SCAN DISPATCH :グルジア大統領を中傷する偽BBCスパム攻撃が発見される | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

SCAN DISPATCH :グルジア大統領を中傷する偽BBCスパム攻撃が発見される

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 8月16日に、ロシアとグルジア間で停戦合意が成立されたが、米国のインターネット専門家によると、一時安定していたグルジアのインターネットのインフラが、週末の15日に再び不安定になっている。

 Renesys社のEarl Zmijewski氏はそのブログで、グルジアのインターネットのインフラをモニターしている。Zmijewski氏によると、グルジアには309のプレフィックス(IPアドレスのブロック)が、26のISPなどに割りあてられている。ロシア・グルジア開戦の8月8日から10日にかけては、最高35%のプレフィックスが断続的にインターネットから消滅、つまりダウンしており、最高60%のプレフィックスが不安定になっていた。その後約一週間は、比較的安定していたが、8月15日になって再び、最高25%がダウン、35%ほどが不安定になった。ダウンしているプレフィックスの68%は、グルジアの大手DSLプロバイダであるUnited Telecom of Georgia (AS 35805)のもの。Zmijewski氏は筆者とのメールインタビューで、「国全体のインターネットがダウンしているのではなく、一部のネットワークがごっそりとダウンしている場合は、物理的な原因−停電やケーブルの切断−が考えられるが、ダウンしたネットワークが数時間後には復旧していることから、ケーブル切断ではなく停電が原因だろう」と述べており、一部マスコミに報道された大規模なサイバー戦争を否定している。

 この意見に同意しているのは、元イスラエルCERTのマネージャーであるGadi Evron氏。Evron氏は、今年の5月に、同じくロシアからのサイバー攻撃にあったエストニアに派遣され、攻撃回避と復旧を手伝ったサイバー攻撃の専門家だ。彼はそのブログで、「グルジアのWebサイトにボットネットの攻撃が行われているが、インフラへの直接攻撃は行われていないようだ」と結論付けている。Evron氏は筆者とのメールインタビューで、「エストニアに対するサイバー攻撃は、誰が先導しているかにかかわらず、明らかに組織的なものだったが、今回のグルジアに対する攻撃は組織的なものではないようだ。(預言者モハメッドの風刺漫画を巡る論争やイラク戦争など)政治的衝突が起こると一部のオンライン賛同者が必ずサイバー攻撃を行っているが、グルジアへのサイバー攻撃もそれだろう」と述べている。

 攻撃が組織的なものでないことを示す良い例が「www.stopgeorgia.ru」である。「われわれはロシアのhako-undergroundの代表である。グルジアの挑戦には我慢できない」とのスローガンを掲げ、図1のようにグルジアの国会、裁判所、文化省などの主要機関をリスト化、同時に「DDoS攻撃用のツールのダウンロードができるようになっている」(Armin氏)いわゆるDDoSのワン・ストップ・ショッピングのサイトだ。

図1:stopgeorgia.ru スクリーンキャプチャ
https://www.netsecurity.ne.jp/images/article/stopgeorgia.jpg

 一方、今回のグルジア向けのDDoS攻撃をモニターしているのは、 Jart Armin氏。Armin氏もブログで、8月9日に、Russian Business Networkが発信源になったサイバー攻撃を報じている。氏は「最初にグルジアに対するサイバー攻撃が行われたのは、TTnet Turkish Telecomであり、使われたボットネットの技術もツールも、過去にRussian Business Networkが使用したものである」と述べている。

 そのRussian Business Networkが発信源と思われる中傷スパムが、8月15日、 Alabama at Birmingham大学の Spam Data Mineによって発見された。

 同大学のコンピュータフォレンジック研究ディレクターであるGary Warner氏によると、スパムには「BBC NEWS」「Weekly BBS NEWS」「your subscription」の3種のタイトルがあり、その内容は「(グルジアの大統領)サアカシュビリのホモ・スキャンダル!今週の大ニュース!サアカシュビリのホモ・ビデオを視聴!」と猥雑な表現で書かれており、実際にBBCのWebサイトから写真をリンクしていると同時に、スパムにあるリンクをクリックすると約15のサイトからマルウエアがダウンロードされる。今回、ユーザーのPCに配布されるウイルス name.avi.exe は…

【執筆:米国 笠原利香】

【関連リンク】
Renesys社のブログ
http://www.renesys.com/blog/index.shtml
Gadi Evron氏のブログ
http://www.circleid.com/posts/88116_internet_attacks_georgia/
Jart Armin氏のブログ
http://rbnexploit.blogspot.com/
University of Alabama at Birmingham Spam Data Mineのプレスリリース
http://main.uab.edu/Sites/MediaRelations/articles/50618/
RBNとABDALLAH INTERNET HIZMETLERI (AIH)に関する白書
http://www.shadowserver.org/wiki/uploads/Information/RBN_Rizing.pdf
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

  5. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  8. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  9. Mac OS X のシングルユーザモードの root アクセス(2)

  10. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×