2016年、ハッカーたちは、脆弱なセキュリティカメラやルーターといったインターネット接続機器のネットワークを乗っ取り、当時インターネット上で最大規模のウェブサイトのいくつかを数時間にわたってオフラインにしました。Twitter、Reddit、GitHub、Spotifyは、その日、断続的にダウンしました。これは当時、史上最大規模の分散型サービス拒否攻撃の一つでした。
DDoS攻撃は、悪意のあるトラフィックを大量にウェブサイトに送り込み、ウェブサイトをオフラインにすることを目的としたサイバー攻撃の一種です。DDoS攻撃は2016年以前から存在していましたが、この一件で多くの主要サービスがダウンしたという事実は、サイバーセキュリティについてあまり知識のない人々の注目を集めました。
それ以来、これほどニュースで取り上げられるDDoS攻撃はかつてありませんでしたが、問題は依然として残っています。2022年12月15日、クリスマス直前――歴史的にはDDoS攻撃が頻繁に行われる時期――に、FBIはブーターまたはストレッサーと呼ばれる、いわばDDoS攻撃代行サービスを販売するウェブサイト数十件を閉鎖したと発表しました。これらは、ハッキングスキルがほとんどない、あるいは全くない人でもDDoS攻撃を実行できる、比較的安価なサービスです。
同日、連邦政府はこれらのサービスを運営していたとされる7人を逮捕したと発表しました。その後、FBIはこれらのサービスを標的とし、5月にさらに多くのブーターサイトを閉鎖しました。
こうした最近のすべての作戦、そして悪名高い2016年の攻撃で使用されたマルウェアであるMiraiの捜査は、アンカレッジのFBI事務所が主導した。
水曜日、これらの捜査を主導したFBI捜査官の一人、エリオット・ピーターソン氏が、ラスベガスで開催されたサイバーセキュリティカンファレンス「Black Hat」で講演した。ピーターソン氏は、サイバー犯罪を専門とする検察官のキャメロン・シュローダー氏とともに、クリスマスと5月の摘発につながった捜査の裏側について語った。
シュローダー氏はまた、押収されたウェブサイトに代わるスプラッシュページを作成したのがピーターソン氏自身だったことも明らかにした。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
10年間にわたりDDoS攻撃に焦点を当ててきたピーターソン氏は、木曜日にTechCrunchのインタビューに応じ、DDoSサービスの背後にいる人物を追跡し、どのサービスを停止させるべきかを特定するという自身の取り組みについて語った。彼は、法執行機関がこれらの捜査でどのような目標を掲げているか、DDoS攻撃が長年にわたってどのように変化してきたか、背後にいる人物は誰なのかなどについて説明した。
以下のトランスクリプトは簡潔さと明瞭さを考慮して編集されています。
TechCrunch: DDoS攻撃の調査はどれくらい前から行われているのでしょうか?また、DDoS攻撃は時間の経過とともにどのように変化してきたのでしょうか?
おそらく9年から10年くらいです。そして、状況はかなり変わりました。私がこの問題に取り組み始めた頃は、市場と顧客基盤の大部分を占める、トップクラスのブーターやストレサーサービスを中心に考えていました。しかし、ブーターとストレサーの調査を進めるうちに、ボットネットの世界に足を踏み入れてしまいました。ですから、DDoS攻撃で最も脅威だと考える部分と、それに対処する部分の間で、まるでヨーヨーのように行ったり来たりを繰り返してきました。そして、犯罪者は私たちの行動に反応して変化し、私たちは学び直さなければなりません。この9年から10年ほど、このようなプロセスを繰り返してきたのです。
過去 10 年間で見てきた最大の変化は何ですか?
