ハクティビストKillnet(キルネット)のこれまでの動き | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ハクティビストKillnet(キルネット)のこれまでの動き

Threat Report

killnet

Silobreaker-CyberAlert

Silobreaker-WeeklyCyberDigest

ハクティビストKillnet(キルネット)のこれまでの動き

Tamura

Tamura

2022.09.07

ハクティビストKillnet(キルネット)のこれまでの動き

きのう9月6日、日本の政府や企業などのWebサイトがDDoS攻撃を受けたと報じられました。「ハッカー集団のキルネット(Killnet)」が一連の攻撃の犯行声明を出したと言われています。本サイトでは、これまでも海外セキュリティニュースの速報をほぼ毎日提供してきましたが、今回、Killnetの過去の活動について調べ、簡単にまとめてみることにしました。

関連記事:悪名を馳せることで影響力を得ようとする親ロシア派ハクティビストグループの数々

何が起きたか

・6日夕方から、デジタル庁所管の「e-Gov」、総務省の「eLTAX」でアクセス障害が発生。「e-Gov」は、6日16:30頃に障害が発生し、同21:00に概ね復旧[1]。「eLTAX」は、総務省によると7日8:31時点でも「アクセスできない状態が続」いている[2]。同10:40分ごろに筆者がアクセスを試みた(hxxps://www[.]eltax[.]lta[.]go[.]jp/)が、タイムアウトとなる(その他の一部ページは利用可能)。

 

・民間でも6日夕方から、mixi、JCB、名古屋港管理組合のサイトでアクセスできない状態が発生した[3]。mixiは「順次アクセスできるようになって」いるが「復旧中」。JCB(JCBブランドサイト:hxxps://www[.]jcb[.]jp/)については、7日10:40分ごろに筆者がアクセスを試みたが失敗。名古屋港管理組合は、復旧済み[4]。

 

・ロシアを支持するハクティビストKillnetは6日(夕方との情報あり[1])、上記サイトを名指しし、オフラインにしたなどと攻撃を示唆する内容を、メッセージングアプリTelegramに投稿していた[3]。

Killnetとは

・Killnetは、ロシアを支持するハクティビスト(ハクティビストとは、政治的なメッセージ性のあるサイバー攻撃を行うグループのこと。ただし、グループとはいえ組織だっているとは限らず、「義勇軍」的な性格を持つケースもある)。

 

・2021年10月に活動を開始との情報あり。2022年2月にウクライナ侵攻が始まった際には、ロシア政府への忠誠を宣言した。その後、ウクライナ軍を支援しロシアに制裁を行う西側諸国に対するサイバー攻撃や脅迫を繰り返してきた(後述)。

 

・メッセージングアプリTelegramにアカウントを保有。Telegramのグループ内では、攻撃の犯行声明やメンバー募集などを行う。

 

・「Killnetの脅迫は往々にして仰々しく壮大だが、その直近のDDoS攻撃による実際の効果は、これまでのところ取るに足りないもののようだ」と指摘する向きもある[5]。

DDoS攻撃とは

「DDoS」は「Distributed Denial of Service」の略。 大量のコンピューターから特定のサーバーに通信を集中させるなどして負荷をかけることによって、コンピューター資源やネットワーク資源を提供できない状態にさせる攻撃のこと(情報通信研究機構(NICT)の運営する「CIDER」の用語集より)。

これまでの活動

本サイトの過去記事を対象に「Killnet」で検索をかけて出てきたものを、時系列順に並べてみました。

チェコへのDDoS

4月下旬、チェコの鉄道や空港など重要インフラのWebサイトが激しいDDoS攻撃を受けたと、情報セキュリティ当局NÚKIBが発表。内務省は、特定の攻撃者を名指ししなかったが、ロシアのハッカーによる犯行と断定した。Killnetは一連の攻撃への犯行声明を出した。(情報源:4月25日 Threat Report

ルーマニアへのDDoS

4月29日以降、ルーマニアのセキュリティ当局DNSCや、防衛省、国境警察、鉄道会社、銀行がDDoS攻撃を受けた。Killnetが犯行声明を出した。5月2日 Threat Report) 

ハクティビスト「アノニマス」

アノニマスがKillnetに宣戦布告を行った。ただし、両グループのサイバー闘争により部外者が影響を受ける可能性は低いとの指摘もなされた。(5月24日 Threat Report5月25日 Threat Report5月28、29日 Threat Report

