米アカマイ・テクノロジーズ(アカマイ)は9月9日、同社のProlexic Security Engineering & Research Team(PLXsert)を通して、新たなサイバーセキュリティのケーススタディを発表した。
同社によると2014年9月から2015年8月までの期間にPLXsertが観測した顧客に対する攻撃トラフィックの件数に基づき、ビットコイン恐喝グループのDD4BCから分散型サービス妨害(DDoS)攻撃が増加しているという。2015年4月以降、PLXsertチームは114件のDD4BC攻撃を確認したが、その中にはソーシャルメディアを通じてブランドの評判を落とすことを目的とするような攻撃的な手段も確認された。
同社のセキュリティ部門シニア・バイスプレジデント兼ゼネラルマネージャーであるスチュアート・スコリー(Stuart Scholly)は「DD4BCはDDoS攻撃の脅威を利用し、被害者が将来の攻撃から身を守るためビットコインの支払いを求めている。最近の攻撃は主に金融サービス業界を標的としたものだが、嫌がらせ、脅迫、そして最終的には被害者に公に恥をかかせることを目的とした新しい戦略や戦術が用いられている」と語った。
DD4BCグループは2014年以降、ビットコイン恐喝キャンペーンに関わっており、昨年は恐喝やDDoSキャンペーンを拡大し、金融サービス、メディアおよびエンターテインメント、オンラインゲーム、小売りといった幅広い業種を攻撃対象としている。
同グループは、攻撃対象のウェブサイトに対して低レベルのDDoS攻撃を仕掛けるとメールで連絡。その後、企業のウェブサイトにアクセスできなくなるように設計された大規模なDDoS攻撃を実施すると企業を脅迫し、ビットコインで身代金を支払うよう要求した。
PLXsertの調査によれば、直近の同グループはDDoS攻撃そのものによる損害に加え、ソーシャルメディアを通じて標的となった組織を攻撃すると脅迫。同グループの手法はマルチベクトル型のDDoS攻撃キャンペーンを使用し、過去に標的とした相手を再度標的としていることに加え、マルチベクトル型攻撃に第7層へのDDoS攻撃を組み込んでいる。
特にリフレクションされたGETリクエストを繰り返し標的に送り付けてウェブサイトに過負荷をかけるためにWordPressのpingback機能の脆弱性を集中的に利用し、悪用。同社は攻撃方法がDDoS Booter(DDoS請負業者)プログラム・パッケージのフレームワークに組み込まれているのを確認しており、PLXsertは2014年9月以降、同社の顧客に対するDD4BC攻撃の確認事例を計141件観測。平均攻撃帯域幅は13.34Gbps、最も大規模なDDoS攻撃では56.2Gbpsだった。
同グループおよび、その後のDDoS攻撃からの防御策として同社は異常検出・シグネチャベースのDDoS検出手法を配備し、ユーザがウェブサイトを利用できなくなる前に攻撃を見極めることや、リソースを分散して耐障害性を増した上で攻撃による単一点障害(Single Points of Failure)が起こらないように図るほか、ネットワーク上の重要な場所に第7層のDDoS軽減装置を実装し、重要なアプリケーションサーバへの脅威を低減させることを推奨している。