piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

2017年12月の国内Webサイトの接続障害についてまとめてみた

2017年12月10日以降、警視庁や消費者庁など国内の複数のWebサイトで接続障害とみられる事象が発生しました。また同時間帯に攻撃を示唆する内容がTwitterに投稿されていました。ここでは関連情報をまとめます。

特定のTwitterアカウントにより投稿されていた攻撃示唆の概要

  • 2017年12月18日現在、特定のTwitterアカウントによる攻撃示唆、及びそれに関連する投稿は24件を確認している。
  • 2017年12月7日に「今週、インターネットでカオスな事が起こるよ。」と投稿。
  • 攻撃の予告とその(ダウンさせたとする)結果をセットにして投稿することがある。
  • 攻撃結果のエビデンスとして主にCheck-Hostによるテスト結果のスクリーンショットを投稿している。
  • 攻撃の対象をあらかじめ決めているとみられる投稿をしている。

攻撃が示唆されていたWebサイト

Twitter上に攻撃したことが示唆されていたWebサイトと観測した障害の状況をまとめると次の通り。


DDoS Monの観測状況

DDoS Monによる観測をまとめたところ次の通り。



  • 攻撃示唆されたサイトの内、DDoS Monにより攻撃が観測されていたのは12サイト。
  • SYN flood、DrDoSといった複数のタイプが観測されていた。
  • ヤマダウェブコムではTwitter上の報告後も攻撃が観測されていた。
  • 消費者庁2回目はエビデンスが示されなかった。(手元の観測でも障害事象は確認していない。)
総務省の障害と同時間帯に複数の官公庁サイトでも接続障害発生
  • 攻撃が示唆されていた総務省の接続障害と同時間帯に複数の官公庁サイトで接続障害が発生していた。
  • 複数の官公庁サイトにおける障害の関連性は不明。
  • DDoS Monでのイベントは記録されていなかった。

以下はpiyokangoが観測した障害状況

障害発生元 攻撃示唆の投稿 障害観測時間
総務省 あり 2017年12月15日 21時14分〜21時42分
警察庁 確認できず 2017年12月15日 21時13分〜21時40分
国家公安委員会 確認できず 2017年12月15日 21時13分〜21時43分
防衛省自衛隊 確認できず 2017年12月15日 21時12分〜21時40分
ポケモンガオーレ公式サイトは長期の接続障害
  • 2017年12月18日現在、接続障害が断続的に継続している。

障害によりスペシャルフォース2公式大会中断
  • 2日連続の障害発生を受け、同日に開催が予定されていた公式大会が影響を受けた。
  • 16日は大会時間の変更、17日は大会中断の措置が取られた。
  • 攻撃示唆の投稿を行っていたアカウントは大会の妨害を意図した旨の投稿も行っている。

攻撃示唆投稿のアカウントへのリプライ
  • 攻撃示唆の投稿を行っているアカウントに対し、ここを落としてくれ等のリプライが投稿されている。

リプライと2017年12月18日の状況について確認したところ次の通り。

リプライに含まれた名前 リプライ投稿時間 投稿後の特定アカウントの反応
おーぷん2ちゃんねる 2017年12月10日 19時58分 観測無し
スペシャルフォース2 2017年12月16日 18時33分 観測無し
CSO2 2017年12月16日 18時54分 観測あり(リプ投稿12月18日 23時40分)
Robocraft 2017年12月16日 19時17分 観測無し
PUBG 2017年12月17日 9時1分 観測無し
サドンアタック 2017年12月17日 13時47分 観測無し
スペシャルフォース2 2017年12月17日 17時08分 観測あり(示唆投稿12月17日17時16分)
サドンアタック 2017年12月17日 19時29分 観測無し
パズドラ 2017年12月17日 19時32分 観測無し
LINE 2017年12月17日 19時55分 観測無し
スプラトゥーン 2017年12月18日 11時54分 観測無し
PUBG 2017年12月18日 17時42分 観測無し
ロックスターゲームズ 2017年12月18日 19時36分 観測無し
NEXON 2017年12月19日 0時44分 観測無し
モンスターストライク 2017年12月19日 0時57分 観測無し
スペシャルフォース2 2017年12月19日 7時49分 観測無し(土曜日夕方を希望)
法律事務所クロス 2017年12月19日 8時20分 観測無し
モンスターストライク 2017年12月19日 21時42分 観測無し(障害発生によるお詫び報酬を希望)
NEXON 2017年12月20日 20時55分 観測無し
法律事務所クロス 2017年12月21日 0時33分 観測あり(依頼ツイートを12月21日にリツイート)
カウンターストライクオンライン 2017年12月21日 23時59分 観測無し
ドリフトシティ 2017年12月22日 0時4分 観測無し

