Tor Network Thwarts IP Spoofing Attack
2024/11/11 SecurityOnline — Tor ネットワークを標的とする協調攻撃が、Tor コミュニティとセキュリティ研究者たちの迅速な対応により無力化された。2024年10月下旬に Tor プロジェクトは、ディレクトリ管理者とリレー・オペレーターに向けられた、不正使用の苦情の波に直面していた。これらの苦情は、Tor リレーの IP アドレスを偽装する攻撃者が、ポート・スキャンの発信元であるかのように装うという、高度な IP スプーフィング攻撃に起因していた。
Tor プロジェクトは最近のブログ投稿には、「この攻撃は、出口のないリレーに焦点を合わせ、偽装された SYN パケットを使用して、Tor リレーの IP アドレスが、それらのスキャンの発信元であるかのように見せかけていた」と記されている。
この戦術により、OVH や Hetzner などのホスティング・プロバイダーで、自動化された不正使用レポートがトリガーされ、一部の Tor リレーが一時的に中断された。つまり、この攻撃者は、根拠のない苦情で IP をブロック・リストに載せさせ、Tor ネットワークと Tor プロジェクトを混乱させることを狙っていた。
幸いなことに、Tor コミュニティは InterSecLab/GreyNoise/Pierre Bourdon などの研究者たちと協力して、2024年11月7 日に攻撃元を特定し、シャットダウンさせることに成功した。
Tor プロジェクトが強調するのは、「Tor ネットワークを守るために、分析/調査/知識の共有などにおいて、数多くの優れたコラボレーションの例を確認できた」という点だ。リレー ・オペレーターたちは積極的に協力し、情報を共有し、ネットワークの運用を維持するためのサポートを提供した。
Tor プロジェクトは、この攻撃により、ブラウジング・エクスペリエンスにダイレクトな影響が生じなかったことを、ユーザーに対して保証している。ただし、このインシデントは、根拠のない不正使用の苦情に対処せざるを得なかった、リレー・オペレーターに大きな労力をもたらした。
それを受けて、Tor プロジェクトが提供したのは、これらの不正使用の苦情の影響を受けたリレー・オペレーター向けの、ホスティング・プロバイダーの問題解決に役立つガイダンスである。
Tor ディレクトリ・オーソリティの到達可能性を確認する:オペレーターは、回避テストにおいて OONI Probe などのツールを活用することで、Tor ディレクトリ・オーソリティとの接続を確認できる。ディレクトリ・オーソリティに到達できない場合には、オペレーターはプロバイダーに連絡して、Tor IP のブロックを解除する必要がある。
ホスティング・プロバイダーへの返信:不正使用の苦情を受けたリレー・オペレーターに推奨するのは、Tor プロジェクトの事前作成されたテンプレートを使用し、プロバイダーに対して Tor プロジェクトのブログ投稿を紹介することだ。この技術資料が説明するのは、偽装されたリレーによる疑わしいトラフィックに対して、プロバイダーが責任を負わないことを理解してもらい、プロバイダーに安心してもらうことを目的としている。
影響を受けたリレー・オペレーターがアカウントを回復できるように支援し、ホスティング・プロバイダーと協力して、影響を受けた IP アドレスのブロックを解除するための取り組みが進行中である。さらに Tor プロジェクトは、watchdogcyberdefense[.]com などの情報源からの誤解を招く情報を考慮して、サイバー・セキュリティ・コミュニティ内で不正使用の報告を処理する際に、注意を払う必要があることを強調している。
Tor プロジェクトに、こんなことが起こっていたのですね。しかし、このプロジェクトとコミュニティの協力により、短時間で問題は収束したようです。なにはともあれ、良かったです。よろしければ、Tor + Onion で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.