DDoS 脅迫の急速な復活(それは突然やってきた)
DDoS 脅迫はこのまま消えていくのかと思ったその矢先、再び猛スピードで復活を遂げています。先週から急速に加速していることがデータで確認され、ビットコインへの新たな需要、新しい攻撃者の名前、新しい攻撃者の戦術、技術、手順(TTP)といった新たな脅迫の波について、組織から直接報告を受けるようになりました。
もしかすると、DDoS 脅迫攻撃の急速な復活は、Colonial Pipeline の莫大な身代金の支払いに触発されて拍車がかかっているのでしょうか。その可能性はあります。
攻撃者の動機が何であれ、悪性のアクティビティが急増し、新規のお客様からは DDoS 防御目的の緊急インテグレーションへのニーズが高まり、その数は昨年 8 月にキャンペーンが過熱して以来最高に達しました。業界の他のいくつかのサイト(seclists.org、computerworld.dk、Irish ISPs via twitter)も、最近の脅迫要求に注目しています。
次に、最近登場した攻撃者と、それに備えて組織は今何をすべきかを詳しく見ていきましょう。
夏に近づくと、攻撃アクティビティは過熱する
2 つの検証済み脅迫攻撃(いずれも攻撃中に Akamai Prolexic ネットワークにルーティングされたもの)については直接データを取っていますが、Akamai Prolexic DDoS 防御プラットフォームにネットワークの緊急オンボーディングを実施しているお客様や見込み客からは、それ以外に 6 つの攻撃があるようだという報告を受けています。これらの攻撃が Always-on のセキュリティ体制を備えたお客様を標的としている事例はまだ確認しておらず、攻撃者はインラインの防御を行っていない、より脆弱なターゲットを狙っていることがわかります。これまでの脅迫キャンペーンアクティビティと同様に、旅行 & ホテル、小売/e コマース、ハイテク/ソフトウェア、消費者向けパッケージ商品など、さまざまな業界の組織を標的とした最新の攻撃者が確認されています。特に、COVID-19(新型コロナウイルス感染症)の規制緩和によって、夏の旅行で大きな累積需要が期待される一部の業界に付け入ろうとする攻撃者もいます。
当社の可視化された攻撃データによると、最初の威嚇攻撃は 150 Gbps を超え、1 時間続きましたが、別のお客様に対する 2 回目の攻撃はさらに大きく 250 Gbps 以上で、1 時間以上続きました。これらの攻撃の規模は、数百ギガビット/秒を超える帯域幅が複数の宛先 IP に拡散されているという点で、これまでの脅迫アクティビティと一致しています。最初の攻撃では 11 の宛先(それぞれ約 10 Gbps)が標的となり、2 番目の攻撃では 7 つの宛先が標的となりました。
大まかな背景を見てみましょう
今回のキャンペーンは、DDoS 脅迫の拡大傾向のどこに位置するのでしょうか。 当社は 2020 年 8 月以降、いくつかの異なる脅迫キャンペーンの波を、攻撃者の TTP の盛衰、重複、共存について時系列で追跡してきました。攻撃者は悪名高い APT の名前を組み合わせて、脅迫キャンペーンを復活させて楽しんでいるとさえ言えます。こうした最新の攻撃は、標的の拡散という点で v2 攻撃で文書化され緩和された攻撃と最も密接に連動し、図の v1 の DDoS 攻撃ベクトルの特性の上に重なっています。
| 脅迫スタイル | v1 | v2 | v3 | なし |
| 戦術 | ポーカー・テル・ベクトル(ARMS/WSD)。ほとんどの場合、単一の宛先 IP が標的。 | 攻撃はさまざまな宛先 IP(5~12)に拡散。 | 非常に大規模 2 つの連続した攻撃。新しい DCCP ベクトル。単一の顧客でさまざまな宛先 IP。 | DDoS アクティビティの明確な兆候がない。 |
| 平均 Gbps | 99 Gbps | 144 Gbps | 733 Gbps | 6.8 Gbps |
