-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
DDoSIAを分析:組織的なDDoSオペレーションに備えるには
SOS Intelligence – February 19, 2025
複数のハクティビストグループによる組織的なDDoSオペレーション「DDoSIA」について、SOS Intelligenceが報告。同オペレーションを追跡して得られたデータを基に、概要や攻撃ベクター、被害者などについてまとめた。
DDoSIAとは?
DDoSIAは、親ロシア派のハクティビストグループによって運用される組織的なDDoSキャンペーン。創設者とされるのはNoName057(16)で、このグループはほかの関連する脅威アクターらとともに、ロシアの利害と衝突するような組織・政府を狙って事業や業務の運営を妨害するための攻撃を仕掛けることで知られている。
NoName057(16)は、DDoSIAをクラウドソーシング型のDDoSプロジェクトとして運営。つまりDDoS攻撃への参加を募り、攻撃に協力した者にはインセンティブが支給される方式で、参加者はメッセージングプラットフォームやフォーラムなどで募集されている。志願者の多くはロシアの地政学的立ち位置に連帯するようなイデオロギーを持つとされ、運営側から提供される指示書や攻撃ツールへのアクセス権を利用してDDoS攻撃に参加するという。
DDoSIAの攻撃
DDoSIAは主に、数の力を利用したアプリケーション層のDDoS攻撃を行い、WebサイトやAPI、ネットワークインフラの機能を妨害することを目指す。その攻撃ベクターには、以下が含まれるという。
- HTTPフラッド攻撃:膨大な数のHTTPリクエストを生成し、サーバーリソースを疲弊させる
- UDP / TCPフラッド攻撃:多量のトラフィックでネットワーク帯域を飽和させる
- Botのアシストを利用した攻撃:攻撃参加者の中には、プロキシネットワークや自動化されたスクリプトを利用して攻撃の強度を上げようとする者もいる
DDoSIAの標的
DDoSIAは、政府機関や金融機関、防衛請負事業者、物流プロバイダーなどさまざまなセクターの組織を標的にしてきた。国別では、ウクライナに加え、同国を支援する米国、英国、ポーランド、ドイツなどの国々が主に狙われている。攻撃キャンペーンはロシア・ウクライナ関連の政治的事象や軍事支援の発表、ロシアに対する制裁の発表などと同じタイミングで行われることが多い。
SOS Intelligenceが2024年以降に観測した攻撃では、特に以下の国々が標的になるケースが多かったという。
- ウクライナ:最も被害が多いのは常にウクライナ。この事実は、ウクライナ諸機関の不安定化や、デジタルインフラの弱体化といったDDoSIAの広範な任務と合致している。
- ポーランドおよびバルト三国(リトアニア、ラトビア、エストニア):これらの国々は、ウクライナに対する強力な支援を行っていることを理由に頻繁に標的となっている。また、NATOでの戦略的立ち位置やEUの「東方戦線」に位置することも、この4か国をロシアの主要な敵対者とする要因になっている。
- 西側諸国(フランス、ドイツ、英国、イタリア、スペイン):これらの国々が狙われる背景には、NATO加盟国や重要な西側の企業にダメージを与えようという意図があるものとみられる。
- チェコおよびスロバキア:いずれの国でも攻撃数が増加しているが、これはウクライナへの支援において両国が果たす役割に起因するものと思われる。
またIPアドレス別にみると、以下が特に頻繁に攻撃を受けたという。このようなデータは、DDoSIAの攻撃戦略が数だけでなく、持続性も重視するものであることを示唆しているとSOS Intelligenceは指摘。重要なサービスと関連する下記のような特定のIPアドレスを繰り返し攻撃対象とすることで、一時的に障害を発生させるというよりも、長期的にサービスを不安定化させることを目論んでいるものと思われる。
- ウクライナの政府インフラ(91.212.223.216):攻撃回数18回
- マイクロソフト(13.107.246.44):14回
- マイクロソフト(13.107.246.61):12回
