Anonymous Sudanとは?DDoS攻撃のタイムライン、提携関係、動機 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Anonymous Sudanとは?DDoS攻撃のタイムライン、提携関係、動機

Threat Report

Anonymous Sudan

DDoS攻撃

Flashpoint

Anonymous Sudanとは?DDoS攻撃のタイムライン、提携関係、動機

佐々山 Tacos

佐々山 Tacos

2023.06.29

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2023年6月20日付)を翻訳したものです。

 

今回は、マイクロソフト、オーストラリア、イスラエル、米国の複数の病院など、世界中のさまざまな国、業界、企業、政府組織を狙ったAnonymous Sudanの進行中のDDoS攻撃を時系列に沿って紹介します。

Anonymous Sudanの存在感は抜群

Anonymous Sudanは1月から活動しており、それ以後、絶えず世界中のヘッドラインを賑わせています。これまでの攻撃では、スウェーデン、オランダ、デンマーク、オーストラリア、フランス、イスラエル、ドイツ、UAE、米国、イランが標的になっているほか、重要インフラや金融サービス、航空、教育、医療、ソフトウェア、政府といった多数のグローバルセクターに影響が及んでいます。

最近ではマイクロソフトが、同社が「Storm-1359」として追跡している敵対者グループによるDDoS攻撃の被害に遭ったことを公表しました。Flashpointのインテリジェンスに基づくと、Storm-1359がAnonymous Sudanを指す脅威アクター名であろうことはほぼ確実です。

とはいえ、最近世界各地で生じた注目度の高い数々のDDoS攻撃に関して犯行声明を出しているこのグループ、Anonymous Sudanについては、依然として多くの疑問が残されています。

Anonymous SudanとKillnetにはつながりがある模様

Anonymous Sudanの起源に関する証拠からは、同グループと親ロシア派ハクティビスト集団Killnetとの提携関係が示唆されており、このつながりについてはKillnetも2023年2月に認めています。しかし、その提携の度合いについては今なお検証がなされている最中です。また、Anonymous Sudanは国家支援型のロシアアクターであり、西側諸国の(または西側諸国の同盟国の)組織・個人に対する攻撃の目くらましとしてイスラム主義者的な動機を持ったスーダンの国家アクターを装っている可能性が高いことも、証拠により示されています。

Anonymous Sudanの公式チャンネルでは同グループのアイデンティティや提携関係が読み取りづらくなっていますが、「ハクティビスト」という旗印のもとにソーシャルメディアアカウントや公開アカウントを利用するというやり口は、ロシアの国家支援型アクターたちが採用してきた戦術、技術、手順と一致しています。Anonymous Sudanは、Killnetと同様に名高い被害者らへの攻撃実施を宣言してきました。

イスラム主義者的イデオロギーが建前

Anonymous Sudanが登場して以来、その起源やイデオロギー、動機についてはさまざまな憶測がなされてきました。同グループは自身のオンラインチャンネルにおいて、英語やロシア語、そして最近になってからはアラビア語で投稿を行っています。しかしそのグループ名にもかかわらず、同グループとスーダンという国との間に実質的なつながりは(また、過去にスーダン国内で活動していた「Anonymous」グループとのつながりも)存在しないようです。

親イスラム的な姿勢のアピールは、スウェーデンの組織が狙われたケースで最も顕著に見受けられます。Anonymous Sudanは多数のスカンジナビア組織を攻撃しましたが、これらの攻撃は、ラスムス・パルダン氏(デンマークとスウェーデンの国籍を持つ政治家)が、在スウェーデン・トルコ大使館の前で反イスラムデモを組織し、6月22日にコーランを焼却した後に実施されました。

このコーラン焼却は(トルコの容認を得づらくすることで)スウェーデンのNATO加盟が実現し難い状況を作るためにロシア国家後援のジャーナリストによって画策された、とする報道によって、Anonymous Sudanの起源や動機はますます判別しづらいものとなりました。

 

ロシア政府を後ろ盾とするロシア人ジャーナリストは、スカンジナビアにおける反ムスリム感情を煽ってNATO既存加盟国であるトルコに懸念を抱かせ、スウェーデンのNATO加盟が実現する可能性を下げようとしてコーラン焼却を実行しました。

Anonymous SudanのTTP:マイクロソフトに対する攻撃の詳細

マイクロソフトは、同脅威グループが「複数タイプのレイヤ7 DDoS攻撃トラフィックを仕掛けている」のを観測したと述べました。これには、以下の攻撃が含まれます。

 

・HTTP(S)フラッド攻撃:この攻撃の狙いは、「大量のSSL/TLSハンドシェイクおよびHTTP(S)リクエスト処理によってシステムリソースを疲弊させる」ことです。

・キャッシュバイパス:「CDNレイヤのバイパスを試みる」攻撃で、これにより「オリジンサーバーに過剰な負荷を与えることが可能」になります。

・スローロリス:この攻撃では、「クライアントでWebサーバーへの接続をオープンしてリソース(画像など)を要求し、その後そのダウンロードを認識できなくさせ(または時間をかけて受け入れさせ)ます。これによりWebサーバーは、接続をオープンなままにすること、そして要求されたリソースをメモリ内にとどめておくことを余儀なくされ」ます。

