サイバーテロは2011/08/15 JST 1100から2011/0816 JST 0200まで
平均90Mbpsで継続されました。
16時間に及ぶDoS/DDoS攻撃は複数の韓国反日極右勢力サイトを中心として
推定で2000名以上のが参加しました。
また、この他にも日本と中国、海外のプロクシーと思われる
プロバイダーからの攻撃も観測されました。
2010/03/11に発生したと比較して
長期的な損害(ハードドライブの物理的な損傷等)は確認されていませんが、
負荷観測所では複数のサーバーで一時的なエラーが表示され、
利用者は反応速度の低下等、
限定的な接続障害を報告していました。
今回のサイバーテロ事件についての背景と今後について報告します。
ご存知のように韓国側が軍事政権下で
1952年に44名の邦人を死傷させた虐行為に伴う竹島の不法占拠等、
竹島領有権問題に絡む最近の事件を主因として(犯行声明では竹島問題が名指しされた)
日本海呼称問題等の外交問題を含む複数の日韓関係の事案が
韓国の世論を刺激したことが今回のサイバーテロの背景にあります。
また、8月15日は韓国が米国から(韓国側は日本と主張)独立した記念日とされ、
この日が選ばれたのは日本に対する抵抗であることを
強調したい為だったと考えられます。
今後も日韓関係の事案が発生する度に2ちゃんねると米国政府のサイトも
管理下にあるPIE.usとNTTec社も被害を受け続けることになります。
複数の韓国反日極右勢力のポータルサイトが攻撃に関与しました。
ネットテロ対応連合は今回の攻撃で主導的な立場にあり、
攻撃当日に発生したインターネットテロ連合を含む
幾つかの支援組織が支援していました。
ネットテロ対応連合の首謀者ネトテロ氏(アカウントd3d31111)は
攻撃前日にアカウントが正体不明のハッカーにハッキングされ
認証パスワードが改ざんされ、
登録していた多くのメンバーが強制退会されたと主張しています。
ハッキングされた当日には米当局(FBIやCIA)が
介入したのではないかという騒ぎでパニック状態にあり、
ハッカーによる強制退会措置や登録会員が証拠隠滅を図った自主的な退会で
2万人を超えた会員数は
一夜にして一気に500名以下にまで激減しました。
しかし、攻撃当日には
韓国のオンラインポータルサービス・ネイバー(naver.com)が
ホスティングしている避難所等の多くのサイバーテロ組織のサイトで
各所5000名以上がネトテロ氏の指示で再集結しました。
以後、以下のサイトで活動を続けていました。
http://cafe.naver.com/thecogall
2ちゃんねるに対するサイバーテロを計画したサイトです。
ハッキング攻撃により、
今後も障害が発生する恐れがある為、
参謀を務めていた
メタルクジラ氏(ユーザーアカウント:ctz_metal)にサイトの管理権を渡しました。
当日には仮復旧を果たして5000名以上が戻りました。
別のサイトに逃れたネトテロ氏は
ハッキング攻撃されたとの京畿地方警察庁に通報したと説明しています。
また、その時に自分が中学生であると自白しています。
これにより、ネトテロ氏は京畿地方周辺に住む中学生と推測できます。
ネットテロ対応連合ナンバーワン
http://cafe.naver.com/nettr1
これはミラーサイトとして機能していたと思われ、
攻撃プログラムが配布(アップローダーの公開)されていました。
避難所のひとつとしても指定されていました。
http://cafe.naver.com/itcnet
このサイトはハッキング騒動で機能が麻痺したネトテロ対応連合の任務を引き継ぐ為に設置された模様です。
15日の朝にはネトテロ氏がインターネットテロ連合を拠点に再集結して
2ちゃんねるに対する攻撃の活動するように呼びかけています。
15日に発足したインターネットテロ連合のマネージャ(fb10s_)に関連する情報は少なく、
アカウント情報を取得できませんでした。
このサイトではチャット(www.gagalive.kr )が用意され、
メインページにチャットの様子がリアルタイムで表示されています。
諜報活動や韓国世論に向けた実況中継の意図があったと思われます。
複数の攻撃プログラムが一般ユーザーから提供(案内)されていました。
ただし、以下に発見された物がすべてとは限らず、
この日の為に開発された公式の攻撃プログラムかどうかは定かではありません。
尚、NER側がネトテロ対応連合側に削除命令を出した模様です。
ファイル名:スピードF5 (100リロード/秒)