多くの点で、パートナーの拡大が大きな成果だと思います。当初は、DDoS攻撃を理解し、その対策に注力している方々と協力しようとしていましたが、それはセキュリティコミュニティの中でもごく一部でした。しかし、ここ数年で、民間企業、学術界、法執行機関など、パートナーの数が大幅に増え、この問題に強い関心を持つ方々が増えてきました。
これはメディアの偏見かもしれませんが、DDoS は退屈な問題、あるいは解決済みの問題であるという印象が時々あるように感じます。
いえいえ、全く間違っていません。私たちは常にそれに遭遇しています。そして、ある程度は真実である面もあれば、断固として真実ではない面もあります。しかし、一部のDDoS攻撃が一時的であることを考えると、攻撃が続いている間は問題であり、攻撃が止まった後も問題になるかもしれません。
「一般的に、ニュースに取り上げられるほど大きな組織であれば、我々の監視対象になり始めます。」エリオット・ピーターソン、FBI
ウェブサイトや個人を一時的に混乱させるだけの意図であれば、攻撃中は多少の問題、あるいは大きな問題に過ぎず、その後は忘れ去られたり、別の問題に移ったりするかもしれません。しかし、ある程度の規模や量のDDoS攻撃は全く別の問題です。そのため、DDoS攻撃は問題ではないと言う人の多くは、ウェブサイトが頻繁にダウンしたり、脅威があまりにも大きく、緩和策がない状況に陥ったりすると、泣き言を言っているのです。
FBIアンカレッジ支部の取り組みの中でユニークなのは、この期間を通して、この種の犯罪に特に重点を置いてきたことです。そのため、実際に深刻な問題になった際に、より迅速に対応できるようになりました。しかし、例えば攻撃の頻度という点では、規模で見ると、これはサイバー犯罪における最大の問題の一つです。
経済的損失はどのくらい大きいのでしょうか?
それを判断するのは難しいです。恐喝があったり、被害者が一定額の金銭を支払わなければならないケースもあります。しかし、DDoS攻撃には間接的なコストが伴います。継続的にDDoS攻撃を受けている場合、多くの被害者は攻撃者の手の届かないところで自費で解決できますが、それは彼らの帯域幅コストを徐々に増加させています。これは私たちにとって把握するのが非常に難しいと思います。しかし、例えばDDoS緩和を専門とする企業の規模を見てみると、それがビジネスモデルとなっている非常に大規模な企業がいくつかあります。ですから、私はこれに価格を付けたくありません。
そうですね、Cloudflareは巨大企業です…
AkamaiやFastlyも同様です。そういったケースは数多くあります。また、各ISPは特定の顧客を特定のDDoS攻撃から守るために、特定のプランを推奨しています。これはインターネット利用者全体の費用増加につながる要因の一つだと考えますが、正確な金額を把握するのは困難です。
では、誰を攻撃するかをどうやって決めるのですか?これは大きな問題です。どうやって戦う相手を選ぶのですか?
最もエキサイティングな点の一つは、選択し、検討し、検討できるということです。一般的に、私たちはトップクラスのサービスを優先しています。つまり、最も多くの攻撃を行っているのは誰でしょうか?最も長く活動しているのは誰でしょうか?最も多くの顧客を抱えているのは誰でしょうか?ブーターストレッサーサービスに対して最も大規模な攻撃を実行できるのは誰でしょうか?
例えばボットネットにどう焦点を当てているかという質問も、同じような方法論です。しかし一般的には、ニュースに取り上げられるほど大きな企業であれば、私たちのレーダーに引っ掛かり始めます。そして、私たちは少し立ち止まって、そのような問題に焦点を当てるかもしれません。
数年前のみらいちゃんのように。
ええ、あれはFBIアンカレッジ支部の事件でした。誰もが「DDoS攻撃は問題ない」と言っていたのに、Miraiのようなボットネットが登場し、DDoS攻撃が一時期本当に問題になったという好例です。実は、この事件はアンカレッジで最初から最後まで担当したのですが、基本的にブーターストレッサーサービスについて学んだことをすべて活用し、Miraiに対処した後、再びブーターストレッサーサービスに取り組みました。
Miraiは大ヒットしました。あの日はインターネットが数時間ダウンしたのを覚えています。今考えると信じられない話です。目標は何だったのでしょうか?もちろん犯罪者を捕まえるのが目的ですが、抑止力になるのでしょうか?低レベルの犯罪者にアクセスして、より大きなサービスに狙いを定めるためでしょうか?どのような考えだったのでしょうか?