| 平均持続時間* | 44 分 | 53 分 | 77 分 | 9 分 |
| 攻撃を受けた業界 | ビジネスサービス、金融サービス、ホテル・旅行、小売 & 消費財 | すべての業界 | メディアおよびエンターテイメント | すべての業界 |
*あらゆる種類の DDoS 脅迫攻撃は、それ以外の攻撃よりも大幅に平均継続時間が長く、平均攻撃量が大きくなっています。
2021 年 5 月の脅迫アクティビティについて
この最新の脅迫攻撃の例で興味深いのは、攻撃ベクトルのポーカーテルに関して、v2 と v3 の特性(やや目立った DDoS ベクトルと、v2 アクティビティ中に幅広い IP 領域が標的となっていること)を共有している点です。 どちらの攻撃も Apple Remote Management Service(ARMS)ベクトルの特徴を持っていますが、2 番目の攻撃では WS-Discovery(WSD)と呼ばれる UDP 増幅テクニックも利用されました。これは、2019 年秋に Akamai SIRT が最初に発見し報告したもので、これまでの DDoS 脅迫アクティビティにも関連しています。それが急に再浮上したのは、標的となった顧客が脅迫を受けた可能性が極めて高いことを示しています。
さらに特筆すべき点は、確認された攻撃はそれほど高度なものではないということです。悪性トラフィックの 99% は 2 つのパケット長から成り、簡単にブロックできるベクトルで構成されていました。これは、障壁が非常に低く、「エントリーレベル」の DDoS 攻撃を開始するもので、帯域幅の点では大きな影響がありながらも、他のより高度な脅威攻撃に伴う複雑さはないと思います。
最近、ダークウェブツールキットから DDoS 攻撃を開始するコストが 10 ドルから 5 ドルに下がったと言われています(攻撃ツールはインフレの影響を受けていないようです)。アクセスの増加に関係なく、最新の脅迫攻撃は、最も頻繁にブロックされる DDoS ベクトルの一部で構成されており、新規顧客が当社のプラットフォームにルーティングされた時点で、大部分は 0 秒 SLA で着実に緩和されています。
攻撃元の場所に関しては、最初の攻撃からのトラフィックは主にロシアとアジアで発信されましたが、最新のラウンドでは欧州、オーストラリア、南北アメリカの発信元も検知されました。DDoS 攻撃の発信元 IP は簡単に偽装できますが、特にロシアから集中してトラフィックが発信されているのが確認されました。
Akamai の DDoS ガイダンスとランブックのリマインダー
2020 年夏後半のケースと同様、当社は常にデータで見られるよりも多くの攻撃について報告を受けており、攻撃を受けたお客様は緊急インテグレーションを求めています(お客様がオンボーディングされるまでトラフィックは把握できません)。攻撃者は適切な防御策を導入していない組織に標的を変える傾向があるため、サブネットと IP 領域が Prolexic にルーティングされて保護されると、攻撃の試みやそれに続く攻撃も減少します。
キャンペーンは継続しており、攻撃の主なきっかけとなる脅迫が収まる兆候がないため、組織ではすべての重要な資産(顧客と社内の両方)に対する DDoS 防御を検討することをお勧めします。また、COVID-19(新型コロナウイルス感染症)によりランブックや攻撃の机上演習を更新していない場合は、DDoS イベントを経験した後ではなく、今すぐインシデント対応計画やプロセスを最新の状態にすることが重要です。
現在攻撃を受けている、あるいは脅迫の脅威にさらされているという場合は、Akamai DDoS ホットライン(+1-8774252624)に連絡して、今すぐサポートをお受けください。また、脅迫メールを受け取った場合は、地域の法的機関に連絡してください。法的機関で対処する件数が増えれば増えるほど、犯罪行為を阻止できる可能性が高くなります。
技術的な詳細情報やその他のリソースについては、以下のブログ投稿をご覧ください。
