Akamai Diversity

Akamai Japan ブログ

memcachedでついに脅迫が!

※ このBlog 記事は2018.3.2に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

先週、memcachedを利用したリフレクション攻撃が、DDoSシーンを席巻しました。Akamaiのお客様に対する史上最大の 1.3Tbps の攻撃をはじめとするいくつかの攻撃が様々な業種を襲っています。アカマイでは、メッセージをmemcachedの ペイロードにいれて脅迫を試みるという新しい傾向を観測しました。

脅迫を伴うDDoS

DDoSの世界では脅迫行為が伴うことは目新しいことではありませんが、攻撃者がどのようにDDoSを利用するかは興味深い点です。以前のDD4BCの例では、攻撃情報と身代金支払いに関する詳細や支払い期限などの情報が含まれた不気味なEメールを、小規模なDDoSとともに送りつけ、攻撃対象者がもし協力しなければより大規模な攻撃を行い、身代金も増えるなどと脅迫していました。その後、手口を模倣する多数の犯人やグループが出現し、誰彼かまわずメールを送り、実際にはDDoSを掛けることなく、用意した餌に食いつくのを待つ(コンサル料と称するみかじめ料をせしめる)、という手口も出てきました。このような攻撃者らは、組織の恐怖心に乗じて手っ取り早く現金を得るため、主な大企業や組織にDD4BCで使われたメールの内容をコピーして頻繁に送りつけるのが常套手段です。

 

memcached攻撃で脅迫

memcachedはDDoS界ではニューフェイスの攻撃ベクトルですが、あらゆる組織や業種に様々な規模の攻撃を仕掛ける攻撃者らにより、広範囲かつ迅速に普及し使われるようになってきています。他の強力な攻撃手法と同様、ほどなく攻撃者たちはこの脅威をビジネスチャンスにするための方法を考え出しました。

Screen Shot 2018-03-02 at 3.56.42 PM.png

図: 身代金支払要求情報の入った memcached DDoSパケット

 

この攻撃ペイロードは、Akamai Prolexic Routed プラットフォーム上の複数のお客様に対して行われた実際のmemcachedリフレクション攻撃の最中にキャプチャしたものです。よく見ると、攻撃トラフィックに埋めこんで脅迫を試みた痕跡が見て取れます。攻撃者は、攻撃対象となった組織に、50 XMR (仮想通貨 Moneroの原稿執筆時点の価値で、約200万円弱) を指定のウォレット用アドレスに支払うよう伝えています。これは脅迫メールを用いた手法と似ています。誰かが身代金を払えばいいと期待して、複数の対象者宛に同じメッセージを送る手口です。

 

技法とその理由の考察

memcached 攻撃の場合、攻撃者は、リフレクターとして利用するmemcached サーバーにペイロードを置きます。ほとんどの攻撃者がこれらのレコードに詰め込むのはジャンクデータですが、このケースでは、窮地に陥った被害者から現金を騙し取れることを期待し、身代金の額とウォレット用アドレス情報をペイロードに含めることにしたと思われます。

 

脅迫に応じることは無意味

この技法を利用している攻撃者達は、複数の業界で複数の被害者に対して、同じ金額、同じウォレットアドレスを使い、同じ攻撃手法を使っているようです。攻撃を受けた被害者の反応を活発に追跡している形跡はなく、コンタクト情報も身代金支払い通知に関する詳細な指示もありません。被害者がウォレットに要求された金額を入金したとしても、攻撃者はどの被害者からの入金かさえ分からないのではないかと考えられます。ましてや、入金の結果として攻撃をやめることを期待するなどなおさら無理でしょう。仮に誰が支払ったかを特定できたとしても、被害者に対しての攻撃がやむ保証はありません。

 

Leave a comment