Killnet はヘルスケアを標的に — 知っておくべきこと、その対策
戦闘が激化するウクライナでは、先日も複数回のミサイル攻撃とドローン攻撃を受けました。この軍事行動は、西側諸国がロシア軍への反撃として戦車供与を表明した直後に発生しています。しかし、サイバー犯罪に対する戦いは、より身近なものになっており、特に米国のヘルスケア組織や病院がその標的となっています。
親ロシアのプロハッカー集団「Killnet」は、ここ数日、分散型サービス妨害(DDoS)攻撃を米国の複数の大病院や医療センターに仕掛けています。 多くの専門家は、 同様の攻撃がウクライナを支援する他の国々にも拡大すると予想しています。
Killnet の概要
Killnet は新たなハッカー集団ではありませんが、その標的は、政府機関や民間企業から、ヘルスケア組織へと変化しています。Killnet は、先日、 欧州議会(EP)Web サイト を DDoS 攻撃でダウンさせた親ロシアのプロハッカー集団と同じ組織です。この攻撃は、EP のリーダーが「ロシアをテロ支援国と断定した」ことを受けた報復だと、議長の Roberta Metsola 氏は語っています。リトアニア、チェコ共和国、ルーマニアの政府 Web サイトもすべて攻撃を受けています。
米国では、攻撃の範囲がさらに広がっています。昨年は、少なくとも 3 つの州政府の Web サイトが Killnet の標的になっています。米国の空港 Web サイトも 2022 年 10 月に Killnet の攻撃を受け、防衛関連の業務委託先である Lockheed Martin 社から従業員データを盗み出した 2022 年 8 月のサイバー攻撃も Killnet が犯行声明を出しています。
こうした組織はすべて重要なインフラですが、ヘルスケアシステムが攻撃を受けると、一度に数百万人の患者に影響する可能性があるため、さらに深刻です。
テクニックは平凡、標的は非凡
Killnet は、2 段階で攻撃を行います。まず HTTP フラッド攻撃で Web サイトを攻略し、次に DNS 増幅攻撃でサイト自体を混乱させます。こうしたテクニックは珍しくありませんが、Killnet の最近の標的はヘルスケア組織です。
昨年末、バイデン政権はヘルスケアを重要分野と位置付けて、 サイバーセキュリティガイダンスと要件を強化していますが、親ロシアのプロハッカー集団が脆弱性につけこもうとしている状況では当然の対応と言えます。こうした脆弱性を弱点とみなしたり、決めつけるのは、また別の話です。
私たちは何を知り、どのように支援できるか
Killnet の攻撃者は標的を綿密に調査しており、最近の攻撃を見ても、ヘルスケアが引き続き主な標的となる可能性が高いといえます。急速にデジタル化が進むヘルスケア業界では、セキュリティ体制、インフラ、緩和に関する検討も進んでいます。
Akamai は、こうした検討を得意としており、データを検証して攻撃者の偵察テクニックを評価することで、将来に備えた対策を進めています。ヘルスケア業界では、こうした取り組みが特に重要です。なぜなら、ヘルスケア業界は、2022 年に Akamai プラットフォームでもっとも多くの DDoS 攻撃 を受けているからです(デジタルコマースなど、その性質上標的になりやすい既存の業界を除く)。
私たちの見解では、Killnet などのハッカー集団は、現時点で保護されている組織とそうでない組織を十分に認識しているようです。DDoS 攻撃は、保護対策が万全ではない組織に集中する傾向があります。慎重かつ緻密な偵察を経て、攻撃者は次の攻撃目標を選定します。
受け入れたリスクに対処するために何が必要なのか評価するための時間とリソースを確保するのは確かに困難です。しかし、平和な時期に構築した対応計画が無いままサイバー戦争に巻き込まれるのは最悪と言えるでしょう」
Roger Barranco、Akamai Security Operations 担当 Vice President
シンプルな HTTP リクエストや BGP ピアリングルックアップは、攻撃者のマシンから標的となる Web サーバーへのリクエストパスを検証できます。あるいは、ターゲットインフラが BGP/ルーティングベースの DDoS 防御で保護されているかどうか確認できます。
次のステップ
将来は誰にも予測できません。しかし、近年の新型コロナウイルス、 利益率の低下、働き手の不足、その他無数の課題に翻弄された結果、ヘルスケア業界における対応準備に関する議論は、臨床成果や財務成果にシフトすると考えられます。
変化が求められています。現在、患者の保護は、マスクの着用やワクチン接種にとどまりません。患者の個人データを保護し、 システムを包括的に防御するためには、 ヘルスケアを 24 時間体制で提供する継続的なアップタイムが必要です。脅威への対応評価は、こうした検討で欠かせない部分であり、Akamai が得意とする分野です。
エンタープライズが防御体制の比較的弱いレイヤーにおけるリスクを受け入れる場合、少なくとも、プロビジョニングに要する時間、プロビジョニング期間の影響、既存のギア設定要件、コストなど、緊急時のオンボーディング作業のために何が技術的に必要なのか評価する必要があります」
Roger Barranco、Akamai Security Operations 担当 Vice President
詳細はこちら
進化して拡大する DDoS 攻撃の脅威の 詳細を確認するためには?30 分間の セキュリティ・アーキテクチャ・レビュー では、Akamai エキスパートがお客様のリスクの有無を把握するサポートをいたします。
