Wikipedia、Twitch、World of WarcraftがDDoS 攻撃を受ける
2019 年 9 月 9 日 Marc Laliberte
週末のことです。オンラインゲームの World of Warcraft Classic(15 年前に発表されたオリジナル版の公式復刻版)を待ち望んでいたゲーマーたちは、ゲームの世界を冒険する代わりに、UKDrillas と名乗る攻撃者によるゲームサービスへの大規模DDoS 攻撃によって発生したネットワーク切断とサーバダウンに見舞われることになりました。同グループは、これを受けて、ツイッターアカウントが規約違反を理由に凍結されており、金曜日の夜に Wikipedia をダウンさせた犯人でもあるとされています。同グループのツイッターアカウントは、土曜日までは目立った動きはなく、日曜日の朝に World of Warcraft と Twitch (ビデオストリーミングサービス)に対し、計画的な攻撃を仕掛けました。どちらのサーバも米国でホスティングされていました。
しかしながら、この事件は、World of Warcraft を開発し、メンテナンスをしている Blizzard 社 が DDoS 攻撃で狙われた最初のケースという訳ではありません。去年も、2010年に開始された攻撃に関連して、連邦検事がルーマニア人ハッカーに対して 1 年の禁固刑を言い渡しています。ビデオゲームサービスに対する DDoS 攻撃は、高度の技術を必要とすることなく、有名な会社を標的にすることで注目を集めようとするハッカーの常套手段とも言えるものです。Lizard Squad として知られるハッカー集団がオンラインゲームのネットワークである Xbox Live と PlayStation Network を 2014 年のクリスマスに攻撃したことは有名です。
多くの場合、攻撃者がビデオゲームサービスを狙うのは「面白がるため」、つまりユーザを怒らせるのが目的ですが、今回の Wikipedia 、Twitch、World of Warcraft に対する攻撃は、ビジネスを妨害する行為であったと判断できるだけの理由があり、攻撃初日の後半に、この攻撃に関与しているとされるグループのツイッターアカウントが、DDoS 攻撃への対策を求める公的な要請を Blizzard社に出していました。加えて、最も人気のあるマルチプレーヤーゲームのすべてのサーバを同時にダウンさせることのできるようなボットネットをサービスとして貸し出せるのであれば、いくつもの前例があるように、それなりの金銭的価値があります。
攻撃者が攻撃を実行するために十分なトラフィックを発生させた方法の詳細はほとんど不明ですが、これまでにわかっている証拠からいくつかの結論を出すことはできます。日曜日の Blizzard 社の DDoS 対策は、ほとんどの Linux ベースのユーザからのアクセスをブロックするというものでした。ここから推測できるのは、攻撃は Linux ベースのシステムからのものである可能性があり、おそらく感染した IoT デバイスや3 年前に Mirai ボットネットの動力源となったコンシューマ向けルータのようなものかもしれないということです。Linux ベースの World of Warcraft のユーザは、手動でネットワークの TTL 設定を変えることで、 Blizzard 社のサーバに接続できるようになりました。TTL とは Time-To-Live の略で、この設定によって、ネットワークパケットがルータによって破棄されるまでの「ホップ」数が制御されます。OSによってTTL のデフォルト設定が異なるため、Blizzard がパケット TTL ヘッダを検査して、悪意がある可能性のあるトラフィックを識別してアクセスできないようにしたのだとすれば、納得できることです。
攻撃者が痕跡を隠し通すことに成功した場合、身元を明らかにするのは困難です。イギリスや近隣の国ではないことを示唆する証拠があり、攻撃者のハンドルネームである UKDrillas がおとりである可能性がある一方で、攻撃のパターンは、イギリス時間で最も活動が活発だったユーザと一致します。さらには、攻撃者が米国を拠点とする IP アドレスのいくつかを特定するのに手こずっていたことから、地元の人間ではない可能性があります。
事件の顛末に注目していた方はご存知かもしれませんが、過度に逆上したゲーマーたちが、ツイッターのハンドルネームと同じ名前の YouTube アカウントのプレイリストから推測することで、攻撃者の身元を特定しました。法執行機関はおそらくすでにその可能性を調査していると思われますが、人々があまり早急な結論に飛びついて、確かとは言えない証拠をもとに特定の個人を攻撃しないよう呼びかけることも重要です。近年において、ビデオゲームサービスに DDoS 攻撃を仕掛ける人物が牢屋行きを免れたケースはあまりありません。攻撃者がなんらかの失敗をして特定される可能性は高いですが、そのプロセスは、当局や専門家に委ねられています。
いずれにしても、月曜日の時点で、影響を受けたサービスをほとんどの人が利用できるようになっています。World of Warcraft を Linux マシンでプレイしている方は(そこまでしてやろうとする努力に感服します)、Blizzard 社のフォーラムの投稿で紹介されている、オンラインに戻すためのヒントを参照してください。他の環境でも、数週間以内に同じボットネットによるDDoS 攻撃が発生する可能性があります。ご注意ください。