http://mfiles.naver.net/70e56cdfc49d94486183e0d6ea0f7a03adfc07e380/20110816_268_blogfile/mir_haro__1313446940204_litQS2_exe/Speed+F5.exe?type=attachgment
ファイル名:オートF5 (400リロード/秒)
http://mfiles.naver.net/d247ce7d6f3736eac321427448acd5a00f5ba1437b/20110816_292_cafefile/23418360_1313454764092_H2KWHf_exe/autof5.exe?type=attachment
ファイル名:名称不明(効果不明)
http://mfiles.naver.net/78ed64d4c59b9c40698be8dee207204aaf80dec8e/20110816_93_cafefile/23418360_1313457352893_kEnOz7_zip/%25C0%25CC%25BF%25C2%25C6%25F7.zip?type=attachment
(書き込んでも文字化けする仕様に変更)
fb1os_ が運営するインターネットテロ連合との協力で準備されたものです。
最終的にはインターネットテロ連合が攻撃拠点になっていました。
ネットテロ対応連合で刑事罰覚悟で攻撃すると宣誓した
2000名以上が違法行為と認知して犯行に及んだようです。
また、宣伝を目的としたプロパガンダ広告・動画が事前に用意された模様ですが、
発見にいたりませんでした。
今回の攻撃ではF5自動化ツールや、
より強力なものを含め
公式・非公式の攻撃プログラムが配布されていました。
また、2011/08/03日にも昼から夕方頃まで少数のサーバーで
エラー500を伴う攻撃が実施されました。
前日には韓国の極右系と思われるサイトが犯行予告していたとの報告がありましたが、
現在では非会員には公開されておらず、
内容を確認することができません。
名称不明
http://cafe.naver.com/bomul99
また、同日に韓国・朝鮮人と思われる人物が攻撃に関与したと自白しています。
http://twitter.com/#!/bjyou96/status/98618878137090048
他にも韓国・朝鮮人と思われる人物がツィッターで今回の攻撃を宣伝したいました。
http://twitter.com/#!/CTABKA/status/102736749763117056
この時、20時30分〜21時の30分の間に90Mbpsの負荷が発生したことを確認しました。
負荷監視所
http://traffic.maido3.com/tOZN/fWWv/Aahn/
その後、複数の掲示板がエラー400で閲覧できない状態が発生しました。
ただし、一部ニュースヘッドラインの記者が書き込める状態であり、
クッキーに関係がある障害が続いている可能性があります。
8月25日のサイバー攻撃は攻撃スクリプト、攻撃継続時間、バーボンハウスでの遮断状況から
韓国のサイバー攻撃とは異なる性質を感じますが、今の時点では十分な情報はありません。
どちらかといえば8月3日に発生したサイバー攻撃にパターンが似ています。
この時は韓国NER内の別組織が前日に犯行予告をしていたとの報告がありました。
8月25日の攻撃は最近発見されたサーバーの脆弱性を突く
DDoS攻撃ツール「Apache Killer」が使用されたことをNT Technology社が発表しました。
NT Technology社は2ちゃんねる側に情報開示を求め、
法的手段に訴えることも検討していると明らかにしています。
NT Technology News Release
http://www.nttec.com/news
Apache Killer Apache HTTP Serverの脆弱性を突く「Apache Killer」
http://sourceforge.jp/magazine/11/08/25/0351236
http://www.nttec.com/news
San Francisco, California - August 25th, 2011 -
On this date around 7:40 am PST, 2ch.net,
an online Bulletin Board Service (BBS) has been attacked
by tools targeting an Apache known vulnerability
which has caused the majority of the BBS and servers to malfunction.