12月23日のニコニコ動画以降、当該アカウントへの依頼が増加しているため対象だけ掲載。

日付 攻撃を依頼された対象
2017年12月23日 YoutubeTwitter、steam、カドカワ3件、Abema TV、スクウェアエニックス、きららファンタジア、バンドリガールズバンドパーティ、グランブルーファンタジーガンダムオンライン、モンスト、ファンタシースターオンライン2、ぽけりん、Jin、はちま起稿、ポケモンまとめサイト、anitube、dropbooks、北朝鮮関連4件、自民党、FBI、ペンタゴン
2017年12月24日 Twitter、Youtube3件、InstagramWikipedia任天堂カドカワ4件、ZIP!、艦これ、パズドラ、モンスト、ログレス、きららファンタジア、TikTok2件、FBI、ペンタゴン
2017年12月25日 NHK朝日新聞竹書房カドカワYoutubeInstagramWikipediaPSN、Cygames、GTAオンライン、パズドラ6件、モンスト3件、クロスファイア2.0、白猫プロジェクト、R6S、ログレス(攻撃示唆投稿あり)TikTokペンタゴン財務省
2017年12月26日 Youtubeニコニコ大百科ニコニコ動画TikTok、eAmusement
2017年12月31日 モンスト
2018年1月2日 KADOKAWA(攻撃示唆投稿あり)ニコニコ大百科NHKGoogle、FGO2件、TiktokeAmusement(攻撃示唆投稿あり)、AVA、はちま起稿(攻撃示唆投稿あり)、俺的ゲーム速報@刃(攻撃示唆投稿あり)、アニゲー速報、this man(攻撃示唆投稿あり)
2018年1月3日 TwitterYoutube、xvideos、アニゲー速報
2018年1月4日 GoogleKADOKAWATikTok、横浜DeNAベイスターズ首相官邸漫画村、ディライトワークス、TBS、財務省、個人ブログ
2018年1月5日 質問箱、5ちゃんねる、漫画村
2018年1月6日 SF2、PUBG、WoT、メイプルストーリーパズドラFGO、モンスト、マインクラフト、アルティメットテトリス、シャドウバース、漫画村
2018年1月7日 荒野行動、同志社中学
北朝鮮ポータルサイト攻撃示唆の投稿前に依頼リプライが複数確認
  • 2017年12月23日 23時01分に北朝鮮政府関連のサイトへの攻撃示唆の投稿が行われているが、それ以前に3件の依頼リプライが確認できた。

攻撃示唆を投稿していたTwitterアカウント

  • Twitterでは「ダークネス玉葱君」という名前を使用。
  • 2017年8月11日に作成されたアカウント。
  • 12月10日以降のDoS攻撃の示唆投稿の他にもいくつかアクティビティをTwitter等で報告している。
(1) Onionちゃんねる(Tor板)でスレ立て(2017年10月31日、11月4日、12月10日)
  • OnionちゃんねるのTor板でスレッドを立てたと報告。
  • 自己紹介スレッドではTwitterの他にXMPPによる連絡先が記載されていた。
  • 関連しているとみられるスレッド
スレ立て日時 タイトル 概要
2017年10月31日 21時56分 ダークウェブユーザーTwitterアカウントwwwwwwwwww 自己紹介
2017年11月4日 12時38分 他人のクレジットカード情報リークする! リーク
2017年12月10日 13時41分 俺はサイバー攻撃を行う!!!!!!!!!!! 攻撃示唆
(2) 警視庁の情報提供フォームへの投稿(2017年10月31日)
  • 2017年10月31日に自身の存在を警視庁の事件・事故に関する情報提供フォームへ投稿したと報告。
  • 投稿された画像より概要はTwitterアカウントのID、サイバー犯罪をすると予告、Tor利用をしていると記述。
  • 住所欄は「国外/Tor」、電話番号欄には「666114514」と入力されている。
(3) リーク情報の投稿(2017年11月4日、11月12日)
  • 2017年11月4日に「他人のクレジットカード情報」としてリーク情報をTor板に投稿したとTwitterで報告。
  • Tor板への書き込みのスクリーンショット張り付けていたが、Twitterでは該当のリーク記載箇所はマスキングしていた。
(4) ランサムウェア作成試行の投稿(2017年11月5日)
  • ランサムウェアSatan)を作成をとしたことを報告。
  • アカウント登録時に「Registration is disabled」と表示されたことを報告。
(5) デュラララチャット(仮)のDoS攻撃報告へのリプライ

障害の発生状況

回数 DoS攻撃による障害発生時間
1回目 2017/12/13 22:54 〜 翌 06:54
2回目 2017/12/14 17:58 〜 不明

(6) 法律事務所クロス問い合わせフォームへ攻撃予告の投稿(2017年12月21日)
  • 法律事務所の問い合わせフォームに自己紹介と攻撃予告、並びに依頼を受けての実行であることを投稿したとツイート。
  • 法律事務所のサイトは2017年12月21日夜に接続障害が発生している。
(7) 北朝鮮政府に対して攻撃示唆の投稿 (2017年12月24日)
  • ネナラの問い合わせ先アドレス(flph@star-co.net.kp)に対して送付。
  • 12月23日にネナラのサイトで発生した障害について自身の関与を示す内容。
  • 送信内容をTwitterに画像で投稿した。
(8) 一時的な制限措置 (2017年12月25日)
  • 不審な行為が確認されているアカウントとして、一時的な制限の措置が取られた。
  • 規約違反の報告者によれば、「Twitterルールに違反していることが判明したこと」が報告されている。
(9) なりすましとみられるアカウントによる攻撃依頼(2018年1月2日)
  • 特定のアカウントに成りすましたとみられるアカウントを通じ、攻撃示唆の投稿を行っているアカウントへ攻撃依頼が行われた。
  • 攻撃が依頼された2つのサイトはその後攻撃示唆の投稿が行われ、その内1件は接続障害が発生した。

(10) 寄付を要求する書き込み(2018年1月5日)

更新履歴

  • 2017年12月13日 AM 新規作成
  • 2017年12月14日 AM 最新情報を反映
  • 2017年12月18日 AM 最新情報を反映
  • 2017年12月19日 AM 最新情報を反映
  • 2017年12月20日 AM 最新情報を反映
  • 2017年12月21日 AM 最新情報を反映
  • 2017年12月22日 AM 最新情報を反映
  • 2017年12月24日 AM 最新情報を反映
  • 2017年12月25日 AM 最新情報を反映
  • 2017年12月25日 PM 最新情報を反映
  • 2017年12月26日 PM 最新情報を反映
  • 2018年1月3日 AM 最新情報を反映
  • 2018年1月4日 PM 最新情報を反映
  • 2018年1月6日 AM 最新情報を反映
  • 2018年1月7日 PM 最新情報を反映