山本一郎(やまもといちろう) ありがとうGoogleなんですが、4カ月前から比べると日本への中国からの攻撃が30%程度にまで一時的に落ち込んでいて、これはこれで良かったのではないかと思っています。今日のコロキウムでも報告しますが、中国の悪質ボットネット企業のネットワークがごっそり潰れた結果、日本語圏のSNSにも大きな影響がありそうだというのは福音と言えます。
Google Aims Knockout Blow at Chinese Company Linked to Massive Cyber Weapon
https://www.wsj.com/tech/google-aims-knockout-blow-at-chinese-company-linked-to-massive-cyber-weapon-3c3fdc40
https://www.wsj.com/tech/google-aims-knockout-blow-at-chinese-company-linked-to-massive-cyber-weapon-3c3fdc40
もちろんイタチごっこにはなるわけですが、世界的に広がっていた乗っ取り端末による大規模なボットネット対策に関して調査手法も含めて適法に処理され、特定の中国企業が炙り出されて制裁が加えられたというのは大きく、4つのSDKプラットフォーム(PacketSDK、EarnSDK、HexSDK、CastarSDK)を通じて、アプリ開発者に金銭を支払い、プロキシコードをアプリに埋め込ませる手段になっていたことを考えれば「この手法以外で大規模に世界的なボットネット網を構築する」のは割と厳しいとも言えます。
んでまあこの辺はでっかいゼロデイでもあったわけで、世界中の攻撃者が「身元隠蔽」用のインターネット出口として利用し、DDoS攻撃、アカウント乗っ取り試行、広告詐欺、情報窃取などの踏み台にする仕組みにしておりましたので、これから(日本政府や日本企業、セキュリティベンダーなどが)やるべきことは明確になってきます。
経緯で言えば、レター通りの内容ならば1月28日にGoogle Threat Intelligence Group(GTIG) は米連邦裁判所を通じて IPIDEA に関連する数十のドメインを法的命令で削除・制御下に置くことに成功しました。これにより、同社のネットワークインフラの多くが実質的に遮断されるに至りましたが、Kimwolfボットネットやソバー系のマルウェアの温床だったことは間違いなく(実際にきょう、攻撃が減った)、これらは単純なマルウェア対策というよりは構造的に悪用されやすいproxyインフラへの対策として効果を上げるんだろうなあとは思います。
番組の途中ですが、今回1月29日JILISコロキウムは前デジタル大臣の平将明さんが懇親会にお越しになります
https://note.com/kirik/n/n2a3770ee012d
また、最大の問題は日本政府や企業に対する攻撃のリファレンス(経緯)がどこまでここから追いかけられるのか、ということです。
単純な話、中華IPideaが何の利益もなく日本に攻撃をしてくるんか? と言われるとそんなことはないですよねってことで、そこから先は手口情報と併せて誰が彼らに委託して日本にも攻撃してきたんかということが明らかになる手掛かりが得られる可能性が高いよなってことに尽きます。
GoogleというかGTIGが日本政府に情報開示してくれる可能性は(特定ルートでもない限り)著しく低いと思ってはいますが、現在公開されている情報だけでも「なるほど、そういうことなのだな」というのはよく分かるので、本当に素直にGoogleありがとうという話になりそうです。とりまとめて、またnoteあたりで解説記事は放流しますが、いま別途で日本政府はそれなりに深刻な情報系のインシデントが発生していることもあって、先にそっちをどうにかしろよと言われるとまあそうなのかなと思わずにはいられません。ただまあ、とりあえず。こんな感じで。