時事セキュリティが5分でわかる 第7回

高校生が選んだ攻撃方法は「代行サービス」？

高校生がDDoS攻撃で国内初検挙！ 青少年のサイバー犯罪の驚異

「青少年が面白半分にサイバー犯罪に手を染めてしまう例が非常に多いのです」（ITジャーナリストの三上洋氏）

　オンラインゲーム会社に対しDDoS攻撃を行ないサーバーをダウンさせ、会社の業務を妨害したとして、熊本市の市立高校1年の男子生徒が書類送検された。DDoS攻撃の攻撃者が摘発されたのは全国で初めてだという。この事件の特徴と取るべき対策について、ITジャーナリストの三上洋氏に訊く。

犯行に利用されたのは「DDoS調査サイト」？

三上　「今回攻撃されたオンラインゲームは、いわゆる“FPS”と呼ばれる一人称視点のアクションゲームです。プレイヤーが最大16人のグループを組んで戦うことと、他の無料オンラインFPSに比べてグラフィックが綺麗なため、中毒性が高いと言われています」

　摘発された高校生は、報道によれば「ゲーム会社の運営方法に不満があった」と供述しているという。彼がゲームサーバーを攻撃する手段として用いたのは、サイバー攻撃の代行サービスだったようだ。

三上　「高校生は、『DDoS調査サイト』の有料サービスを利用したようですね。このサービスは、DDoS調査と称して顧客から依頼を受け、実際にDDoS攻撃を実行してしまうという、たいへん悪質なものです。

　悪用された脆弱性は“NTP”という時刻同期に関するもので、最近になって同じような被害が頻発していますね。特定のコマンドを打ち込むと、1つの命令に対して最大200倍のデータが返ってくる、というものです。大量の処理に時間がかかり、サービスがダウンしてしまいます。

　今回の事件では、一般のサーバーでNTPの脆弱性があるものを利用し、発信元をゲーム会社のサーバーに偽装することで、ゲーム会社のサーバーに大量のデータを送りつけました」

不正アクセスは青少年の犯行が多い？

　そもそも、不正アクセスなどの被害はゲーム関連が多い、と三上氏は指摘する。

三上　「不正アクセスといえば、個人情報漏えいや大企業関連の犯罪が多いと思われるかもしれませんが、平成24年の警察庁の検挙状況を見ると、約4～5割はオンラインゲームとSNSコミュニティーに関するものです。多くは個人的な怨恨であるとか、ゲーム内のアイテムを不正に入手しようとした事例です。

　これらの犯罪のもう1つの特徴として、青少年の犯行が比較的多いことが挙げられます。同じデータを見ると、約4割が18歳未満の青少年の犯行とされています。面白半分にサイバー犯罪に手を染めてしまう例が非常に多いのです。

　今回の摘発は、DDoS攻撃では国内初とされています。DDoS攻撃は割と大きな目的をもって、集団で実行される場合が多いのです。今回のように個人で、というケース自体が珍しいのかもしれません」

中高生からネット犯罪に関する教育を

三上　「今回のような攻撃代行サービスを使えば、お金さえ払えば誰にでもサイバー攻撃ができてしまうのです。少し大きな話になってしまいますが、インターネット上では未成年がいたずらに犯罪に手を染めてしまう。これが罪になる、という意識が薄いのではないでしょうか。

　サイバー攻撃は『不正アクセス禁止法』に触れるれっきとした犯罪であり、今回のように高額の被害をもたらすケースもあると子供たちが学ぶ機会を設ける必要があると思います。中学生・高校生からネットリテラシーやネット犯罪に関する教育を強化すべきでしょう」