Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

データセンターへの爆破攻撃

AWSのデータセンターをプラスティック爆弾で攻撃する事を計画していた20代のテキサス在住の男性がFBIによって逮捕された件が報じられていました。

www.bleepingcomputer.com

1月下旬に別の情報源から見つかったFBIエージェントは、Signal暗号化メッセージングアプリを使用して、「インターネットの約70%を殺す」ために、C-4プラスチック爆薬を使用してAmazonのデータセンターを攻撃することを計画していると連絡しました。

2月、ペンドリーは、バージニア州に本拠を置くAmazonAWSデータセンターの手作りの地図をソースと共有しました。
(中略)

ペンドリーは「供給者」に、FBI、CIA、および他の米国連邦機関によって使用されていると信じているサーバーを爆撃することを計画していると語った。彼の計画には、現在米国をリードしている「寡頭制」を取り下げることも含まれていました。

覆面捜査官のFBI職員の手が不発弾を疑う
彼は4月8日に覆面捜査官のFBI職員と会い、爆発装置であると信じているものを手に入れました。代わりに、彼は不活性な装置を受け取りました。

容疑者は、FBI捜査官を車に乗せた後、「爆発物供給業者」から武装して爆発させる方法についてのデモを受けて逮捕されました。

(Bleeping Computer記事より引用)※機械翻訳 

 

参考

米国裁判所(北テキサス管区)への刑事告発文書

  

キタきつねの所感 

逮捕された米国人男性の言葉通りであれば、この計画が成功していれば「インターネットの約70%を停止する」被害が出ていた可能性もあったかも知れません。

とは言え、普段は秘匿にされる事が多い「データセンター」所在地が、どうして犯人には分かっていたのだろうと思い、調べてみるとWikiLeaksが親切・丁寧に全世界のAmazon データセンター位置(地図)を公開しています。

※内部からの情報漏えいや、断片的な情報を繋ぎ合わせて情報を推測する「OSINT」や「モザイクアプローチ」で場所を特定されるのであれば仕方が無い面もあるかと思いますが、WikiLeaksのこうした何でも開示(リーク)する姿勢は、私は間違っている気がします。

 

米国東海岸AWSデータセンターについてみてみると、米国の拠点は、東海岸側がバージニア州、西海岸側が北カリフォルニア州(サンフランシスコ近郊)、ワシントン州(シアトル近郊)、オレゴン州に固まっているのがよく分かります。

f:id:foxcafelate:20210411073528p:plain

 

今回の攻撃対象と目されていたバージニア州のデータセンターは、こんな感じで分布している様です。ある程度固まって設置されているとは言え、「インターネットの約70%を停止する」為には、連続”テロ”が必要そう(=かなりハードルが高い様)に思えます。

f:id:foxcafelate:20210411073433p:plain

 

犯人は、C-4プラスティック爆弾を入手する事を試み、FBIが事前に情報を察知し、C-7爆弾の販売業者を装った、おとり捜査官に逮捕されているのですが、刑事告発文書を見ると、爆発装置(ダミー)をFBI捜査官に渡されて、起爆方法の説明を受けた(テロ実行の意思が確認された)後に捕まった様です。

 

しかし、家宅捜索の結果を読むと、バージニア州AWSデータセンターの多くを攻撃目標にしていた様には思えません。

f:id:foxcafelate:20210411074838p:plain

捜査官は、ウィチタフォールズにあるペンドリーの自宅でも捜索令状を取り、その中には、手書きの地図、攻撃計画に関するメモやフラッシュカード、ノコギリで切断された銃身を持つARレシーバー、取り外した銃身部分、かつらやマスク、おもちゃの銃のようにペイントされたピストル、ペイント缶、刃に「Doinysus」と書かれたマチェーテなどが発見されました。

 

この後半部分を読むと、かつら、マスクや拳銃の記載から、(1~数か所の)データセンター内に拳銃で押し入って爆弾を仕掛ける攻撃を計画していた様に思えます。

仮に攻撃が成功したとしても、少数のデータセンターの影響は、犯人が言う程にあったとは思えませんが、FBIが逮捕に成功してなければ、AWSサービスに大きな障害が出た可能性もあったかと思います。

少し気になるのが「手書きの地図」の部分で、これはデータセンターの所在地という事ではなく、データセンター内部を指しているのではないかと思います。だとすれば、その情報はどこから出たものなのか、仮にそれが内部漏洩だったとすると、計画の成功率を高める情報だったと思われるだけに、その情報の出どころも気になる所です。

 

軍用と言われる大量のC-4爆弾の入手が本当に出来ている事が前提かも知れませんが、今年に入ってからも「AT&Tの施設」に対する爆弾テロの成功例があるので、堅牢なデータセンターであっても、安心はできなかった気がします。

www.cnn.co.jp

事件では25日早朝、ナッシュビル中心部でキャンピングカーが爆発。ワーナー容疑者はこの際に死亡した。爆発で少なくとも8人が負傷したほか、一帯に無線サービスを提供する通信大手AT&Tの施設など40棟以上の建物が損壊した。

 

日本ではこうした爆発物(材料)の入手は米国以上に難しいかと思いますが、(詳細は書きませんが)自作も含めて可能性が無い訳ではありません

サイバー攻撃だけでなく、物理攻撃も(海外では)脅威が高くなってきている事には留意が必要かと思います。

 

余談です。WikiLeaksには日本のAWSデータセンターの情報も掲載されています。この内容が合っているかは分かりませんが(多分合っていると思いますが)、掲載された情報を元に、データセンターの状況がどうなっているかをGoogleストリートビューで見てみました。

※掲載住所から探しているので下記写真キャプシャーの施設が”間違っている可能性”もありますのでご留意ください。(”多分ココ”程度の精度です)

f:id:foxcafelate:20210411095606p:plain

 

外観がデータセンターらしくない、少し古い施設もある様です。外柵が無いので例えば以下の施設では外来者が建屋まで容易に近づけてしまう可能性があります。

f:id:foxcafelate:20210411095848p:plain

 

こちらは住宅街の中の施設。(こうした環境では仕方が無い事ではありますが)こちらも施設まで外来者が近づける立地と言えます。

f:id:foxcafelate:20210411100613p:plain

 

こちらはいかにもデータセンターという施設。高い塀(忍び返し有)や監視カメラなどが確認され、要塞っぽさが出ています。

※上記施設はもしかすると、こうした最新施設への移行中なのかも知れませんね

f:id:foxcafelate:20210411100012p:plain

 

こちらは入口からのGAP空間が更に取られている施設。いかにも重要設備という風貌です。

f:id:foxcafelate:20210411100052p:plain

 

もう1つ新し目な施設。因みにデータセンター(が入る)施設では窓が無い事が多いです。またAmazonロゴといった社名が入った看板も一般的には設置されていません。

f:id:foxcafelate:20210411100128p:plain

 

見た目から全てが判断できるものではありませんが、最初2つの施設は(下3施設と比べて)、海外で計画されている様な”テロ”に対してはあまり防御が強いとは言えないかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ダイナマイトのイラスト(爆弾)

 

更新履歴

  • 2021年4月11日 AM