もう一歩踏み込もう:セキュリティ分野の分析(3)

2022年04月04日 月曜日


【この記事を書いた人】
ふぇにっくちゅん(守田 瞬)

2021年11月にセキュリティ情報統括室に所属。頑固なので、ニックネームだけでもやわらかくひらがなにしてみました。普段はハニーポットで収集したDDoSの発生源であるマルウェアを対象に分析しています。

「もう一歩踏み込もう:セキュリティ分野の分析(3)」のイメージ

おはようございます。こんにちは。こんばんは。ふぇにっくちゅん です。
本記事は「情報をつなげて関係をみつける」からの続編で、連載記事の最終稿になります。
1記事目の「Introduction/分析はパズル感覚で!」から順に読んで頂けると嬉しいです。

前回の記事では、ボットの解析や CHAGE を使うことによって集めた情報から、情報連鎖 する関係を辿ることでボットネットの纏まりを見つける様子を紹介しました。
本記事では、さらにもう一歩踏み込んで マルウェア開発者や販売者の動向 を明らかにするために何を考えて ふぇにっくちゅん は分析しているか?分析を通して明らかになる可能性があるのか?について紹介します。
最後の“テーマ”は “なりきる” で、様々な登場人物の視点で考察したことを説明します。

分析をスムーズに進めるには?

これまでの連載記事の中で、ボットを解析 することで、たくさんの情報をあつめることを紹介しました。
解析して得られる情報の中には 見えにくい ものもあるため、見えにくいものを紐解くには時間が掛かってしまいます。
そこで、準備として「視えそうか?」を考えておくと、分析が進みます。
つまり、事前に「マルウェア開発者や販売者の動向を追えそうか?」を想定した上で分析を進めるのです。
想定しておかないと最悪のケースでは、一歩踏み込んだ マルウェア開発 や 販売者 への関係が見つからず、単に時間だけが過ぎていってしまいます。

マルウェア開発者や販売者になりきろう

わたしが調査した結果を踏まえ、皆さんの 目隠し を取っていきながら「マルウェア開発者や販売者の動向を追えそうか?」を説明していきます。
ここでは、攻撃者側の気持ちに“なりきる”ことがポイントです。
なりきる”というのは、それぞれの視点・立場で考えを進めていくということです。

マルウェア開発者や販売者のことを知ろう

まずは、DDoS攻撃が発生するまでの流れを マルウェア開発者や販売者 の視点で以下に示します。

DDoS攻撃が発生するまで
昔は知識や技術がある愉快犯などが攻撃を行っていました。
その後、インターネットの発展とともに攻撃方法などの情報が容易に手に入るようになっていきました。
昨今では、マルウェアの開発から販売に至るまでの過程が細分化され、それぞれの役割を持って組織として攻撃活動を行う世の中になっています。
DDoS攻撃の技術情報が簡単に手に入ることもさることながら、コピー・アンド・ペースト程度でボットネットが作れてしまう状況に変化しています。
たとえば、ボットネット構築までの説明・手順書が付属していたり、サポート窓口が用意されていたりします。
また、DDoS攻撃を実行する値段は、時間あたり数千円から数万円で、感覚的には頑張れば子供でも手が届くレベルに安いです。
このような時代の変化から、サービスとしてDDoS攻撃が提供されるようになっており、対価を払えば簡単にDDoS攻撃が実行できてしまいます。

上述した状況を以下にまとめます。

  • 組織活動としてDDoS攻撃の開発・販売が行われている
  • ボットネット構築の技術的ハードルが低い
  • サービスとしてのDDoS攻撃の時代になっている
  • DDoS攻撃を行うための値段は安い

販売する値段が安ければ、販売するまでの準備に時間やお金などのコストが掛けにくくなります。
このことから、DDoS攻撃サービスを提供する準備に、コストが掛けにくくなっていると考えられます。
また、ほとんど手を加えなくてもボットネットが構築できてしまう状況は、低コストにしやすい側面があります。
その反面、似たようなものが出来上がるため、同業者である他のDDoS攻撃サービスとの違いが判断しにくい側面もあります。
この判断しにくさが 見えるけど視えにくい 原因になっていると考えています。

DDoS攻撃の実行者の気持ち

では、ふぇにっくちゅん のように分析者という立場ではなく、DDoS攻撃の実行者 は複数のDDoS攻撃サービスを区別しているのでしょうか?
この疑問に対して、DDoS攻撃の実行者 の視点で「複数ある似たようなDDoS攻撃サービスをどのように選ぶのか?」について考えてみます。

どちらを選ぶか?
たとえば「機能・利便・価格・信用」の4つの基準で、DDoS攻撃の実行者 の気持ちを推測してみます。

  1. 機能
    • 期待する攻撃の規模が出せるか?
  2. 利便
    • 手軽に実行できるようになっているか?
  3. 価格
    • 安価であるか?
  4. 信用
    • 対価に見合った攻撃ができるのか?