全体的に見て、私たちの考えは、これらのサービスの脅威を軽減することで、他の種類の犯罪にも応用できる教訓は何だろうかということです。DDoSサービスへの対策から、インターネットをより安全にするだけでなく、ランサムウェア、リモートアクセス型トロイの木馬、その他のインターネットツールにも応用できる教訓は何だろうか。キャメロン(シュローダー)と私が議論しようとしていたのは、まさにこのことです。しかし、これは人々がほんの少ししか注意を払わない問題であり、常に注力することで大きな成果を上げていると考えています。
抑止力はどの程度効果があったのでしょうか?シュローダー氏は以前、大規模な攻撃の後、DDoS攻撃が20%減少したと発言していました。これについてもう少し詳しく教えていただけますか?
私たちは数字に価値を置いています。しかし、DDoS攻撃を計測し、DDoS攻撃の発生場所を正確に把握してその軌跡を追跡できるため、直近のオペレーションでは、1日あたりの攻撃量がほぼ20%減少したと推定しています。他のオペレーションでは、それよりも少ない、あるいは多い減少率でした。
今回素晴らしいのは、少なくともそれが持続しているように見えることです。顧客ベースの一部は移行したかもしれません。そして、まさにそれが私たちの目標です。人々にこれが犯罪であることを啓蒙し、人々に責任を負わせ、若い男性や一部の若い女性がこれらのツールへのアクセスに慣れてしまうような状況に陥らないようにすることです。なぜなら、月20ドルで利用できるような強力なツールにアクセスできると(ちなみに、自宅で同じ帯域幅を利用しようとすると、月250ドルから350ドル、あるいはそれ以上の料金を支払うことになります)、人々はそれに慣れてしまい、これらのサービスを使い続けてしまうからです。私たちは人々に、これは犯罪であり、すべきではないことを説明して、他の犯罪問題に集中できるようにしたいと考えています。
前回は20%減少したとおっしゃっていましたが、それは3月の営業ですか、それともクリスマスの営業ですか?
それはクリスマスと3月のことでした。クリスマス後には一連の作戦が発表されました。攻撃量は全体で約20%減少しました。しかし、いくつかの大学がこの件を研究しているので、近いうちにもっと良いデータが得られることを期待しています。
ブーターを追跡することは、その背後にあるボットネットを解体しようとすることにもつながっているのでしょうか?
私にとって、これらは機能的に全く異なるものです。ただし、ボットネットに結びついたり、ボットネット機能を追加したりするブーターサービスが存在するという点が異なります。しかし、ボットネットの被害者デバイスを考えてみると、一般的にはレイヤー7攻撃、つまりTCPベースの攻撃と呼ばれるものを実行します。ボットネットを構成する感染した被害者デバイスが、意図した被害者と実質的にやり取りできるため、非常に強力になる可能性があります。一方、ブーターの場合は、ほとんどの場合、データを増幅させる巧妙な攻撃を実行します。しかし、結局のところ、それらはすべて要求されていないUDPです。単なる帯域幅であり、フィルタリングしたり、ドロップしたりできます。
ボットネットは、一般的に、はるかに困難です。私たちはそれらを異なる脅威と見なしています。しかし、それらはある意味では同じ犯罪経済の中に存在していると理解しています。違いは、ボットネットははるかに費用がかかる傾向があることです。より大きな犯罪的経済的目的を持つ人々がボットネットをよく利用しています。また、ブートサービスの方がはるかに安価で、顧客層が異なるケースもあります。
ボットネットはゲームを妨害したい子供向けではないと言ってもいいのではないでしょうか?
