2020年06月08日

DDoS攻撃請負サービスの運営で6000万円以上を稼いだ犯人たちに「6カ月の社会奉仕活動」が命じられる



大量のマシンを使って過度な負荷をかけることでウェブサイトを機能停止に追い込むDDoS攻撃については、一部の犯罪者グループが「DDoS攻撃請負サービス」を運営し、依頼者から報酬をもらって攻撃を代行していることが指摘されています。2012年~2016年にかけて世界中で大量のDDoS攻撃を仕掛けたDDoS攻撃請負サービスvDOSの運営者らに、「6カ月の社会奉仕活動」という判決が下ったと、サイバーセキュリティ専門のブログであるKrebs on Securityが報じました。



2016年に閉鎖されるまで、vDOSは市場で最も信頼の置けるDDoS攻撃請負サービスとして知られており、インターネットに詳しくないユーザーでもvDOSに依頼するだけで、ほとんどのウェブサイトを機能停止に追い込むことができたとのこと。表向きには「DDoS攻撃のストレステスト」を提供していたvDOSは、最大50GBpsの攻撃が可能な点をアピールしており、これは高価なDDoS攻撃防御サービスで保護されていないウェブサイトをダウンさせるには十分な能力でした。



実際にはほとんどのユーザーがストレステスト目的ではなく、DDoS攻撃請負サービスとして利用していたvDOSについて、Krebs on Securityは2016年9月8日に特集記事を掲載。vDOSの運営者がイスラエルに住む2人の若者であることや、2014年7月以降だけで60万ドル(約6600万円)以上を稼いだことなどを暴露しました。「2012年~2016年にインターネット上で行われたDDoS攻撃の大部分は、vDOSによるものと言っても過言ではありません」と、Krebs on Securityは述べています。



Krebs on Securityが記事を掲載したのと同じ日に、イスラエルに住むYarden Bidani容疑者とItay Huri容疑者の2人が、vDOSを運営していた容疑で逮捕されました。なんとこの2人は逮捕当時18歳であり、サービスを開始した2012年にはわずか14歳であったことも判明して大きな話題となりました。この数日後には、DDoS攻撃からの保護サービスを提供する企業が「インターネットが経験したこれまでに最大の攻撃の1つ」と形容するほどのDDoS攻撃がKrebs on Securityに対して行われましたが、これはvDOSの運営者が逮捕されたことへの報復と見られているそうです。





2020年にイスラエルの裁判所が下した判決文によると、2人は「コンピューター又はデータの破損・妨害」の罪で有罪となりましたが、その刑はいずれも「6カ月の社会奉仕活動」という非常に軽いものだったとのこと。DDoS攻撃に関する裁判はイスラエル国内での前例がほとんどなかったそうで、裁判官は今回の判決について、「この種の事件はこれまでのところ法廷で議論されていません」と述べています。なお、2人には罰金刑も科されており、すでに17万5000ドル(約1900万円)相当の金額が、vDOSの運営で得た収益から徴収されている模様。



サイバーセキュリティ企業のCEOを務めるBoaz Dolev氏は、2人が引き起こした被害の規模を考えると、今回の刑はあまりに軽すぎて失望したと語っています。vDOSの攻撃は非常に多くの企業に大きな損害を与えたため、イスラエルの司法制度はより厳しい刑を与えるべきだったとDelov氏は指摘。「犯罪当時に18歳未満だったという事実は、彼らをより厳しい刑から救いました」と、Delov氏は述べました。





DDoS攻撃請負サービスに関連して懲役刑を下される犯罪者の割合は少ないそうで、Miraiボットネットの作成者もFBIへの協力と引き換えに懲役刑を免れています。しかし、近年ではアメリカやイギリスの検察も、DDoS攻撃請負サービスで逮捕された犯罪者らに対し、より厳しい刑を求めるようになっています。たとえばアメリカ・イリノイ州在住の21歳の男は複数のDDoS攻撃請負サービスを運営したことで懲役13カ月の刑を受けており、DDoS攻撃請負サービスのTitanium Stresserを運営していた20歳のイギリス人の男も懲役2年の刑を受けているとのこと。



イギリス当局はインターネットの広告枠を購入し、「DDoS攻撃請負サービスを利用して他人のウェブサイトを攻撃することは犯罪である」とユーザーに通知するなど、新たな事件の発生を防ごうとしています。当局の目標はユーザーをこれらの懲役刑を下される可能性がある犯罪から遠ざけ、彼らのサイバーセキュリティに関するスキルおよび好奇心をより生産的なものに向けさせることだそうです。