- ポーランドの銀行ネットワーク(193.19.152.74):10回
- フランスのEコマース・ホスティングサービス(51.91.236.193):8回
DDoSがその他のサイバー脅威の隠れ蓑になることも
DDoS攻撃はサービス運営や事業運営に支障を与えたり、業務を滞らせたりする「ディスラプティブ」なものであるだけでなく、以下に挙げるような別のサイバー活動の隠れ蓑としても使われる場合があるという。このため、DDoS攻撃をその他の攻撃と切り離し、別個の事象として扱うことは推奨されないと、SOS Intelligenceは述べている。
- ネットワーク侵入・データ窃取:攻撃者は、DDoS攻撃を実施してセキュリティチームの手を煩わせ、注意を逸らしている間に機微なデータを盗み出したり、組織のインフラにバックドアを仕掛けたりする可能性がある。
- ランサムウェアの展開:連携型のDDoS攻撃は、ランサムウェア感染の初期ステップを覆い隠す手段としても使われ得る。
- サプライチェーンの侵害:攻撃者はクラウドベースのサービスやサードパーティプロバイダーにDDoS攻撃を仕掛け、連鎖的な障害を引き起こすことで、相互接続されたシステムにおける脆弱性を暴き出そうとする可能性がある。
ハクティビストがもたらすリスクへの対策
DDoSIAやその他のハクティビストが首謀するキャンペーンがもたらすリスクには、多層的なサイバーセキュリティ戦略を採用して備えるべきだとSOS Intelligenceは推奨している。
- 高度な対DDoS保護:Cloudflare、AWS Shield、Akamaiやその他のオンプレミスのDDoS緩和ソリューションを配備し、特にレイヤ7の攻撃に重点的に対策する。
- リアルタイムの脅威インテリジェンスおよびインシデントレスポンス:攻撃トレンドを継続的にモニタリングし、脅威インテリジェンスプロバイダーの協力を仰ぐことで、新たな戦術を早期に検出できるようにする。
- クロスチャネルのセキュリティ可視化:SIEMソリューションとNDRツールを統合し、DDoSトラフィックだけに重点を置くのではなく、同時に発生し得るその他の脅威にも備えられるようにしておく。
- レッドチーミング・攻撃シミュレーション:定期的にインフラのストレス耐性テストを実施したり、多方面からの攻撃シナリオをシミュレートすることで、防御策がリアルワールドの条件下でどの程度有効かを評価する。
- アクセスコントロールの強化・ゼロトラスト:厳格なユーザー認証、重要システムのセグメンテーション、および異常検出メカニズムを導入することにより、攻撃中のラテラルムーブメントを阻止できるようにしておく。
【無料配布中!】脅威アクターレポート
脅威アクターレポート:『Actor Profile : CyberVolk. group』
2024年9月〜10月にかけて日本の組織に対して真偽の疑わしいサイバー攻撃声明を繰り返した脅威アクター「CyberVolk. Group.」。弊社アナリストが同アクターによる過去の投稿データをもとにその目的、能力、動機、提携グループ、支援国を分析したレポート『Actor Profile : CyberVolk. group』を、以下のバナーより無料でダウンロードいただけます。
<レポートの主なトピック>
- 要点
- グループ概要
✔️攻撃声明
⚪︎DDoS攻撃声明
⚪︎サイバー恐喝
⚪︎その他日本の組織への攻撃声明
✔️他グループへの協力呼びかけ
⚪︎他の不法コミュニティでの悪評
✔️ランサムウェア等の宣伝 - 評価
関連投稿
新種のボットネットGorilla、100か国以上を標的に30万件超のDDoS攻撃を実施
08.10.2024
Ivanti、Connect Secureを狙う新たなゼロデイ攻撃の発生を警告(CVE-2025-0282)
09.01.2025
COLDWASTRELとCOLDRIVERの両アクター、ロシア反体制派をスピアフィッシングキャンペーンで狙う
16.08.2024
AmazonやHSBCなど複数組織の従業員データが大量にリークされる MOVEitの脆弱性使って窃取か(CVE-2023-34362)
13.11.2024
米財務省がカスペルスキー幹部12人に制裁、ソフトウェア販売禁止に続き
24.06.2024