サンフランシスコ、カリフォルニア−2011年8月25日
太平洋標準時午前7時40分、オンライン掲示板(2ちゃんねる)が
既に知られているアパッチの脆弱性を狙ったツールで攻撃され、
掲示板群の広範囲で障害を発生させました。
We at N.T. Technology, Inc. have configured the Apache settings
to prevent future attacks and have completed all configurations as of August 25th, at 9:00 pm PST.
我々NTテクノロジ社は今後も発生しうる同種の攻撃を予防する為、
アパッチの設定を最適化する作業を8月25日、
太平洋標準時午前9時に完了させました。
We have requested 2ch.net to investigate and provide the source IP address(es) of the attack.
As a U.S. corporation, we will report this matter to proper parties
and will investigate on the possibility of civil lawsuit against the attacker(s).
2ちゃんねる運営陣には調査と攻撃発生源であるIPアドレスの提示を求めました。
米国企業として、然るべき組織にして攻撃を仕掛けた者に対してを含む法的な手段を検討しています。
http://www.nttec.com/news
米国サンフランシスコ 2011年8月10日
NTテクノロジー社は予想されるDDoS攻撃に対する軽減措置を準備しています。
米当局はアジアから8月14日(訳注:日本時間では15日)に
DDoS攻撃計画の兆候があると我社に警告しました。
現在、コードイエローが発令され、
我社は管理下にあるプロバイダーすべてにトラフィックの急激な
増大が予想されると通達しました。
過去の悪意に満ちた組織的攻撃は我社に不寛容な措置を強要するにいたりました。
我社は情勢を注視しており、
このような犯罪行為を防ぐことで
国内と国外の政府組織・治安当局と協力することで合意しました。
NTテクノロジー社はDDoS攻撃に関与するすべての個人に対して
逮捕・起訴に結びつく具体的な情報を当局に提供します。
http://bbon.geo.jp/110802-110816/HOST=.go.jp/5000
http://qb7.2ch.net/_403/c403.cgi
>リロード hatsukari鯖 9092% hellowork.go.jp 163.43.140.229 焼 2011-08-15 04:30:58
>リロード hatsukari鯖 16540% kantei.go.jp 163.43.141.148 2011-08-03 16:31:04
ハローワークからの攻撃は必ずしも職員(公務員)が攻撃に関与したとは限りません。
求人を求む一般市民(自国民とは限らない)がリロード攻撃した可能性も疑われます。
しかし、これ以上に深刻なのは後者です。
8月3日の攻撃で2ちゃんねるが日本の首相官邸からもリロード攻撃されていました。
別の言い方をすれば首相官邸がPIE.usが管理する
米国政府のサイトにも間接的な被害を与えたことになり、
外交案件としての性質を秘めています。
米国政府のサイトが運用されているサーバーに日本の首相官邸から
DoS攻撃があったという事実は
米国政府としても非常に懸念する事態です。
仮に首相官邸がゾンビとして汚染されていたことが背景にあったとしても
日米政府間のホットラインに第三者の侵入があったことになり、
どちらにしても米国政府としても無視できない問題です。
官報検索サイト(kanpoo.jp)からもです(その後も官報検索サイトから断続的なリロード攻撃発生)。
日本側からの攻撃には在日韓国・朝鮮人が疑われますが、
北朝鮮・総連側の人間が攻撃に参加したとすれば、
背景には米国政府も使用するサーバーに対する実験的な攻撃が
試みられた可能性もあります。
少数ですが、中国からの攻撃も確認されています。
>cloud4.ula.cc鯖 518% 221.212.176.35 221.212.176.35 焼 ( `ハ´) 2011-08-16 15:30:03
