2015年4月10日のカナダのToronto大学Citizen Labの調査により、中国のネット検閲システム「グレートファイアウォール」に続いて、それに併設した攻鑿システムが存在することがわかりました。
Citizen Labはこの攻撃システムを「グレートキャノン」と名付けました。
2015年3月のGreatFire.orgとGitHubへの大規模なDDoS攻撃が、観測されたグレートキヤノンによる最初の攻撃となります。
中国内から中国外への通信と中国外から中国内への通信はグレートファイアウォールを通ります。
「分岐」と示された部分で通信内容を傍受し、「監視・検閲」部分で規制・遮断対象のアクセスかどうかを識別します。
ここで規制・遮断対象と識別されると、「INJECTRST」の部分でアクセス元およびアクセス先サーバーに対して、通信を中断・拒否する際に使用するRST (リセット)パケットを送信し、接続を遮断します。
グレートファイアウォルは通信を常に監視することによって、中国当局が望まないアクセスを遮断できるのです。
グレートキャノンの仕組み
グレートキャノンは、「通信経路の変更」の部分で対象となる通信の経路変更をおこない、「攻撃」部分で攻撃対象に該当するか識別します。
該当する場合はアクセス元に対して攻撃コードを送り、該当しない場合はリクエスト先のサーバーに接続します。
攻撃コードを受け取ったアクセス元は踏み台となりグレートキャノンの攻撃に加担させられるのです。
グレートファイアウォールと同様に中国内から中国外への通信と中国外から中国内への通信はグレートキャノンを通過するため、これに利用される通信がごくわずかの割合であっても大規模な攻撃を行なうことができます。
グレートキャノンは通信を乗っ取るため、中間者攻撃ができます。
大量の通信に対応するため、アクセス元が制御対象のIPアドレスに対する通信のみを横取りするのです。
さらに、過去の通信を一定量保存することで同じ通信に対して処理を何度も行なう無駄を無くす仕組みも備えています。
グレートキャノンおよびグレートファイアウォールそれぞれが作動するように設定された通信を送り、その反応を解析した結果からは、両者が独立したシステムであると考えられるとのことです。
ただし、両者はプログラムコードの一部を両者で共有しているものとみられ、非常に密接な関係があると考えられるとのことです。
グレートキャノンはグレートファイアウォールと類似したロードバランスの機能をもっており、アクセス元によって振り分けを行なっているものと思われます。
両者が作動するまでの通信経路の調査結果から、到達したネットワークが両者で同一であり、グレートキャノンはグレートファイアウォールのすぐ近くに設置されているものとみられます。
グレートキャノンはチャイナユニオンのインフラ上にあると結論付けています。
GreatFire.orgとGitHubへの攻撃
2015年3月14日~25日にかけてGreatFire.orgに対して大規模なDDoS攻撃が行なわれ、通常の2500倍に当たる毎時26億回のリクエストが送られました。
また、2015年3月25日~4月7日にかけてGitHubに対する大規模なDDoS攻撃が行なわれ、サイトのレスポンスタイムが通常の数倍に増大しました。
GreatFire.orgはGitHubに二つのリポジトリをもっており、中国の検閲の回避を希望する利用者に技術提供を行なっています。
GitHubへの攻撃は、GitHubにこれらのリポジトリの削除を強いる目的で行なわれたものとみられます。
GreatFire.orgおよびGitHubへの攻撃において、グレートキャノンはBaiduの共通基盤として使われるBaidu analyticsやBaidu advertisingにアクセスする通信を横取りし、攻撃に利用していました。
ただし、該当するすべてのトラフィックが攻撃に使われるのではなく、Citizen Labの観測では大半の約98.25%の通信はそのままBaiduに送信され、約1.75%の通信が攻撃に利用されていました。
攻撃に利用されたアクセスはBaiduから広告が配信されているサイトの閲覧などで、サイト閲覧者は無自覚のうちにGreatFire.orgやGitHubへの攻撃に参加していたことになります。
グレートキャノンは誰がつくったか
Citizen Labは、グレートキャノンによるあからさまな攻撃は中国政府当局に無断で実行できるレベルのものではないため、この構築や攻撃は中国政府当局の承認を受けているものと考えています。
Citizen Labはグレートキャノンがつくられた理由は明確ではないとしながらも、GreatFire.orgの活動と中国共産党のイデオロギーとの対立の結果により構築された可能性や、このような破壊的な行為は党の望まないコンテンツヘのアクセスをブロックするだけでなく、同様の活動を行なう他の組織への「見せしめ」の効果を狙った可能性を推測しています。
今後の予測
グレートキャノンにはアクセス元に基づいた攻撃が可能であることは明らかです。
潜在的に後述するようなDDoS攻撃以外のサイバー攻撃を行なうことが可能であるとみられます。
グレートキャノンによる攻撃に対しては組織や利用者レベルで自身の防御対策を行なうのは非常に困難です。
グレートキャノンはその機構上、httpなどの暗号化を行なっていない通信の内容に基づいて攻撃を行なっており、httpsなどの暗号通信に対しては対応できていません。
そのため、グレートキャノンの効力を弱めていくには、多くの組織や利用者で通信やコンテンツの暗号化を推進させていくことが有効であると考えられます。
関連記事
その他の情報セキュリテイインシデント事例についてはこちらもご参照ください。