-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
最近のAzure、Microsoft 365の障害はDDoS攻撃によるもの:マイクロソフトが認める
マイクロソフトは16日金曜、6月初旬に同社の諸サービスで相次いで発生していた障害の原因が脅威アクター「Storm-1359」によるレイヤ 7DDoS攻撃であったと認める内容のブログ記事を公開した。なおStorm-1359とはマイクロソフト独自の呼称であり、一般的に同グループは「Anonymous Sudan」と呼ばれることが多い。
これまでの経緯
6月7日〜9日:Outlook.com、OneDrive、Azure Portalがダウン
Outlook.comのWebポータルでは6月7日、OneDriveでは8日、そしてMicrosoft Azure Portalでは9日に障害が発生。世界中でこれらのサービスにアクセスできなくなる事態が起きていた。いずれの障害に関してもAnonymous Sudanが犯行声明を出していたものの、この時点でマイクロソフトはDDoS攻撃被害を受けたとは明言していなかった。ただ、「問題を緩和するために負荷分散処理を行っている」と述べ、原因がDDoSであることを仄めかしてはいた。
ハクティビストグループAnonymous Sudanの主張によると、米国によるスーダンの内政への干渉に抗議するためにマイクロソフトにDDoS攻撃を行っているとのこと。同グループはまた、自身のTelegramチャンネル内で「我々は米国の大企業、政府、インフラをターゲットにし続ける」とも述べている。
— Machina Record (@MachinaRecord) June 6, 2023
【OneDriveが世界的にダウン、Anonymous SudanがDDoS攻撃の犯行声明】ハクティビスト集団Anonymous SudanがDDoSの実施を宣言する中、世界中でOneDriveへアクセスできない事態が発生。マイクロソフトはこの声明を認識しており調査中だとし、影響を受けたURLがhttps://t.co/Hr6FB6AhnNであることを伝えた https://t.co/nIVkVPzFUI
— Machina Record (@MachinaRecord) June 8, 2023
12日:マイクロソフトがAzureの障害原因は「ネットワークトラフィックの急増」と発表
マイクロソフトは12日に公開された暫定的なPIR(インシデントの事後レポート)において、Azureにおける障害はネットワークトラフィックの急増によるものだったと述べた。これにより、DDoS攻撃を受けた可能性があることがさらに示唆されていた。
16日:マイクロソフト、Anonymous SudanによるDDoS攻撃が障害の原因だったと認める
そして16日に公開されたブログ記事の中で、ついに同社は各サービスでの障害の原因がStorm-1359(Anonymous Sudan)のレイヤ7DDoS攻撃であったことを認めた。
Anonymous Sudanとは?実はロシアやKillnetと関連?
Storm-1359、つまりAnonymous Sudanとは2023年1月に始動した脅威グループで、スーダンに反対する国を攻撃するとの宣言のもと、また時には「反ムスリム的活動への報復」という名目のもと、スウェーデン、オランダ、オーストラリア、ドイツ、米国など世界中の組織や企業を狙ってDDoS攻撃やデータ窃取・リーク攻撃を実施してきた。
マイクロソフトへの攻撃、動機は「米国によるスーダンへの干渉」?