ボットネットは一般的に、例えばゲームサービス全体を混乱させるために利用されます。ボットの数やそれらのボットの利用可能なピーク容量は、ブーターの場合よりも必ずしも大きいとは限りませんが、多くの場合は大きくなります。ユースケースは少し異なります。ボットネットが成功するのは、単に誰かをゲームから追い出すだけでなく、ゲームサービス全体をダウンさせる場合が多いのです。
そういえば、数年前にPlayStation Network全体がダウンしたときのことを思い出しました。クリスマスの日か翌日でした。
「我々の望みは全員を逮捕することではなく、最も問題のある人物を逮捕し、残りの人々にこれが良い道ではないと納得させることです。」エリオット・ピーターソン、FBI
スターパトロールだったはずで、他にリザード隊とかいう名前もいくつかあった。ミライが飛び立つ直前のことだ。
本当に面白い話ですが(長いのでここでは割愛しますが)、ミライの開発の一部は競争によって推進されました。クリスマス攻撃を実行したグループが、非常に効果的な [モノのインターネット] ボットネットを保有していたからです。
両者は同じ脆弱性を認識していました。そして、その脆弱性を制御できる者は、何十万ものデバイスを制御していました。彼らは実際に、誰がそれらのデバイスすべてを制御できるかを競い合っていました。これが、Miraiを非常に効果的なものにした多くの進歩の原動力となったのです。
2022 年のクリスマスなど、DDoS 攻撃が多発する時期に合わせて作戦を計画することもあります。これを行う動機は何ですか?
まさにおっしゃる通りです。歴史的に見て、クリスマスは様々な理由からDDoS攻撃が最も活発な時期です。私たちは、クリスマスの時期に攻撃活動のタイミングを合わせようとしています。12月までの攻撃で発生した空白期間では、DDoS攻撃の実行がはるかに困難になります。逮捕されなかった攻撃者は、再び現場に戻って準備を整えなければならないからです。誰もが次に何が起こるのかと不安に感じています。だからこそ、私たちは攻撃のタイミングを合わせたのです。ある意味、私たちはDDoS攻撃が最も激しい時期と競合する状況に身を置いているのです。別の時期を選べば、より攻撃が減少する可能性もありますが、だからこそ、この時期を狙ったのです。銀行などの業界は、クリスマスの時期に非常に神経質になることがあります。今回の攻撃によって、その状況が少し変わりました。
それは犯罪者自身にもメッセージを送るのでしょうか?
理想的には、私たちが目指しているのは、抑止力という幅広いメッセージを送ることです。全員を逮捕することではなく、最も問題のある人物を逮捕し、残りの人々にこれは良い道ではないと納得させることが私たちの望みです。
サイバー犯罪者について言えば、これらのサービスを誰が使用し、誰が運営しているかという点で、サイバー犯罪者に関する誤った想定がいくつかあると昨日おっしゃっていましたね。
ええ、DDoS攻撃は私にとって非常に独特なサイバー犯罪者のプロファイルを持っています。一般的に、北米か西ヨーロッパを拠点とする人物がいます。彼らはゲーム業界でコミュニケーションを取り、若い男性が多いです。他のサイバー犯罪にも関与している場合もありますが、DDoS攻撃は最も頻繁に発生するタイプの1つかもしれません。彼らは通常、何らかの形でゲーム業界と関連しており、サービスの規模にもよりますが、年間3万ドルから5万ドル、あるいは10万ドルを稼いでいます。彼らは16歳から19歳の間でキャリアをスタートし、トップクラスのサービスプロバイダーになる頃には(そして私たちが彼らに追いつく頃には)、プロファイル的には19歳から25歳くらいになっていることが多いです。
その年齢なら悪くない金額だよ。
それが問題ですよね?私たちが解明しようとしてきたのは、この種の犯罪に経済的な要因がある場合、人々をサービスから遠ざけるのが難しくなるということです。
彼らの技術はどれほど洗練されているのでしょうか?彼らがOPSECでかなりひどいミスを犯していることがお分かりいただけたと思います。
