犯罪者と指摘していたブーター15社を摘発したと発表しました。摘発されたのは、FBIが8万件のDDOS攻撃を仕掛けたとしているQuantumと、20万件以上のDDOS攻撃を仕掛けたとされるDownThemです。ペンシルベニア州、カリフォルニア州、イリノイ州でこれらのサービスを運営していた3人(犬のトレーナーであるマシュー・ガトレルを含む)が逮捕・起訴されました。
この作戦の後、クレイトンのケンブリッジ研究チームは、ブーターサービスからの攻撃が2ヶ月以上にわたって3分の1近く減少し、その間、米国を標的とした攻撃もほぼ半減したことを発見しました。そこでビッグパイプスは、オンラインに残っている主要なブーターサービスをすべて対象にするという、すべてをやり直すことを提案しました。「重要なものをすべて対象にしたらどうなるか見てみましょう」とFBI捜査官のピーターソンは言います。「彼らはどう反応するでしょうか?」
FBIと司法省が2度目の大規模なブーター摘発に着手するまでには、ガトレルの裁判(2021年に懲役2年の判決を受けた)や新型コロナウイルス感染症のパンデミックといった長い遅延の後、4年を要した。しかし、昨年12月、ついにFBIはブーターの闇社会に対するさらに大規模な粛清を実行した。英国とオランダの連邦警察と協力し、ブーター運営者6人を逮捕し、ブーターサービスのウェブドメイン49件を閉鎖した。これらはすべて、ビッグパイプスが収集した、最も著名で大規模なサイバー攻撃サービスに関する膨大な標的リストに基づいて行われた。
実際、クレイトン氏によると、ケンブリッジ大学の研究チームのデータに基づき、この作戦で上位20のブーターサービスのうち17がオフラインになったという。作戦の標的となった大規模なリストの中で、49のサービスのうち半数が新しい名前で復活したものの、その後数ヶ月間、攻撃トラフィックは半分にまで減少し、攻撃件数が以前のレベルに戻ったのは3月に入ってからだった。この持続的な減少は、この作戦がブーターの潜在的顧客に対する抑止効果を発揮したためだとクレイトン氏は推測している。「私は世界中のすべてのブーターを排除すべきだという考えをずっと主張してきました」とクレイトン氏は言う。「その半分は達成できたのです」
昨日、FBIと司法省は、ブーターサービスの大規模な摘発に成功したと発表しました。今回は13のウェブドメインが押収されました。司法省によると、これらのドメインのうち10は、12月の前回の摘発でも押収された、名前を変えて復活したブーターでした。これは、ブーター運営者に対し、単に名前とドメインを変えてサービスを再開するだけでは法執行機関の目を逃れられないというシグナルを送るための措置でした。一方、検察は昨日、前回の摘発で起訴された6人の被告のうち4人が有罪を認めたと発表しました。
ハニーポット、Google広告、ノックアンドトーク
Big PipesのメンバーとFBIは、常に連絡を取り合っているにもかかわらず、グループにスタッフがいるインターネットサービスは、召喚状や捜索令状といった通常の法的手続きを経ずにユーザーの個人情報を共有することはないと注意深く認識している。ピーターソン氏によると、FBIはBig Pipesと個人データを共有したり、グループの手がかりに基づいて盲目的に逮捕や捜索を行ったりはしないという。FBIは被告を一から捜査し、Big Pipesからの情報はあらゆる情報源からの情報と同様に扱う。例えば、FBIが2018年にガトレルに対して起こした訴訟は、皮肉にもガトレルが自身のブーターウェブサイトを保護するために使用していたDDOS緩和サービスであるCloudflareへの召喚状と、その後ガトレルのGoogleアカウントに対する捜索令状から始まった。
しかしピーターソン氏は、Big Pipesの活動は、ブーター業界で誰をターゲットにすべきか、そしてより効率的に彼らを追い詰める方法を理解する上で非常に役立ったと述べている。「Big Pipesがなかったら、ブーターサービスに対する訴訟を手掛けることができただろうか? ええ、もちろんです」と彼は言う。「しかし、同等の規模に達するには、さらに数年かかったかもしれません。」
FBIとBig Pipesによる妨害活動の激化は、ブーターサービスを排除するどころか、むしろ影の奥深くに追いやってしまう可能性もある。しかし、例えばブーター運営者がオープンインターネットでの広告掲載をやめ、ダークウェブに移行すれば、顧客にとってサービスが違法で危険なものであることがより明白になり、結果として需要が減少するだろうとクレイトン氏は主張する。
実際、彼とBig Pipesの他のメンバーは、ブーター利用者のほとんどが、攻撃者のインターネット接続を遮断するためにサービスの一つに料金を支払うだけで違法ではない、あるいは少なくとも執行可能な犯罪ではないと信じている、あるいは確信しているようだと主張している。英国の国家犯罪庁(NCA)が2018年にブーターサービスを求める人々を捕捉し、その違法性について警告するために6ヶ月間Google広告キャンペーンを実施した際、クレイトンの研究グループは、英国における攻撃トラフィックは6ヶ月間横ばいであったのに対し、他の国では通常のペースで増加していることを発見した。
FBIが作成したこの画像は、Googleの広告キャンペーンで公開されたもので、DDOS攻撃サービスが違法であることを知らない潜在的な顧客を思いとどまらせるためのものだ。提供:FBI
それ以来、法執行機関はこの実験から学んだようだ。FBIも現在、同様のGoogle広告を購入し、潜在的なブーター利用者に対し、サービス料金の支払いは犯罪であることを警告している。一方、英国のNCA(国家犯罪対策庁)は、新たな広告キャンペーンを開始しただけでなく、独自の偽ブーターサービスも運営し、潜在的な利用者を特定して、犯罪的なDDoS攻撃への支払いに伴う結果について警告を送っている。場合によっては、直接訪問して警告を送ることもある。
ビッグパイプスのアリソン・ニクソン氏は、こうしたソフトな戦術によって、ブーターサービス業者を早期に、重罪を犯す前に摘発できることを期待していると述べています。ニクソン氏によると、ブーター業者のほとんどは、まず顧客として利用してから独自のサービスを開始するそうです。しかし、こうした介入によって思いとどまらない業者に対しては、ビッグパイプスとFBIのパートナーが引き続き監視を続けるだろうと彼女は言います。
「この武力行使によって、彼らの何人かが辞めてまともな仕事に就くよう説得できればと思っています」とニクソン氏は言う。「あなたを追跡している人がいる、あなたに注目している人がいる、というメッセージを送りたいのです。私たちはあなたに注目しています。次はあなたを捕まえるかもしれません。それもクリスマス当日ではないかもしれません。」
