piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

WikipediaへのDDoS攻撃とSNSへ投稿された「IoTのテスト」についてまとめてみた

2019年9月6日頃、ウィキメディア財団はWikipediaがDDoS攻撃を受け、一部の地域で同サイトへつながりにくくなる接続障害が発生したと発表しました。Twitter上ではこの攻撃の関連を主張する投稿も行われていました(既にアカウント凍結済)。ここでは関連する情報をまとめます。

ウィキメディア財団の発表

wikimediafoundation.org

  • 接続障害の原因を悪意のある攻撃と表現し、発表が行われた時点で攻撃が進行中とした。
  • 複数の国からの接続が断続的に遮断される状況となった。

DDoS攻撃の状況とその対応

Wikipediaへ行われたDDoS攻撃やその対応について、ThousandEyesNetblocksが公開した記事をまとめると以下の通り。

約9時間の障害
  • 2019年9月7日 2時40分頃から約9時間にわたって世界各地のWikipediaのサイトで接続障害が発生した。
  • 最初に接続障害の影響が確認された主な地域はヨーロッパ、中東、アフリカ。(最初にアメリカで観測されたと報告もある。)
  • その30分後に米国、メキシコ、アルゼンチン、ブラジルでも断続的に影響が出始める。
  • ピークタイム(攻撃から約9時間後)にはインド、韓国、香港、マレーシア、オーストラリアでも影響が確認された。
  • 接続障害が発生していない地域でもHTTPレスポンスタイムに遅延が生じていた。
ネットワークレイヤを狙った攻撃か
  • 障害発生時、TCP層で接続に問題が生じていた。
  • WikipediaのIPアドレス周辺のNTTやTelia等のISPの複数のルーターでもパケット損失が認められた状況から、ネットワークレイヤのDDoS攻撃が行われた可能性を指摘。
Cloudflare導入の動き
  • 観測されていた範囲においては、攻撃直後からWikipedia 米国バージニア州のサイト(208.80.154.224)と外部のルーティングの間にCloudflareが挟まれるようになった。
  • オランダのサイトの経路も多くがCloudflareを経由した経路に変更されていた。

Wikipediaへの攻撃を主張する投稿

  • 障害が発生している同時間帯に同サイトに対し攻撃を行ったと主張する投稿が行われていた。

f:id:piyokango:20190912163212p:plain
攻撃を主張する投稿

  • 自身の投稿の真偽を確実とするために一時的に攻撃中止をする予告を行っていた。
  • Wikipediaへの攻撃に対し、選定した経路にAMS-IX、Equinix Chicagoの名前が上がっており、2つのIPアドレス(91.198.174.193208.80.153.224)が示されていた。AMS-IXが選ばれた理由は(恐らくWikipediaで利用されている)帯域が最大の20 Gだったからとしている。
  • 攻撃の目的を問われたところ金銭の要求をするものではなく新しいIoTを使ったテストをしているだけだと回答。
  • このテストに際し0dayは使っておらず、既知のPoCを用いた新しいデバイスだけによるものとしていた。
  • piyokangoが確認した限り、具体的なIoT製品への言及は確認できず。
  • TwicthやBlizzard CSへのDDoS攻撃にも言及がありBlizzardも被害を発表していた。

f:id:piyokango:20190912070231p:plain
テスト目的と回答

  • その翌日、投稿を行っていたTwitterアカウントが凍結されていた。プロフィールに記載のあったWebサイトdrillas.infoも停止されていた。

f:id:piyokango:20190912125621p:plain
何らかの理由でアカウントはSusptend済

  • ネット上ではDoxする動きがあり、英国のFacebookアカウントにリンクされていたことから関与を疑う声もあるが特定には至っていない。

更新履歴

  • 2019年9月13日 AM 新規作成