>kilauea鯖 459% 61.152.108.19 61.152.108.19 焼 ( `ハ´) 2011-08-16 04:46:03
>pele鯖 1282% 115.236.98.109 115.236.98.109 焼 ( `ハ´) 2011-08-16 04:30:58
昨年の3月11日のサイバーテロ事件と比べ、
今回の攻撃は非効率的で組織力が弱いものだったと感じます。
16時間に及ぶ90Mbsのデータ受信量が発生した一方、
損害は設備に対する物理的な損傷を伴わない短期的で限定的なものでした。
ひとつには、昨年と比べてサーバーが大幅に強化されたことがあります。
次にネットテロ対応連合側で正体不明のハッカーによる内部破壊工作が実施され、
組織的な攻撃が乱れたこと。
事件発生後からネットテロ対応連合とインターネットテロ連合の関係が悪化して組織力に問題がありました。
しかし、個人的にどちらも主因とは考えていません。
真の原因は、昨年の3月11日の攻撃を指揮したテロカフェの関係者と比較して
今回の首謀者であるネトテロ氏の能力が
圧倒的に低かったことに原因があると思います。(続く)
あまりにも邪悪で、凶暴で、破壊的な知識に溢れた
危険な人物であったことを証明しています。
パソコン知識(年齢・性別)別に任務を割り振り
(少学年はF5連打、青年は攻撃スクリプト、
ハッカー組みはウィルス攻撃等で能力相応の攻撃手段)、
日本語が堪能な者には2ちゃんねる等で諜報活動部隊を創設したと思われ、
サーバーの負荷状況を絶えずリアルタイムで監視して
リアルタイムでエラー表示の出ていないサーバーに対する
一歩先を読む的確な攻撃を指示して
多くのサーバーを破壊しながら2ちゃんねるを完全に沈黙させました。
2ちゃんねる鯖監視所すら利用していたようです。
韓国版2ちゃんねるに相当するDCインサイドで
見た彼のことを淡々と説明するレスを見た時、
その悪意の深さに寒気すら感じました。
もし、彼が8月15日の攻撃に関与していたらネトテロ氏のような
生温い攻撃では済みませんでした(8月3日、25日の攻撃の方が損害が大きかった)。
8月15日の攻撃は昨年3月のと違って2ちゃんねるが無事だったのは韓国側の失点、
サーバーの性能のおかげというのは短絡的です。
それほど、昨年3月1日の攻撃を指揮したテロカフェの首謀者は危険だということです。
奴が戻ってくれば、あの悪夢は何時でも蘇ります。
ところで8月15日に発生した2ちゃんねるに対するサイバーテロですが、
首謀者2名は現在も法的な措置(逮捕・参考人聴取等)が行使されていない模様です。
ネット対応連合の首謀者ネットテロ氏は攻撃ツールの削除をNER運営者から命令を受けましたが
8月28日の段階でネット対応連合がスレッドを設置しているのを確認しました。
NERは首謀者の行為を認知していながら警察に通報した形跡がありません。
インターネットテロ連合も首謀者らしき人物が同日に新スレッドを設置していました。
韓国の治安当局が首謀者二名を一週間以上も放置しています、正に中国のデモでいう愛国無罪・反日無罪。
そればかりか、9月12日(秋夕、韓国のお盆)と10月25日韓国版竹島の日に再び2ちゃんねるに対する
サイバーテロを実行することを計画していることを掴みました。
サイトをホスティングするNER側の警告は受けているようですが、
対応は消極的でサイトを削除するどころか首謀者のテロ活動を黙認しているに等しいです。
以下、首謀者ネトテロ氏の書き込みの一部です。
>すでにネット大宴は26000人時期の時遮断警告を受けたが
>ネイバーに電話して不法プログラム削除命令後、みな削除して取り消し申請後取り消しされました。
>今カフェに不法プログラムが出回っているんですか?
>でなければ証拠がなくてDDoSツール上げられますか?
>堂々としているがができなくなりましたね。
ITCでも計画されている10月25日の攻撃についての首謀者ネトテロ氏の投稿
>10月25日(訳注:韓国版竹島の日)攻撃は名声上げるということと特別違うことがありません。
>はい。
そして、9月12日に予定されている2ちゃんねるに対する攻撃についての投稿
>無礼なやから(2ちゃんねる)を攻撃する方法は詳しく9月9日にのせるようにします。
>もう日も捕えられたので
>広報が重要ですね
>全部熱心に広報しましょう!