犯罪の種類と顧客層から判断すると、彼らは一般的に、従来のサイバー犯罪者ほど洗練されていないと言えるでしょう。しかし、それは完全に公平とは言えません。なぜなら、サービスを提供する犯罪者は、サービスを利用する犯罪者よりも洗練されている傾向があるからです。DDoS攻撃サービスを運営している人を見てみると、彼らは通常、顧客よりもはるかに技術的に洗練されています。
しかし、彼らは、リモートアクセス型トロイの木馬やその他の何かを実行する誰かの後塵を拝しているかもしれません。なぜなら、彼らが使用しているツールは概してオンライン上に配置されているからです。そのため、成功するには、多少のWeb開発経験と、豊富な顧客サービス経験が求められることがよくあります。彼らが利益を上げたいのであれば、顧客とのやり取りを何度も繰り返す覚悟が必要です。
昨日、VPNを使っていない人もいるとおっしゃっていましたね。それについてもう少し詳しく教えていただけますか?
多くの人がVPNを使っていません。サイバー犯罪の世界では、すべてのアクターがVPNを使っているというのは全くの誤解だと思います。そして、VPNを使っていても、残念ながら、VPNを突破しなければならない方法を理解していないアクターも多いのです。
ブーターの世界では、VPNの使用は珍しいというよりむしろ珍しいと言えるでしょう。しかし、他の犯罪の種類では、捕まる可能性が低いと思われているケースも少なくありません。犯人は犯罪サービスを利用しており、ログは保存されないと聞かされているため、銀行などの認証情報から現金を引き出そうとする場合のように、必ずしもVPNを利用する必要性を感じていないのです。
その理由の一部は、彼らがすでに何らかの保護を受けていると考えている場所に存在しているからだと思います。
では、誰を追うべきかを特定したら、どのような証拠を探すのでしょうか。また、それをどのように収集するのでしょうか。
顧客を探しているのか、それとも運営者を探しているのかによって異なります。運営者については、プレゼンテーションで説明したように、実際にDDoS攻撃を助長している人物に焦点を絞りたいため、彼らのサービスが機能しているかどうかを確かめようとしています。サービスが機能している場合、誰がそのサービスを開始したのかを質問します。そして、それが明確になったら、彼らの通信アカウントについて質問することがよくあります。彼らは何を使っていて、どのように通信しているのか。多くの場合、誰かの居場所を特定するのに数ヶ月以上かかります。その後、裁判官に許可を得て、基本的に証拠を採取し、尋問します。こうして、蓄積された証拠をすべて検察官に提出し、検察官が今後の対応を決定します。
つまり、それは国民の側の問題です。どの時点でサービスを差し押さえ、停止することを決断したのですか?そして、なぜそう決断したのですか?
この事件の面白いところは、私たちが同時に多くのことをしようとしているので、複数のことをまとめて行うということです。例えば私の捜査のように、複数の俳優についてまとめて質問をすることもあります。もちろん、全員を同じ日に訪問するのは難しいです。すべての捜索を1ヶ月か2ヶ月かけて分散させることもあります。でも、通常は私たちだけでなく、パートナーと一緒に日程を決めます。
期日に間に合わないこともあります。それがこの業界の本当に複雑なところです。これまで私たちがやってきたように、多くのことを同時に進めるには、しばしば数ヶ月先の期日を確定させなければなりません。しかも、全員が異なる役割を担うことになり、大きなプレッシャーがかかります。通常、期日のかなり前に準備を整え、誰に料金を請求するかを決めています。しかし、サービス提供を停止する仕組みは非常に複雑です。それに、私たちが行う1週間前に誰かがホスティングを変更するかもしれないし、何か他の変更があって慌てなければならない可能性もあります。
DDoS 攻撃と戦う上で民間部門の役割は何ですか?
