この頃、DDoS攻撃の攻撃者側と被害者側双方のコストの実情が知りたくて色々と調べていました。今回は攻撃者側のコストとして、今年話題となったWebstresserを調べてみることにしました。(タイトルが「1/?」となっているのはどのくらい増えるか分からないためです)
概要
Webstresserは2018年の4月にユーロポールに摘発されたDDoS攻撃代行サービスです。名前から明らかなように名目上はWebストレスの診断としてサービスを展開していたようです。
4月時点で136,000のユーザが登録しており、400万件の攻撃が観測されていたとのことです。すでにこのWebサイトはユーロポーロのオペレーションPowerOFFの一環によって差し押さえられています(下図)。これはもちろん正しい対応なのですが、自分のように今の時期にふと実態を調べようと思った人間にとっては由々しき事態です。
いろいろ検索していると、摘発以前に調査を行った方や、キャッシュが残っているうちに調査を行っていた方がいらっしゃったので参考文献に示した記事を基にいろいろ調査させていただきました。
サービス紹介
サービスとして以下を謳っていた模様です。(意訳多し)
- レイヤー4, レイヤー7の「ストレステスト」を提供
- DNS増幅攻撃、SYN Flood攻撃、HTTP Flood攻撃など複数の攻撃をサポート
- 最大で350Gbpsの攻撃を提供
- 24時間年中無休のカスタマーサポート
- 利用用途に応じてランクをご用意
- PaypalやBitcoinでお支払い(Bitcoinであれば15%割引)
- トラフィックはSSLで暗号化しているので安心
ちなみに、ランクとしては以下があります。
ブロンズ(Bronze)
- 値段:$18.99/月
- 有効期限:1カ月
- 最大攻撃期間:1,200秒
シルバー(Silver)
- 値段:$28.99/月
- 有効期限:1カ月
- 最大攻撃期間:3,000秒
プラチナ(Platinum)
- 値段:$49.99/月
- 有効期限:1カ月
- 最大攻撃期間:7,200秒
生涯ブロンズ(Lifetime Bronze)
- 値段:$120.00/月
- 有効期限:999年
- 最大攻撃期間:1,500秒
※値段は以上の動画を参照。他にも用途に応じたプランを用意していた模様です。
ユーロポーロの示している最低15ユーロとはブロンズの料金でしょうか?18.99ドルを2018年4月24日時点のレート(×0.82)で換算してみたところ、15.57ユーロとなったので恐らくこれで合っているかな?と思います(15%0ffは適用外?)
また、
私たちはオンラインでのPaypalの巨大な可能性を信じています。多くの他のIP Stresser / Booterは、彼らが顧客をだましているので、Paypalを有効にしていません。(Operation Power Off(パワーオフ作戦)によるwebstresser.orgの摘発の件を調べた - orangeitems’s diaryより引用)
という話がWebstresser.org上であるようですが、信用を勝ち取るための話なのかもしれないですね。Paypalでは買い手保護制度により商品が正しく利用できない場合に返金が保証されるようです。
「彼らが顧客を騙しているので」の例は以下にありました。攻撃するにもリテラシーが必要らしいです。
まず初めに、おそらくは誰もが想像するように、サービスプロバイダの多くは、代金を騙し取るだけで、実際には何の攻撃も開始されないものでした。(https://www.watchguard.co.jp/security-news/black-hat-2016-%E3%81%A7%E3%81%AE%E3%83%97%E3%83%AC%E3%82%BC%E3%83%B3%E3%83%86%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AE%E3%81%94%E7%B4%B9%E4%BB%8B-ddos-as-a-service-%E3%81%AE%E7%A0%94.htmlより引用)
おわりに
今後は具体的にどんな攻撃を用意していたかを調査してみようと思います。
こうしたサービスを調査する際、YouTubeって結構情報が多いですね。
