お金を払えば好きなサイトにDDoS攻撃できる代行サイトを運営した6人の男たちが起訴される

攻撃対象に膨大なトラフィックを送信し処理不能に陥らせるDDoS攻撃は、これまでに多数の企業や政府機関に被害を与えています。そんなDDoS攻撃の代行サービスを運営していた6人の人物がアメリカ司法省に起訴されました。今回起訴された人物らはアメリカおよび海外の教育機関や政府機関、ゲームプラットフォーム、何百万人もの個人にDDoS攻撃を実行したとされています。

Federal Prosecutors in Los Angeles and Alaska Charge 6 Defendants with Operating Websites that Offered Computer Attack Services | USAO-CDCA | Department of Justice
https://www.justice.gov/usao-cdca/pr/federal-prosecutors-los-angeles-and-alaska-charge-6-defendants-operating-websites

Six Charged in Mass Takedown of DDoS-for-Hire Sites – Krebs on Security
https://krebsonsecurity.com/2022/12/six-charged-in-mass-takedown-of-ddos-for-hire-sites/

DDoS攻撃とは、複数のコンピューターを使用して攻撃対象に過剰なデータを送信することで処理不能に陥らせるサイバー攻撃です。今回共謀罪およびコンピューター詐欺・乱用防止法違反の罪で起訴された人物の1人である、アメリカのテキサス州に住むジェレミア・サム・エバンス・ミラー容疑者は、DDoS攻撃を代行するウェブサイト「RoyalStresser.com」を運営していました。ミラー容疑者に対する訴状では、2021年11月から2022年2月の間に約20万件のDDoS攻撃を仕掛けたとされています。

同時に起訴されたその他の容疑者らもそれぞれDDoS攻撃請負サービスを運営しており、フロリダ州に住むエンジェル・マヌエル・コロン・ジュニア容疑者は「SecurityTeam.io」を運営し、2018年から2022年までの間に130万回の攻撃を行っていました。また、コリー・アンソニー・パーマー容疑者とシャマー・シャトック容疑者は「Booter.sx」「Astrostress.com」を運営し、約70万回の攻撃を行ったとされています。

ハワイ州に住むジョン・M・ドブス容疑者は「Ipstressor.com」を運営しており、2009年から2022年11月の13年間で約3000万件のDDoS攻撃を仕掛けていました。ニューヨーク州のジョシュア・レイン容疑者は2018年から2022年の間に「TrueSecurityServices.io」で120万回以上の攻撃を実施したとされています。

これらのウェブサイトは使用条件として、ユーザーが自身のネットワークへのストレステストを目的とし、他者を攻撃するためにサービスを利用しないことを定めており、今回起訴された6人は「法律に違反していません」と主張しています。

一方でアメリカ司法局は、これらのサービスは攻撃に使用するデバイスを所有しているのではなく、誤って構成されたデバイスを勝手に利用してDDoS攻撃の規模と影響を最大化しており、免責事項はこの点を無視していると指摘しています。

連邦捜査局(FBI)は、DDoS攻撃を行うことは電信詐欺法とコンピューター詐欺・乱用防止法の両方で処罰の対象となり、逮捕や起訴、電子機器の押収につながる可能性があると警告しています。

「SecurityTeam.io」をはじめとするDDoS攻撃の代行サービスは「booter」と呼ばれ、世界各国で「booter」について検索した人に対して攻撃を依頼した際に起こりうる法的リスクを説明するサイトへ誘導する広告が表示されるなど、各国で「booter」対策が行われています。

FBIのアントニー・ユング氏は「ユーザーやサイトの管理者はこうした違法なサービスをに手を出す前によく考えるべきです」と述べています。