時系列で見るAnonymous SudanのDDoS攻撃、犯行声明、動向:タイムライン

判明しているものに限られてはいますが、FlashpointはAnonymous Sudanによる犯行声明や、裏付けの取れている攻撃を時系列に沿ってまとめました。例えばAnonymous Sudanは、何らかの組織を標的にしたことについて公式チャンネル上で言及してきました。また時には、自らの主張を裏付ける証拠を一切提示することなく、ある攻撃についての犯行声明を行う場合もあります。このようなケースには、後述するカナダやオランダ、ドイツが標的となった攻撃が該当していました。

 

以下が、Anonymous Sudanによる最近のDDoS攻撃や犯行声明の一部をまとめたタイムラインです。

 

・1月23日 – 2月22日:ラスムス・パルダン氏の行為への応答としてスウェーデンを攻撃したと主張。

・1月27日:同じくパルダン氏の行為への応答としてオランダを攻撃したと主張。

・2月22日:ラスムス・パルダン氏の行為への応答としてデンマークを攻撃したと主張。

・3月15日 – 22日:Anonymous Sudanはフランスを標的にし、エールフランスを攻撃。

・3月24日 – 4月2日:メルボルンのファッションレーベルが衣類に「神」を意味するアラビア語を使用したことを受け、オーストラリアの企業数社(医療、航空、教育に関連する諸組織)を攻撃。

・4月26日:イスラエルの独立記念日に、Anonymous Sudanは同国のベンヤミン・ネタニヤフ首相のWebサイトを攻撃してアクセス不能にした旨、およびネタニヤフ首相のFacebookアカウントをハッキングした旨を主張。また、ハイファ港、Israel Ports Development、国民保険研究所、モサド(イスラエル諜報特務庁。同国の諜報機関)のWebサイトに対する攻撃もAnonymous Sudanによるものだとする報道が複数あった。

・4月29日:Anonymous Sudanは、ドイツの当局によって子供が「誘拐」されたとの投稿をした後、ドイツ組織への攻撃を計画中であることをアナウンス。カナダも標的として言及されたが、その理由として、あるムスリム男性が家族の面前で逮捕される様子を写した動画が挙げられていた。これらの攻撃の程度は未だ不明。

・5月2日:Anonymous Sudanは、イスラエルの対ミサイル防衛システム「アイアンドーム」を侵害し、一時的に無力化したと主張。ただしこれについてのイスラエル政府による裏付けは得られていないまま。このサイバー攻撃によりガザから発射されたロケット弾16発がイスラエル領内に飛来したと報じられているほか、Israeli Army Radioによれば、通常90~95%を誇るアイアンドームの迎撃成功率が71%に低下したとのこと。

・5月5日:Anonymous Sudanは、アラブ首長国連邦(UAE)の公式ドメインに属する8つのWebサイトのスクリーンショットを共有。その直後にUAEの複数の銀行が攻撃を受けたとされる。

・5月24日:Anonymous Sudanはスカンジナビア航空(SAS)のWebサイトとモバイルアプリを侵害してオフラインにし、全フライトに支障を生じさせて乗客を立ち往生させた。これは、スウェーデンに対する攻撃の第2ラウンドとなった。

・6月5日:Anonymous Sudanはマイクロソフトを攻撃予定だと宣言。なおその後16日、最終的に同社も攻撃を受けたことについて認めることになる。大きな注目を集めたこの攻撃は、マイクロソフトの複数製品・サービスで障害を生じさせた。ただし同社は、「顧客のデータがアクセスを受けたり侵害されたりした形跡は観測しなかった」と述べている。

・6月14日:Anonymous Sudanは自身の公式Telegramチャンネルでの投稿において、複数のロシア語話者ハッカーがヨーロッパおよび米国の金融機関に対する「大規模な攻撃」を48時間以内に実施すると発表した旨を伝えた。Anonymous Sudanは、西側諸国によるウクライナへの金銭的・軍事的支援への抗議のため、Killnetおよびロシアのサイバー犯罪グループREvilと組んで決済システムSWIFTを攻撃するつもりだと主張した。

・6月16日:Killnetは、自らの攻撃の標的になり始めたとされる西側の金融機関をTelegramチャンネルに投稿。しかし本記事公開時点ではいずれの機関でも事業運営が維持されている。

・6月19日:Anonymous Sudanは欧州投資銀行(EIB)を攻撃したと発表。EIBはDDoS攻撃を受けたことを認めている。

 

Flashpointは状況をつぶさに追跡し、大きな変化がみられた場合には本ブログを更新します。

 

※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

Flashpointのご紹介

Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。Flashpointを使用すれば、ダークウェブ等の不法コミュニティで脅威アクターたちがどのような議論・取引を行っているのかをモニタリングすることができます。

Flashpointについて詳しくは、以下のフォームからお気軽にお問い合わせください。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