再びサイバー攻撃を受けたNew York Times、被害最小化の理由は：被害防止にビッグデータを活用

内戦の続くシリア軍が米国のメディアであるNew York Times紙のWebサイトを乗っ取る事件が起きた。2012年にも中国からとされる攻撃を受けている同社が、ユーザーを守るために取った方法とは？

≫ 2013年10月09日 08時00分公開

[Robert Richardson，TechTarget]

　Syrian Electronic Army（SEA＝シリア電子軍）が米New York Times（NYT）紙のWebサイトを乗っ取り、同紙のDNS（Domain Name System）の記録を書き換えてリダイレクトさせる事件が起きた。この攻撃は性質上、OpenDNSが取っているような防御のアプローチが効果的なことを直接的に示す実例といえる。

　米OpenDNSの創業者で最高経営責任者（CEO）のデービッド・ウレビッチ氏によると、同社はNYT紙の攻撃からの復旧支援にかかわった。ただ、同氏が強調したかったのは（予想外のことではなかったようだが）、OpenDNSのユーザーは「NYTimes.com」を読もうとした他の読者と違って、リダイレクトを免れたという点だ。「同サイトは、インターネット上でも人気が高く、安定稼働している。そのため、めったに変わることのないドメインを持っている。そのサイトが新しいIPにリダイレクトされたことで、われわれはすぐ突然別の国の不審なIPアドレスにリダイレクトされるようになったことを察知し、自動的にフラグを付けてブロックした。われわれの顧客は1人としてリダイレクト先のサイトへは行かなかった」と同氏は話す。

　言い換えれば、HTMLページの不審な要素を見張ってブラウザへの配信された時点でスキャンするのではなく、OpenDNSは1日500万人というユーザー層に目を向けて、「インターネット上で良いことと悪いことの図式を描こうとしている」とウレビッチ氏。「われわれは巨大なHadoopクラスタを構築した。ストレージはペタバイトに近づいていると思う。1日当たり3.5Tバイトを追加している。われわれがやっているのは、感染していないユーザーがインターネットのどこで時間を費やしているのか、そして感染したユーザーがインターネット上のどこで時間を費やしているのかを判別する『分類ツール』の作成だ」

　この仕組みのビッグデータコンポーネントであるOpenDNSの「Umbrella Security Graph」は2013年2月にリリースされた。だが、この分析機能と、そのデータを自動的にOpenDNS Umbrellaサービス（ユーザーが悪質なサイトに訪れることを防ぐアクセスポリシーの遂行サービス）に取り込む機能が結び付いたのは、ほんの数週間前のことだ。

　NYTは2012年10～12月期に中国からとされる標的型攻撃を受けており、社内ネットワークの防御に関する限り、それなりの対策が講じられていたはずだった。このときは攻撃者がマルウェアを仕掛けてNYTネットワークを使っているどのコンピュータにでもアクセスできる状態を確立し、同紙の従業員が使っているPC 53台にアクセスしていた。しかし、今回のSEAの攻撃は、NYTのネットワークを完全に迂回してしまっただけの結果となった。

TechTargetジャパントップセキュリティ