2010年12月25日土曜日
米国ハーバード大学バークマン・センターがDDoS攻撃から独立系メディアや人権擁護団体保護の具体策を提言(その1)
12月に米国ハーバード大学ロースクールのバークマン・センター(Harvard Law School’s Berkman Center for Internet & Society )が予算や人材等の制約等からサイバー攻撃とりわけDDoS攻撃にさらされやすい独立系メディアや人権擁護団体を保護すべく、このほど“Distributed Denial of Service Attacks Against Independent Media and Human Rights Sites”と題する全66ページからなる報告書を公表した。
筆者は、2006年に同センターが設立されて以来、検討グループ等に知り合いがおり、また随時直近の研究課題や議論のテーマ等の情報を得ている。本ブログで筆者が追いかけているサイバー犯罪問題の最重要課題の1つであるますます多様化し、また国家レベルでのDDoS攻撃が顕在化する中で社会正義の実現に向けたIT社会の課題と対処策を提言するものとして評価したい。
今回は、細かに解析する時間がないので要旨部分のみ仮訳を掲載する。
1.我々グループの調査・研究はますます一般的なインターネット現象であり、通常短い間隔であるが時として長時間インターネットによる対話を黙らせることができる「分散型サービス妨害(DDoS)」について考えることから始めた。
我々は独立系メディアと人権擁護団体に対するDDoS攻撃の特有の事象・特性や頻度、その有効性、攻撃下での対処策について理解すべく研究した。
今回の同センターの報告は、DDoSによって狙われやすい独立系メディアと人権擁護サイトへ助言することが目的であるが、結果としては特にネットワーク回線容量に対する莫大なデータ攻撃(attacks that exhaust network bandwidth)等により、これらのサイトの多くにとってこれら攻撃への容易な解決策はないという不愉快な結論に至った。
2.主要な研究課題に関し、次の4つの調査質問に対する回答を試みることから始めた。
① 独立系メディアと人権サイトに対するDDoS攻撃はよく知られる選挙、抗議および軍事作戦の外において特にどれくらい一般的であるのか?
②独立系メディアと人権サイトに対するDDoS攻撃はどのメソッドを使用しているか?
③独立系メディアと人権サイトに対するDDoS攻撃の影響はどのようなものか?
④独立系メディアと人権サイトはどうしたらDDoS攻撃に対して自分たちを最もよく保護できるか?
3.これらの質問に答えるために、我々のグループは「2009年および2010年における関連研究プロジェクト」に関する解析作業を引き受けた。
① 攻撃での焦点が独立メディアと人権サイトにある状態で、私たちは次の手順によりDDoSのメディア報道に対するDDoSに関するデータベースを作成した。
②世界の複数地域において活動を行っている9か国の独立系メディアと人権擁護サイトの管理者について調査した。
③12人のサイトの管理者とのインタビューを行い、DDoS攻撃に苦しみ、またうまくかわした彼らの経験について議論した。
④独立系メディアのサイト管理者と基幹ネットワークの専門家との会合を開き、DDoS攻撃を回避するため人権擁護および独立系メディアの共同組織化のニーズおよび基幹ネットワークの専門家と独立メディアと人権擁護に関する情報発行者との具体的な協力(collaboration)の可能性について議論した。
4.我々の研究結果は、次のような対応策を示した。
①独立系メディアや人権擁護サイトに対するDDoS攻撃は、2009年では選挙、抗議および軍事作戦のほかの分野でさえ一般的であった。 最近大々的にピーアールされた”Wikileaks”に対するDDoS攻撃および”Operation Payback”(筆者注1)といった”Wikileaks”の敵とみなす企業・機関等のサイトへの「匿名」攻撃がより一般的になると予想する。
②独立系メディアや人権擁護団体のサイトは、DDoS攻撃に加えウェブサイトへの違法なフィルタリング、不法占拠(intrusions)、無権限改変(defacements)(筆者注2)等さまざまな異なるタイプのサイバー攻撃を受けており、これらの違法行為は相互に複雑な方法で影響し合っている。
