警察がWannaCry攻撃の捜査でTorリレーを押収

July 5, 2017 08:00

by 『Security Affairs』

大規模なWannaCry攻撃の数日後、フランス当局がランサムウェアキャンペーンで使用された、2つのTorリレーを動作させていたサーバー1台を押収した。

そのサーバーを運営していたのは、フランスの活動家Aerisだ。彼らは、5月15日にTorプロジェクトのメーリングリストで警察の行為について報告し、他のTorのオペレーターに押収された2つのリレーの信用性を無効にするように依頼していたのだ。

サーバーを押収したのは、フランスのサイバー犯罪捜査機関OCLCTIC（(L’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication)）だ。

Aerisによると、OCLCTICはホスティング業者Online SASがホストするサーバーを押収したという。その理由は、5月12日にフランスの大手企業を感染させたWannaCryランサムウェアに関連するトラフィックがその2つのリレーを示していたからだ。

その企業が感染したWannaCryは、Torネットワークでホストされているコマンド&コントロールサーバーと通信していた。そして押収されたサーバーがTorトラフィックの第一ステップとして使用されていたらしいのだ。

「大部分のTorサーバーは、ユーザーのプライバシーを守るためにアップタイムやステータスの測定数値といったごくわずかな情報しかログに残さないように設定されている。Aerisがデフォルト設定をカスタマイズしていない限り、フランス警察が押収したサーバーから何らかの役に立つ手がかりを探し出せる見込みはない」とBleeping ComputerのCatalin Cimpanu氏は語っている。

Aerisは、WannaCry攻撃の直後にフランスの他のTorノードが多数消えたことを確認している。AerisはBleeping Computerに、現在調査している30台のサーバーのリストを提供した。

「Torノード6つ（オペレーター5者）が押収されたことを確認した」とAerisの活動家はBleeping Computersに語っている。「押収されたリレーはこのリストのものではない。なぜなら、他のプロバイダーがホストしているからだ」



翻訳：編集部

原文：Police seized two Tor relays investigating WannaCry attack, others disappeared in the same period

※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。