イタリアへの攻撃計画を発表

Killnetは、イタリアへの大規模攻撃を5月30日の5時に仕掛けると、Telegram上に投稿した。(5月30日 Threat Report

一方、イタリアの当局は、分散型サービス拒否攻撃について警告する緊急アラートを発表した。同機関は、国の公共団体、公益サービスを提供する民間団体、または同国を想起させるイメージを持つ民間団体に対する攻撃が差し迫っている可能性があることを示す、連続的な兆候を確認した。この警告は、Killnetが2022年5月24日に「Operation Panopticon」を発表し、「サイバーファイター」の志願を繰り返し呼びかけたことを受けて発せられたもの。 (6月3日 Threat Report

アノニマスがKillnetへの「反撃」声明

アノニマスグループは6月、ロシアの複数企業からデータを盗み出しリークしたと主張した際、KillnetグループのメンバーのEメールアカウントをハッキングしたとも主張した。(6月10日 Threat Report

リトアニアの政府・エネルギー企業にDDoS

2022年6月27日、リトアニアの国家サイバーセキュリティセンター(NKSC)は、Secure National Data Transfer Networkや、他の政府機関・民間企業を標的とした進行中の分散型サービス拒否(DDoS)攻撃について注意喚起した。Secure National Data Transfer Networkの一部に障害が発生している。Killnetがこの攻撃の犯行声明を出しており、リトアニアが、カリーニングラード行きの列車のうち、EUの制裁対象である貨物を搭載した列車の国内通過を禁止したことに対する報復だとしている。また、Killnetは、リトアニアの4つの空港のWebサイトが機能しなくなったと主張している。(6月28日 Threat Report6月29日 Threat Report7月1日 Threat Report

また、リトアニアのエネルギー企業Ignitis Groupが「過去10年で最大のサイバー攻撃」の標的になり、多数の分散型サービス拒否(DDoS)攻撃を受けた。この攻撃により、同社のデジタルサービスやWebサイトに障害が発生したが、情報漏洩は報告されていない。親ロシア派ハッカーグループKillnetが犯行声明を出した。(7月15日 Threat Report

Killnet創設者が「脱退」声明

Killnetのリーダー「Killmilk」がグループ「脱退」を発表した。ただ、Killmilkは新たにグループを立ち上げるなどと話しているため、完全に退くわけではないものとみられる。発表の狙いは、世界に注目されるグループから距離をおき、責任逃れをするためであろう、との指摘もある。(8月1日 Threat Report

ロッキード・マーティン社のデータを窃取したと主張

Killnetは、8月初旬のサイバー攻撃で従業員の情報を盗んだと主張しており、盗んだデータの共有を検討していると報じられている。ロッキード・マーティンは、同社のシステムが侵害されたことを否定している。(8月12日 Threat Report

ある記事によると、Killnetが公表したデータは確かに本物の従業員のものだが、攻撃された証拠とは必ずしも言えないとのこと。つまり、評判を貶めたり、従業員を脅迫したりすることを狙って、古いデータか公開データを出した可能性があるとのこと。(8月14-15日 Threat Report

エストニアがKillnetの攻撃を阻止

エストニア政府関係者は8月、公的機関と民間部門の両方がDDoS攻撃の標的になったと発表した。今回の攻撃は、2007年以降に同国を襲った攻撃の中で最も広範囲に及んだとのこと。ただし、国のサイバー部門が攻撃の阻止に成功し、E-Estoniaで障害は発生しなかったという。Killnetが犯行声明を出し、今回の攻撃はソ連時代の記念碑をエストニアが撤去したことへの報復だとした。(8月22日 Threat Report

最後に

以上、過去に本ブログが取り上げたKillnetの主な活動をまとめました。ややラフなまとめ方になってしまいましたが、大まかな経緯をつかむ上で参考になれば幸いです。今後も引き続き、海外のサイバーセキュリティ情報を発信していきたいと思います。

参考資料

[1]「e‐Gov」でシステム障害、一時利用できず…ロシア支持のハッカー集団が攻撃の可能(Yahooニュース-読売、9月6日19:28)

[2] 総務省のTwitter(@MIC_JAPAN

[3] Killnetによる国内サイトへの攻撃示唆についてまとめてみた(piyolog、9月7日)

[4]一時サイトにアクセスしづらく…ウクライナ侵攻を支持するハッカー集団 名古屋港にサイバー攻撃か(東海テレビ、9月7日6:09)

[5] Flashpoint, Killnet: Russian DDoS Group Claims Attack on US Congress Website

 

Writer

Tamura株式会社マキナレコード インテリジェンス・翻訳チーム

著者

2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