9月12日と10月25日にも再び2ちゃんねるに対する
サイバーテロを実施しようとしています。
首謀者のことは韓国当局側もNER側も把握しているはずですが、
処罰されることなく(反日無罪)再び攻撃しようという事実は
韓国政府と世論の慢性的な極右的体質が法治国家でないことを裏付けています。
このような攻撃が次々と計画されて首謀者が放置されている現状を米当局に通報します。
皆様も是非ともこのような現状を米当局、PIE.us、NTTec、maido.cc、2ちゃんねる運営陣等に訴え、
韓国のIPアドレスレンジからのアクセス、トラフィック、書き込みを
永久に遮断するように嘆願しましょう。
このようなことを実現するのは皆様の協力と世論の大きな声も必要です。
参考
【サイバーテロ】韓国側の2ちゃんねる攻撃計画判明
http://www.2nn.jp/test/read.cgi/refuge/1313045584/
http://hato.2ch.net/test/read.cgi/operatex/1313054064/
3.1反日サイバーテロレポ、首謀者・組織と戦略・戦術の全貌(訂正3月11日→3月1日)
http://toki.2ch.net/test/read.cgi/asia/1267970323/
8.15第二次反日サイバーテロレポ、韓国が電子市民戦争で敗戦国になった日
http://toki.2ch.net/test/read.cgi/asia/1282584319/
新しい情報が入り次第お伝えします。
また、韓国からのサイバーテロ攻撃に関連する情報がありましたら、
是非、こちらのスレでお知らせください。
よろしくお願いしますm(__)m
ネットテロ対応連合のサイトでこのレポートが
発見されてしまったとの報告が入りました。
もっとも、彼らに読まれることも想定の範囲内なので特に問題にしていません。
極東アジアニュース@2ch掲示板で
在日工作員・韓国側のネット右翼のスパイが徘徊しているのは気づいていました。
何者かが本当にアカウントをハッキングしたのであれば、
首謀者であるネットテロ氏の実名や住所等の情報も潜入したハッカーが
確保していると考えています。
ネットテロ対応連合会員の個人情報(氏名・住所等)もある程度収集できた可能性もあります。
また、昨年の攻撃から継続して韓国側の2ちゃんねる攻撃拠点を
監視していた2ちゃんねる有志等、
別グループの潜入諜報員達が複数のアカウントを取得して監視活動をしていて
ネットテロ対応連合が攻撃を受ける前(登録解除・データ抹消)に2万人分の
ネットテロ対応連合のメンバーデータのバックアップを
取得したとの情報があります。
もし、そのバックアップデータが何処かのサイトにアップロードされていれば、
こちら側から首謀者とサイバーテロ参加者の特定に結びつく
個人情報の特定につながるデータを米治安当局に照会しようと考えています。
参加者の氏名・住所を特定するデータがあれば、
米国治安当局からの指摘で韓国の治安当局は実行犯と首謀者を逮捕できない口実は失われます。
私も可能な限り米国治安当局の捜査に協力したいと思っています。
もし、そのようなデータがアップロードされているサイトをご存知であれば、
是非ともこのスレッドで御知らせ願います。
また、関連情報があるかも知れない人物とも接触できればと思っています。
平和を追求する日本の善良なる一般市民は韓国極右の大和民族に対する不当な差別に満ちた
反日テロリズムと韓国の極右的で軍国主義的なファシズムによる
ネットでの言論暴力に終止符を打ちたい思いは皆、同じはずです。
이써버는박살난다!
ユーチューブが韓国を遮断 K−POP宣伝ツールに使った報い 国家ぐるみでツールを使い再生数を捏造(サーチナ)
http://kamome.2ch.net/test/read.cgi/mnewsplus/1315792858/
これでYou Tubeで人間砂袋のように反撃されずに韓国を一方的に好き放題叩けますぅ^^V
当然、接続が遮断されているので韓国人が差別NIDAと言いながら運営者に抗議することもできないですぅ^^V
↓日本でもやるかも知れないですぅ^^
「犬肉反対!」動物保護団体、駐米韓国大使館前で抗議活動、豪州、カナダ、アイルランド、南アフリカ共和国でも抗議予定
http://kamome.2ch.net/test/read.cgi/news4plus/1313591044/
あー、在日あたりが日本人に工作されてるニダやろうと韓国叩いて、その情報で親日罪で財産ブンどれるリストつくってお持ち帰りさせるってハメだっけ?