③独立系メディアと人権擁護サイトは、通常は熟練したシステム管理によりリスクを緩和させているローカルサーバ・リソースを使い果たす「アプリケーションDDoS攻撃」にさらされる一方で、高額な支出を伴うホスティング・プロバイダー(筆者注3)の助けにより帯域幅を使い果たす「ネットワークDDoS」のリスクを緩和させるしかないという両面からリスクにさらされている。
④独立系メディアと人権擁護サイトに対してDDoS攻撃を緩和させるためには、それらのサイトでインターネットのコア部分、 すなわち極めて数が少ない、特にネットワークDDoSは攻撃に対し経験とリソースをもっている大手ISPやウェブサイト、ならびに「コンテンツ配信ネットワーク(CDNs)」 (筆者注4)のより近くに移行することが必要となろう。
5.我々は独立系メディアと人権擁護サイトに対してDDoS攻撃に次の対処策を勧奨する。
①「静的なHTML」(筆者注5)を使う複雑なコンテンツ管理システム(CMSes)(筆者注6)に置き換えるか、または対話性を犠牲にして内容を提供するために攻撃的なキャッシュ・システムを追加することによって、強くアプリケーション攻撃を緩和できます。
②すべての組織・団体は、無料でかつ高度にDDoS攻撃に対抗力がある”Blogger”のようなホスティング・サービスを使うかどうかという点につき、権威のための費用、機能性および可能な仲介者による検閲のリスク等慎重に検討すべきである。 それら自身のサイトをホスティングするのを選ぶ際、組織・団体は、それらの計画プランにおいてダウン時間として受け入れられるレベルを含むあらかじめサイバー攻撃に対処すべき計画を立てるべきである。
③それら自身のサイトをホスティングする方式を選ぶ組織・団体は、攻撃を検出し、必要に応じサイト性能を下げて、Bloggerのような無料でかつ高度にDDoS攻撃に抵抗性が高いホスティング・サービスのバックアップの再処理を委ねるためにシステムを使用するべきである。簡単で人気があるコンテンツ管理システム・モジュールは、この過程を自動化して、DDoS攻撃による分裂被害を最小にするかもしれない。
④人権擁護団体の資金供給者は攻撃されたサイトにつき共同体で地元の専門家を特定し、DDoS攻撃やその他の攻撃に対して防御する技術的手段だけではなく、それぞれの地域の共同体に関する知識と信用も必要とすることを支持すべきである。
⑤人権擁護団体の資金供給者は、地元の人権擁護コミュニティの専門家への資金供与を行い、また大手ネットワーク機関が進んで人権擁護団体のサイトを手助けお互いと共に働けるよう配慮すべきである。
⑥人権擁護コミュニティは、インターネット接続サービス業者(ISP)と協力し、DDoSからサイトを保護するために働いて、法律が必要としない限り論議を呼んだ内容を取り除かないことに同意するオンラインサービス・プロバイダー(OSPs)を特定し、共に働くべきである。
⑦我々は、独立性のある報道機関および人権擁護団体に対して、DDoS攻撃の増加とその対処に関し、取り込むべき合法的な利益の幅とのバランスを取った持続可能な長期のアプローチに向けた視点に基づき、さまざまな政策対応について幅広い公開議論を行うよう提案する。
************************************************************
(筆者注1) “Operation Payback”とは”wikilweaks”を支援する緩やかに結束したハッカーグループによる同サイトの敵と見なした企業や組織をオンラインで攻撃する戦略であり、マスターやビザカードといったクレジットカードの決済処理への影響、アサンジ氏の口座を凍結させたスイス系銀行(Julius Baer Bank and Trust Company)の決済サービスの中断、Paypalの公式ブログの停止等がその結果であるとされている。
(筆者注2) ウェブサイトの”defacement”攻撃は、かなり以前から問題となっている。その最大の話題は、ロシアによるグルジア共和国の外務省等政府機関のサイトを改ざんした例が代表的である。この事件についてNATOが解説している(この解説はクイックヴューでしか見れない)。
