2022年9月に、日本の政府と複数民間企業を標的として「キルネット(Killnet)」というロシアを支持するサイバー攻撃集団が複数のサイトに対してDDoS攻撃を行った。その結果、政府が運営するポータルサイト「e-Gov」や地方税ポータルシステム「eLTAX(エルタックス)」、JCBのWebサイトなどが閲覧しづらくなる状況に陥った。また、東京メトロや大阪メトロのホームページも一時アクセスしづらい状況に陥ったと報道されている。このニュースにより再度DDoS攻撃に興味をもった読者も少なくないだろう。

そこで本連載では、全3回にわたり、進化を続けるDDoS攻撃の現状を紹介していく。そもそもDDoS攻撃とはどういった手口なのか、企業はどのように阻止すればよいのだろうか。第1回目となる今回は、単純なようで実は高度な手法であるDDoS攻撃の仕組みを紹介しよう。

DDoS攻撃はなぜ起こるのか

DDoSは、Distributed Denial of Serviceの略語で、分散型サービス妨害を意味する。企業や政府の公開サーバもしくはそのネットワークに対して行われるサイバー攻撃で、世界中の“分散=Distributed”した場所から大量トラフィックを送りつける手法から、「分散」という名称がつけられた。

  • DDoS(分散型サービス妨害)攻撃(イメージ)

    DDoS(分散型サービス妨害)攻撃(イメージ)

攻撃者がDDoS攻撃を行う目的は、2種類に大別できる。主張の喧伝を目的とするか、金銭的利益を目的とするかだ。主張を目的とする攻撃者(アクター)はハクティビストと呼ばれ、金銭を搾取することを目的とする利益目的のサイバー犯罪者とは一線を画す存在だ。

昨年9月に日本の会社や政府組織に攻撃を行ったキルネットもハクティビストにあたる。彼らの攻撃により、日本政府や公共交通機関をはじめとする多くのWebサイトはダウンさせられた。その後「日本国政府全体に宣戦布告」などと、日本語字幕をつけた動画を公開し主張を行った。

声明を出す前に複数のWebサイトがダウンしたことで話題になり、結果的にキルネットの主張も広く報道された。大手メディアに取り上げられたことで、彼らの目的が一定以上達成されたということだ。しかし、メディアも注意喚起のために報道する必要はあるため、一概に悪いとも言えない。

  • ハクビディスト(イメージ)

    ハクビディスト(イメージ)

一方で金銭目的の場合には、DDoS“脅迫”が行われる(元は英語でDDoS Extortionと記載し、日本語ではDDoS恐喝とも和訳される)。

これは、DDoSを行ってサービス停止に追い込み、「止めて欲しければ暗号資産を支払え」と企業を恐喝する攻撃手法だ。2021年にはDDoS脅迫の増加も観測されており、それ以降も現在まで被害は継続的に観測されている。加えて近年は、「ランサムウェア攻撃」にDDoSが組み合わされるケースも確認されている。ランサムウェアによってデータを暗号化し、さらに盗んだデータをダークウェブに公開、追い討ちでDDoS攻撃を仕掛けて身代金支払いを余儀なくさせる。この手口は三重脅迫と呼ばれている。

  • ランサムウェア攻撃にも組み込まれるDDoS攻撃

    ランサムウェア攻撃にも組み込まれるDDoS攻撃

暗躍するボットネット

冒頭に記載した通り、DDoS攻撃は分散した場所から大量のトラフィックを送るつける攻撃だ。しかし、その送信元にサイバー攻撃者が自前で買ってきた攻撃用サーバは設置されていない。世界中のオンライン端末(場合によってはあなたの端末も)が「ボットネット」を構成し、この攻撃に加担している。

攻撃者は、IoTデバイス、スマートフォン、PC、ネットワークサーバなど、インターネットに接続する多数のマシンやコネクテッドデバイスを悪用し、膨大な量のトラフィックを標的に送信している。つまり、DDoSでは、感染したデバイスの大群が、標的となる Web サイトに一斉に殺到することで正規の利用者を追い払っているのだ。読者の皆さんもサイバー攻撃の一端を担っているかもしれない。

攻撃が始まるまでの流れ

DDoS 攻撃を仕掛ける場合、まず攻撃者はマルウェアやセキュリティの脆弱性を使用し、悪意を持ってマシンやデバイスを感染させて支配する。感染した各コンピュータやデバイスは、「ボット」や「ゾンビ」としてマルウェアをさらに拡散し、DDoS攻撃に参加できる状態になる。こうしたボットが「ボットネット」と呼ばれるボット集団を形成し、数の強みを生かして攻撃の規模を増幅していく。

そして、攻撃者がボットネットを形成すると、各ボットに命令をリモートで送信して、標的システムへのDDoS攻撃を指示できるようになる。ボットネットがネットワークやサーバを攻撃すると、攻撃者は各ボットに、被害者の IPアドレスに対してリクエストを送信するように指示する。トラフィックが過負荷状態になると、サービスが妨害され、通常のトラフィックがWebサイト、Webアプリケーション、API、ネットワークにアクセスできなくなる。

特に悪質なのは、このボットネットは攻撃のたびに自前で作られるのではなく、金銭によって安価に貸与される点だ。感染したデバイスのネットワークは、「攻撃請負」サービスを通じて貸与され、他の攻撃に使用されるケースもある。この場合、実行犯がトレーニングや経験がなくてもDDoS攻撃を容易に仕掛けられるようになる。

次回は、DDoS攻撃の手法の中でも主要な3つのタイプを具体的に紹介していこう。

金子春信

金子春信

かねこ はるのぶ

アカマイ・テクノロジーズ合同会社 シニアリード プロダクトマーケティングマネージャー
現在、アカマイにおけるアジア太平洋地域のセキュリティ製品マーケティングを担当。18年以上にわたりIT業界で、ネットワークエンジニア、新規事業開発、プロダクトマーケティングなどの業務に従事。大手SIerで金融、製造を中心とする大規模企業顧客のネットワークやセキュリティの設計構築プロジェクトを多く提供。2012年から2015年は、米国シリコンバレーのNet One Systems USAで、ビジネスデベロップメントマネージャーとして、セキュリティやクラウド関連のスタートアップと新規ビジネス開発を担当。 2018年より現職。CCIEとCISSPを保有。

この著者の記事一覧はこちら