世界的に、韓国が韓流ごり押し工作してるの広まったから、メディアから韓国追い出す根拠できたな。
フジの韓流騒ぎ、外国のが流れてたしなぁ。
>>16
まともな仕事就いたことない韓国籍が、サイバーテロ中。
南京大虐は朝鮮族の仕業アル6
http://toki.2ch.net/test/read.cgi/asia/1311197686/
859 日出づる処の名無し 2011/09/12(月) 14:35:19.86 ID:6fMHbDDI
>>857
それと、あなたは書き込みごとにIDが変わってますがなw
「PC」でなければIDは変えられませんがなwwwwwwwwwwwwwwww
つまり、昼間からPCに張りついてレスしてるということですがなwwwwwwwwwwwwwwww
あなたの仕事は何なのですか?wwwwwwwwwwwwwwww
>>20
それ、スパムや自分で作ったツールで、自分の情報バラまいてた馬鹿が、PCハッキングされたって勘違いして騒いだだけじゃなかったっけ???
ソース捜してみるか…。
アノニマスのツールが経由したIP全部保持したまま攻撃するって、もの凄い仕様だったのは覚えてるんだが。
ネットテロ対応連合が攻撃した形跡はありませんが、
理由については判明していません。
首謀者は以前から周囲に不信を抱かせる行為が目立っていたそうです。
最新情報が入りました。
インターネットテロ連合は当初、
10/25(火)13時に攻撃を予告していましたが、
後に17時に集結するとの報告が入っています。
攻撃時間を変更した模様です。
最終段階でも変更の可能性がありますので突然の攻撃には注意して下さい。
>>20
有難うございました、また新しい情報がありましたらお願いします。
小規模な負荷は緩和。
他のサーバーの異常は見られず。
引き続き、警戒態勢を維持。
負荷率1325%のリロードを検知。
バーボンハウスへの強制排除を確認。
バーボンハウスを現段階では検知できず。
17:20:01、cloud6.ula.ccサーバーで負荷率3862%のリロード(排除)を検知。
発信源は221.162.126.100、韓国のものと特定。
softbank221084215154.bbtec.netから第二波の攻撃。
hayabusaサーバーへのリロードを
負荷率803%で再び排除される。
しかし、依然として小規模な負荷で深刻な接続障害は発生せず。
以降、局地的な負荷が検知されるが、
峠を越え、攻撃が終了した可能性あり。
警戒態勢解除、常駐的な監視を終了します。
18時半にも2.9Mbpsの負荷が発生。
17時には送受信ともに通信量が上がりましたが、
18時半の負荷では受信の負荷だけが上昇し、
異なる性質を暗示しています。
また、調査では土曜にも4.5Mbps、日曜にも6.5Mbpsの瞬間的な負荷を記録。
それでも最終的には10Mbpsを超えることはなく、
体感できる通信障害は確認されておらず、
今回の攻撃は小規模なものになりました。
8/15の攻撃の約5%程度の負荷で大規模な攻撃には発展しませんでした。
事情は定かではありませんが、
韓国世論を激高させるだけの材料がなかった、
韓国世論を刺激・喚起する報道や広報が少なく参加者が集まらなかった、
何等かの政治的・外交的介入が影響した(前回、攻撃した一部が逮捕された)、
刑事的な責任を回避する為に意図的に深刻な障害を発生させる負荷を控えた、
組織基盤が脆弱だった等の様々な可能性が推測されますが、
今後の真相究明が待たれます。
***********************
日本人なら一度は見るべし
***********************
http://www.nicovideo.jp/watch/sm1169069