Anonymous SudanはOutlookへのDDoS実施中に、攻撃の理由を米国によるスーダン政治への干渉に対する抗議のためだと述べていた。同グループは、「スーダンへ侵攻する可能性がある」と米国務省が発言したとされることをめぐって同国の企業やインフラに対する攻撃キャンペーンを実施しており、今回のマイクロソフトへの攻撃もその一環だとされている。
しかし、同グループのスーダンや反ムスリム関連の主張は単なる建前であり、実際にはロシアと関わりのあるグループなのではないかというのが、一部のサイバーセキュリティ研究者たちの考えだ。
Anonymous SudanとKillnet
Anonymous Sudanはロシアのみならず、Killnetとのつながりも持つ可能性がある。また米国のソフトウェア企業Trustwaveによれば、Anonymous Sudanが親ロシア派脅威アクターグループKillnetのサブグループである可能性が非常に高いという。
このような疑惑は、最近KillnetがAnonymous SudanやREvilと手を組んでSWIFTなどのヨーロッパのバンキングシステムを攻撃する、などと宣言したことでますます強まっている。(なお現在までにこの攻撃が実際に始まった様子はない)
【「ヨーロッパのバンキングシステムを48時間以内に破壊する」、Killnetほかロシアグループが宣言】この攻撃にはREvil(あの有名ランサムウェアグループを指すのかは不明)とAnonymous Sudanも参加する模様。「これはDDoS攻撃ではない」との発言も。Telegram上のロシアメディアが報じたもので真偽は不明 https://t.co/lAwsF5yfHK
— Machina Record (@MachinaRecord) June 14, 2023
マイクロソフトの対応には否定的な声も
今回の一連のインシデントをめぐり、一部の人々はマイクロソフトの対応に不満を抱いているようだ。例えば著名なセキュリティ研究者であるKevin Beaumont氏はMastodonにおいて、同社がDDoSについては認めつつもMicrosoft 365、Outlook、Exchange、OneDrive、Azureへの影響がどれくらいだったのかについては明かしていない点や、メディアや顧客へのコメントの発表を拒否し続けていた点、16日にブログ記事をひっそりと公開してソーシャルメディアやニュースチャンネルにはリンクを掲載しなかった点などについて揶揄している。このBeaumont氏の投稿は148回「ブースト」(Twitterでいうところのリツイートに相当)され、22回「お気に入り」されていることから、賛同者はそれなりにいるものとみられる。
(情報源:BankInfoSecurity “DDoS Attacks Culprit of Recent Azure, Microsoft 365 Outages”、BleepingComputer ”Microsoft confirms Azure, Outlook outages caused by DDoS attacks”)
6月17,18日:その他の注目ニュース
米政府、ランサムウェアClopに関する情報の提供者に懸賞金1,000万ドルを出すと発表
Bleeping Computer – Jun 17 2023 20:06
6月16日、米国務省の「正義への報酬(RFJ)」プログラムは、ランサムウェアClopによる攻撃と外国政府の繋がりが分かる情報を提供した者に対して、最大1,000万ドルの懸賞金を出すと発表した。今回の新たな懸賞金は、Clopランサムウェアがファイル転送プラットフォームのMOVEit Transferにおけるゼロデイ脆弱性を利用し、世界中の企業にデータ窃盗攻撃を行ったことを受けてのものである。同省は、Torを使用した専用のSecureDropサーバーを設置し、情報提供者がClopやその他の脅威アクターに関する情報を提供できるようにしている。
クリプトジャッキングからDDoS攻撃まで:DiicotがCayosinボットネットを用いて戦術を拡大
The Hacker News – Jun 17 2023 06:59
Cado Securityのサイバーセキュリティ研究者が、Diicotという名のルーマニアの脅威アクターに関連するこれまで文書化されていなかったペイロードを発見し、これによって将来的に分散型サービス拒否(DDoS)攻撃が行われる可能性があることを発見した。Diicot(née Mexals)は2021年7月に、Bitdefenderによって初めて文書化された脅威アクターである。この際には、同アクターがクリプトジャッキングキャンペーンの一環として、Linuxホストを侵害するためにDiicot Bruteと呼ばれるGoベースのSSHブルートフォースツールを使用していることが明らかにされていた。そして今回のCado Securityの最新の分析により、同グループがQbotやMiraiと特徴を共有するマルウェアファミリーであるCayosinと呼ばれる既製のボットネットも展開していることが新たに判明している。これは、同脅威アクターがDDoS攻撃を行う能力を持つようになったことを表しているという。
Killnet、SWIFTや世界の銀行への攻撃が迫っていると脅す
Dark Reading – Jun 16 2023 19:37
ZeroFoxの研究者によると、KillnetがReVILやAnonymous Sudanと連携し、ウクライナへの武器供与に対する報復として米国やヨーロッパの金融分野に破壊的な攻撃を行うと主張しているとのこと。しかし、この連携が本当に実現されるのかや、どれほどの危険がもたらされ得るのかについては不明。金融危機が迫っているというKillnetによる宣伝は、西側の政府や金融機関に嫌がらせをするためのものである可能性があるというのが、ZeroFoxの見方。また同社は、同グループには悪ふざけをする傾向があることから、単に注目や悪評を集めるための試みかもしれないとも指摘している。