なお、IT分野に詳しい弁護士の高橋郁夫氏が2009年開催した会議“CCD CoE "Cyber Conflict Law and Policy Conference" :International Cyber Conflict Legal & Policy Conference 2009の報告において、2007年4月のエストニア共和国の政府サイト等へのDDoS攻撃、および2008年8月のグルジア共和国の公的機関だけでなくあらゆるウェブサイトの接続がDDoS攻撃により困難となった事件を例に「サイバー戦争の概念」ならびに「サイバー戦争の法的概念」等を論じている。わが国では、この種の論文は少なくまた、現実の拡大している問題を正面から取り上げており、貴重な論文と考える。
その他、英国マクロソフトのサイト等がエジプト語に書き換えられる被害にあっている例等多くの例がある。一方、合法的Defacementの手口の動画解説も、サイト上ではごく一般的である。
(筆者注3) 「ホスティング・プロバイダー」とは、インターネットに接続可能なサーバーを有料で貸し出すプロバイダ業者(レンタルサーバー会社)をいう。ユーザーのメールやウェブサービスを預かり運用していくホスティング・サービスで、 ホスティングにはサーバーを複数のユーザーで共有する「共有ホスティング」と1人のユーザーで1つのサーバーを占有して利用する「専用ホスティング」がある。ただし、バークマンセンターが「オックスフォード大学インターネット研究所(Oxford University’'s Oxford Internet Insitute)」とともに中心となってサイバーセキュリティ問題ととりくんでいる NPO”StopBadware.org”は、その活動の中でコンピュータ・ウイルスに感染した数多くのWebサイトを運営しているホスティング・プロバイダーも名指ししており、ホスティング・プロバイダーといえども安全ではないとされている。
なお、”StopBadware.org”のIT業界パートナーは、AOL,Google,Lenovo,Paypal,Trend Micro,Verisign等である。
(筆者注4) 「コンテンツ配信ネットワーク(CDNs)」とは、ファイルサイズの大きいデジタルコンテンツをネットワーク経由で配信するために最適化されたネットワークのこと。CDNを構築・運用し、企業などに有料で利用させるサービスを「コンテンツ・デリバリサービス(CDS)」という。
(筆者注5)「静的なHTML形式のページ(static HTML page)」とは、直接サーバーのディスク上でファイルを公開・使用するウェブページである。 ほとんどの洗練されたウェブサイトが、静的なHTML形式のページを使用するのではなく、むしろ各要求の都度しばしばデータベースに質問しサーバ・アプリケーションでHTMLを生成する「動的ページ(dynamic page)」を使用する。 動的ページは、かなり多くの機能性を持つが、簡単な静的なHTMLページ(サーバが同時に扱うことができる要求の数を減少させる)に比べ高価である。
なお、「要旨」では出てこない用語であるが、本文および「用語一覧」に出てくる“ping of death”について補足しておく。”ping”はもともとネットワーク相手に接続し、コンピュータが応答するかどうかを調べる単純かつ最小限の要求プログラムだが、”ping of death”はこれを使って規定のサイズを遥かに超える巨大なIPパケットを相手に送り付け、対象のコンピュータやルータをクラッシュさせてしまうサイバー攻撃手法をいう(「IT用語辞典」から引用の上、バークマン・センターの用語解説に基づき補完)
(筆者注6)コンテンツ・管理システム(Content Management System,CMSes)とは、Webコンテンツを構成するテキストや画像などのデジタル・コンテンツを統合・体系的に管理し、配信など必要な処理を行うシステムの総称である。“CMSes”はウェブサイトのエディタが手の編集HTMLファイルを手で編集するというより、むしろウェブサイト自体直接を通ってウェブ内容を編集できるウェブア・プリケーションである。過去10年間、CMSsは機能面において劇的な成長を見た。現在使用中の最も人気がある無料CMSsには、“WordPress”と“Drupal”の2つがある。
************************************************************
Copyright © 2006-2010 福田平冶(Heiji Fukuda).All Rights Reserved.No reduction or republication without permission.
登録:
コメントの投稿 (Atom)
0 件のコメント:
コメントを投稿