多くの点で、彼らは最前線に立っています。ホスティング会社やDDoS防御会社など、この問題に真剣に取り組んでいる企業です。彼らは、私たちがこの問題に対処するために必要な科学技術を理解できるよう、素晴らしい仕事をしてくれています。
新しい攻撃手法やサービスが登場すると、多くの場合、最初に彼らから情報を得ます。彼らは、私たちがより適切な判断を下すために必要な情報を提供してくれます。そして、私たちが彼らに任せている役割の大部分は、まさにそれです。彼らは、何が効果的で何が効果的でないかについてのフィードバックを提供し、私たちの戦略策定を支援してくれます。これは必ずしもどのサービスを狙うべきか、インタビューで彼らに何を言うべきかといった問題ではなく、むしろ「クリスマスにこれを実施すべきか?」「これらのサービスのテストではどのプロトコルを優先すべきか?」「どうすれば、大きな被害を出さずにこれらのサービスをテストできるか?」といった問題です。
本当にチームスポーツのようなものですか?
はい、そうです。
DDoS の被害者にはどのようなメッセージを送りますか?
ぜひご連絡ください。アンカレッジでは、DDoS攻撃の被害者、特に大規模プラットフォームへの攻撃を受けた方々へのコンサルティングを数多く行っています。
報告方法はいくつかあります。私たちは必ずしも技術的な修復を行うわけではありませんが、被害者が「これは短期的な攻撃なのか?長期的な攻撃なのか?」「攻撃者の動機を理解しているのか?」といった点を理解できるよう支援しています。攻撃者の動機や攻撃方法が分かれば、攻撃者が攻撃にどれくらいの費用をかけているのかも理解できるようになります。これは重要な点です。なぜなら、企業に激怒して数千ドルを費やす攻撃者と、ブートサービスの安価なプランを利用している攻撃者では、リスクの度合いが全く異なるからです。
被害者の方々には、ぜひ私たちにご連絡ください。DDoS攻撃の被害に遭われた方、金銭的な損失を被った方、そして攻撃が多数に及ぶ方など、ぜひご連絡いただき、お話を伺いたいと思っています。
昨日、ハッカーたちの生活がまだ十分に厳しくなっていないとおっしゃっていましたが、今後、どのような対策を講じる予定ですか?
より効果的な運用方法を学び続けることが私たちの願いです。それは、より大規模で、より流動的な要素、そしてより多くのパートナーを必要とすることを意味するかもしれません。次の段階は、私たちが保有しているデータに見合っていないと考えているお客様を徹底的に調査し、より多くのお客様を対象とする体制に移行し、攻撃の責任を彼らに負わせることです。
最後に、差し押さえ通知書のロゴを作った時のご経験について教えていただけますか?
私たちは、こうした取り締まりや押収に関して豊富な経験を持つ、特に国際的な法執行機関をはじめとするパートナーからフィードバックを受けています。彼らは「私たちは、とても滑らかな青い押収ページを作成しています」と言うのですが、「いや、赤でなければなりません。彼らに『停止』という概念を直感的に伝える必要があります」と言うのです。一見簡単そうに見えますが、全員が同意できる背景をどのように用意すればいいのか、誰のロゴをどこに配置すればいいのか、どのくらいの大きさにするのか、そして、私たちが依頼される、想定外の奇妙な作業はいくつもあるのでしょうか? 私たちには、そういった作業の多くを手伝ってくれるグラフィックサポート部門がほとんどないからです。
ロゴにクリスマス帽子を付けましたか?
いいえ、研究者がそうしました。正直言って、私は戦いに負けました。次回、それを公式ロゴとして使おうとしたのですが、それはただおかしな行為だと思ったのでダメだと言われました。
米当局、DDoS攻撃を請け負うウェブサイトに関連するドメインをさらに押収
