Xmas商戦シーズンはDDoSで稼ごう と書いたら、実際にアメリカ時間の12月23日午後に大規模なDDoS攻撃がAmazon.comやWal-MartやExpediaなどのDNSプロバイダーNeuStar社のUltraDNSサービスに対して仕掛けられ、それら大手Eコマースサイトや同DNSサービスを利用する中小サイトがアクセス不能になる状態になりました。これはAmazon.comのクラウドサービスS3やEC2にも影響を与えました。

  タイミングから考えれば、これはクリスマス前日のプレゼント駆け込み購入を狙っていて、完全に営業妨害のためのDDoSです。CNetの記事によると、なんらかのサーバー身代金の脅迫があったかどうかは不明ですが、商売の掻き入れ時にこのような営業妨害があれば、企業によってはお金で解決する道を選んでしまうかもしれないでしょう。
 
   Xmas商戦シーズンはDDoSで稼ごう のポストでは、ボットネットを使うDDoSは、1時間あたり8ドルくらいから24時間でも60ドル程度の低価格で犯罪組織に発注が可能で、不況により生活苦に陥った人たちが犯罪者にコンバージョンされているという話をしました。AmazonやWal-Martなどの有名サイトなら記事にも書かれますが、中小企業が運営するサイトならDDoSに遭っていてもメディアに出てこないでしょうから、実際にはもっと多数発生している可能性もあります。

  このような攻撃はある日突然やって来ます。どうも自社サイトが重くなった、あるいは接続できないという問い合わせのメールがユーザーから入る、などで気がつきます。そしてしばらくすると、例えば「私は生活が苦しい。だからお前の会社にDDoSする。私に¥100万払ったらすぐ攻撃止める。振込口座はxxx1234567」のようなメールが来ます。よく見ると中国語も混じっているかもしれません。

  たいていの場合、始めはただの迷惑メールだと考えて放置するかもしれません。すると数日後もっと攻撃のトラフィックが上がります。そしてまた犯人からメールが来ます「私が生活が苦しいと頼んでいるのに、お前の会社は無視した。だから攻撃を強くした。金を払わないともっと強くする。」

  この段階になったら対策を考える必要が出て来ます。インシデント対応サービスを提供しているセキュリティ会社に相談することも必要かもしれません。
  しかし同時に犯人に対してコミュニケーションする必要もあります。ここはセンシティブな段階なので注意が必要で、よく言われるのは、犯人に対して「警察に連絡する」などのような逆脅しをかけてはいけないということです。これは、毅然とした態度を取ろうとするあまりやってしまいがちな問題のようですが、犯人を逆上させ攻撃を強めて来る結果を導き易いのです。もし別な作戦を取るなら「私たちの会社も不況のため経営が苦しく倒産ぎりぎりなので払える金はない」など、あえて不況を理由にしてしまう手もあるかもしれません。

(このポストを書くのに、CDI-CIRT他いくつかの報告を参考にさせていただきました)