中国がサイバー攻撃された!?|真実のほどは

1月21日、中国国内インターネット環境にて広範囲の障害がおきました。

御用コンピュータ緊急対応センターCNCERTによると、
-------------------------------------------
2014年1月21日15:20,中国国内大量のネットユーザが“.com”、“.net”などのドメインにアクセス出来ない事象が起き、CNCERTは直ちに緊急対応を行い、関係組織とにコーディネートにより対処、16:50には問題事象を解決した。
分析によれば、今回の事象はサイバー攻撃によるものであり、攻撃により中国ネットユーザがgTLDのDNSサーバにアクセスする際に異常をもたらした。なお、攻撃元については現在調査中である-
-------------------------------------------

f:id:alienware:20140131171218p:plain

CNCERTの告示には書いておりませんが、障害について主な事象は、
●「.com」、「.net」などのドメインがすべて「65.49.2.178」一つのIPに解析されてしまう

模様で、「DNSポイズニング」であります。 該当IPがアメリカに位置するということから海外(アメリカ)からのサイバー攻撃だ!という論説が22日までしばらくネット上で流れていました。

f:id:alienware:20140131171531j:plain

※図引用:ITHOMES

この噂を信じた一部中国ネット右翼が仕返しをそそのかし、
-数件のサイト改ざん
-100人未満規模のDDoS攻撃
が発生しました。

f:id:alienware:20140131172127j:plain

↑ DDoS 攻撃リスト

f:id:alienware:20140131172557j:plain

↑ 実際改ざんされたサイト

●ここで一旦整理すると、今回の事象は「海外からのサイバー攻撃により、中国ルートDNSサーバが侵入され、DNSポイズニングされた。これにより、.com, .net を含む多くのgTLD がアメリカにある特定IPに誘導されるようになった」としてまとめることができる。

 

しかし、ここからネットの有志達の、問題のIP「65.49.2.178」に対する調査が始まる。

1.調べてみると、このIPはHurricane Electric, Inc. が管理会社であり、この会社は近いレンジのIPで某宗教団体所有のサイトをたくさんホスティングしていると言う事実が分かった。

f:id:alienware:20140131174630j:plain

2. 中国各地においてDNSリゾルブの状況をまとめてみると、リゾルブに必要な平均時間は25msであり、ルートサーバが単独でポイズニングされたというよりは、異なる機構で広範囲のDNSサーバが書き換えられたように近い。暗黙の了承ではあるが、中国国内でのこのような機能をもつ機構はGFWにほかならない。

3. ここでもう一つの仮説が上がってきます:
- GFWの操作員が、本来ブロックしようとした、某宗教団体に帰するIP「65.49.2.178」をIPブロックインターフェイスに入れず、操作ミスでDNSポイズニングインターフェイスに、該当ドメイン「空白」の状態で入力、実行してしまった
ということである。

f:id:alienware:20140131180145p:plain

「まさか、そんな人的ミスでこんな巨大な規模の障害が??」と思う方も居らっしゃるかもしれませんが、

①GFWに投じている予算&技術力

②海外からのサイバー攻撃と言いながら未だに詳細を公開しない

③21日ネット右翼の対米サイバー攻撃を当局は抑えてた

などの事実からすれば、可能性は十分にあると思います。

 

この障害の影響範囲の広さ、当局がシラフを切っている模様、中国ネットユーザの慣れっこ模様など、まさに中国チックな事件だと言えましょう。

※GFW(誤説が多いようですが、金盾システムとは異なります)については、今後また慎重に触れていこうと思います。