DDoS攻撃サービスの販売者の気持ち

次に上記4つの疑問について DDoS攻撃サービスの販売者 がどのように応えていけるのかを考えてみます。

まずは「機能」です。実行者 が求めるのは 攻撃が成功する ことです。
つまり、DDoS攻撃サービスに求められる「機能」は「攻撃の規模が出せるか?」になります。
DDoS攻撃サービス販売者にとって、多くのボットをコントロールすることは攻撃規模の増加に繋がるため、巨大なボットネットを構築しようとします。

つぎに「利便」です。使いやすさ やDDoS攻撃サービスへの到達しやすさである 到達の利便 など様々考えられます。
使いやすさ の観点では、どのDDoS攻撃サービスを調べても 攻撃対象の情報の入力 や ボタンを押す などというように簡単に攻撃ができる作りになっています。
そのため、使いやすさ についてはある程度洗練されており、他のDDoS攻撃サービスと違いになりにくいです。
つぎに 到達の利便 ですが、DDoS攻撃サービス販売者が活用している手段が、私達が普段活用しているSNSや動画配信サービスです。
クリックすればアクセスできる容易さで、自身のDDoS攻撃サービスの存在を伝えています。
しかし、この手段についてもSNSや動画配信サービスの違いはあるもの、区別するためのポイントになりません。

「価格」についてです。先述したようにDDoS攻撃サービスは安く利用できます。
値段が高くなる原因の一つは「機能」や「利便」に手を加えることです。値段を安くするにも、ボットネットの構築など効率化するなど、手をかけなければなりません。
このように「価格」を中心に考えてしまうと、同時に労力というコストが増えてしまいます。
加えて、DDoS攻撃の実行者は「価格」が安い “攻撃が成功しない” ものに対価は支払いません。
つまり、DDoS攻撃サービスの販売者がコストを掛けてまで「価格」を下げることは優先事項ではないのです。
そのため、「価格」をDDoS攻撃サービスの違いにしようとする提供者は少ないと考えられます。

「信用」の説明に入る前に整理すると、攻撃の規模が複数のDDoS攻撃サービスを選ぶ一つの基準になりそうです。
しかし、DDoS攻撃を実行者からすると規模が出せて当然のことです。
仮に攻撃規模が満たせているDDoS攻撃サービスが複数あった場合には、「信用」が選ぶ理由として重要になるわけです。

最後に「信用」についてです。販売者は画像や動画を利用して、自身のDDoS攻撃サービスが優れているということをアピールしています。
そのアピール方法として、攻撃のデモを提供したり、攻撃規模を示したり、他のDDoS攻撃サービスとの比較などの内容を発信しています。
販売者はこのような画像や動画を通して「信用」を得ようとし、DDoS攻撃サービスの窓口であるサイトやSNSなどのコミュニティチャットへ誘導しています。
実際にDDoS攻撃サービスの窓口でどのような会話をしているのかは定かではありませんが、会話をすることでも自身のサービスを「信用」させようとしていると考えられます。

信用をどうやって得る?

攻撃者の特性を利用しよう

「機能・利便・価格・信用」の4つの基準で、DDoS攻撃の実行者 の視点で考察してきました。
ここからは、分析者 として考察してきた売買の構図に対して得られる情報がないか考えてみます。
例えば、DDoS攻撃サービスのサイトのURLには、ドメインの情報が含まれています。
つまり、ボットの解析で得られた情報とDDoS攻撃サービスのサイトの情報が連鎖し、DDoS攻撃の作成者や販売者へたどり着く可能性があることになります。

まとめると、類似するDDoS攻撃サービスが乱立する上で儲けるために、サービス提供者は画像や動画などの情報を公開します。
画像や動画に付随する情報とボットの解析で得られた情報とが“情報連鎖”することにより、視えることが増えるわけです。
サービス提供者が「信用」を得ようとし続ける限り、自らヒントとなる情報を出し続けてくれます。
このサービス提供者の特性は嬉しいことで ふぇにっくちゅん が分析を進める上ではチャンスになります。

視えているのは氷山の一角

DDoS攻撃の開発者や販売者に“なりきる”ことと状況証拠的な情報から考察・推測することで、わたしの 分析 が狙っている「マルウェア開発者や販売者の動向を明らかにできないか?」ということに可能性がでてきました。
DDoS攻撃の開発者と販売者の気持ちは真にはわかりませんが、本連載で紹介した 見える ものをコツコツと集めると、パズルのようにパチパチとピースがはまり、視える ようになってきます。
もちろん、その推測が尤もらしいかを判断することも大切です。だからこそ分析しながら少しずつ 目隠し を取り続けていくのです。
これが ふぇにっくちゅん の分析です。

おわりに

最初から最後まで一読頂けて ふぇにっくちゅん は嬉しいです。
今回の連載記事では、分析の方法や考え方を紹介しました。
少しでも 分析 のイメージが伝わっていれば幸いです。
それでは、またの機会に会いましょう。

ふぇにっくちゅん(守田 瞬)

2022年04月04日 月曜日

2021年11月にセキュリティ情報統括室に所属。頑固なので、ニックネームだけでもやわらかくひらがなにしてみました。普段はハニーポットで収集したDDoSの発生源であるマルウェアを対象に分析しています。

Related
関連記事