Sunday, October 2, 2022

政府関連サイトがダウン、「宣戦布告」も…過剰反応は「低レベル」ハッカーの思うツボ - ビジネス+IT

記事をお気に入りリストに登録することができます。

2022年9月6日から7日にかけて、e-Gov、eLTAX、JCBやmixi、東京メトロなどがDDoS攻撃を受けて、一時サイトにつながりにくい状況が発生した。ロシア系のハッカーグループ「Killnet」が犯行声明行い「日本に宣戦布告した」とアナウンスした。ウクライナ支援や領土問題でロシア政府と対立していることへの報復だとしている。だが、過剰反応は禁物だ。なぜなら、攻撃自体は大したものではなく、彼らはいわゆる「ハクティビスト」であり、ロシア政府との関係も薄いからだ。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
Killnetの「宣戦布告」は脅威なのか?

(Photo/Getty Images)


Killnetの攻撃手法やツールはあまり洗練されていない

 日本政府関連サイトがDDoS攻撃を受け、「宣戦布告」という犯行声明まで出された。報道の字面だけを見れば忌々しき事態だが、実際にはそれほど大きな問題になっていない。攻撃を受けたサイトも半日前後でほぼ復旧している。DDoS攻撃は恐れるに足らず、とは言わないが、ロシアのハッカー、宣戦布告、トップページの改ざんといった表層的なキーワードに惑わされないようにしたい。

 まず、攻撃背景から見てみよう。犯行声明を出したのは「Killnet」というグループ。「宣戦布告」の理由として、日本はウクライナ問題についてロシアと敵対する立場をとっていることを挙げている。また、領土問題にも触れて、日本はロシアに仇なす国家だとしている。

 たしかにウクライナやEU諸国に対するロシアのサイバー攻撃(DDoS、ワイパー他)は、複数の研究者・セキュリティベンダー、政府からも報告されている。警戒は必要だが、2022年の9月6日、7日に発生した一連の攻撃主体であるとされるKillnetは、ロシア政府や軍との直接の接点はない。EU圏内でもKillnetの活動は報告されているが、攻撃手法やツールはあまり洗練されておらず、Fancy Bear、Berserk Bear、Sandwormのような、ロシア政府とつながりが深いとされているグループでもない。Killnetの背景は、ロシアの愛国者やハクティビストと見るのが合理的だ。

「大騒ぎ」は思うツボ、活動の規模と意図を冷静に探るべき

 標的は政府機関、交通事業者、ソーシャルメディアと組織的かつ国家支援型の攻撃にも見える。だが、どれも一般向けに開放されたポータルサイト、サービスサイトであり、比較的攻撃しやすいものだ。標的のURLさえ分かれば単純なツールでDDoS攻撃を行うことができる。過小評価はすべきではないが、防御側が対応しやすい攻撃でもある。

 クラウド環境ならば一時的なサーバ増強で対応できることがある。攻撃元のデバイスや地域などに特徴があればフィルタリングもしやすい。別の言い方をするなら、DDoS攻撃は正規のパケットを送ってくるので、DDoSパケットを事前に排除することはできない。一番原始的なDDoS攻撃と言われる「F5攻撃(Webブラウザの再描画キー)」と、純粋なアクセス集中の区別はまず不可能だ。DDoS攻撃対応は、突発的なアクセス集中への対応として運用に組み込んでおくべきものだ。

 一番やってはいけない対応は、「大騒ぎ」すること。ハクティビストや愛国者コミュニティの狙いは、自分たちの活動やメッセージが周知されることだ。あるいは単に標的が慌てふためく様子を見て喜ぶだけということもある。「大変なことが起きている!」といった反応は過剰であり、まさに彼らの思うツボなのだ。

DDoS攻撃用のURLリストや攻撃ツールは闇市で買える

画像
DDoS攻撃に対応するには?

(Photo/Getty Images)


 DDoS攻撃への対応は、可能な限りの範囲で攻撃パケットを止め、必要ならサーバや回線を(緊急避難的に)増強し、ひたすら攻撃が収まるのを待つしかない。どんな大企業・組織でも、対症療法しか有効な手段がない。では予防はできるのだろうか? この検証の前に、DDoS攻撃の原理を簡単に説明しておく。

 DDoS攻撃の原理は、標的サーバに大量のTCPパケットを送り付けるというもの。送信元を標的サーバに詐称し、接続リクエスト(SYN)、確認応答(ACK)などを行う。DNSサーバへの問い合わせ(ドメインの名前解決)やHTTP(S)のリクエスト(GET/POST)を大量に送り付ける方法もある。

 UDPは、TCPのような接続(セッション)を確立せずとも標的にいきなり送り付けることができる。UDPは動画や音声のやりとり、各種の管理情報やマルチキャスト(アドバタイズと呼ばれる自身の情報やステータスを外部に共有させるための同報通信)に利用されるプロトコル。大量のデータをペイロードとした送信、あるいは大量のUDPパケット(ペイロードは小さくても良い)を送ることで、標的のリソースを消費させる。

 攻撃パケットの送信元は、ハッカーが構築したボットを利用する。ボットネットワークはアンダーグラウンドで買うこともできる。

【次ページ】ダークネットで観測された「どのポートへの攻撃が多かったか」トップ10

関連タグ

あなたの投稿

Adblock test (Why?)


からの記事と詳細 ( 政府関連サイトがダウン、「宣戦布告」も…過剰反応は「低レベル」ハッカーの思うツボ - ビジネス+IT )
https://ift.tt/qiDTmIL
Share:

0 Comments:

Post a Comment