DDoS攻撃で企業を脅迫する

ランサムベースのDDoS攻撃に見られる最近の増加傾向

組織を標的としたランサムベースのDDoS(RDDoS)攻撃と脅迫は、世界中で増大しています。RDDoSの脅威は必ずしも実際の攻撃につながるとは限りませんが、ここ数か月で見られる事例では、攻撃者が、十分な保護が構築されていない企業のサーバーを過負荷状態に陥らせる、大規模なDDoS攻撃を仕掛ける攻撃を実行しようとしていたことが分かりました。

RDDoS攻撃では、個人または企業が金銭的な要求に応じないと、悪意のある攻撃者が一定期間、ネットワーク、Webサイト、またはアプリケーションを攻撃し、オフラインにする可能性のあるサイバー攻撃を仕掛けることで、個人や企業を脅します。

Kaspersky Labの調査によれば、一企業のDDoS 攻撃による平均コストは200万ドルにも及びます。さらに、企業の23%は減収や見込み客が離れたと訴え、22%の企業は、顧客からの自社に対する評判が低下したと報告しています。このような状況に直面した場合、DDoS 攻撃の脅威を払拭するために金銭的な要求に応じることが現実的な選択肢のように思えるかもしれません。しかし、金銭的要求に応じることがこの状況を打開することはないのです。攻撃者に金銭を与えるということは、攻撃者が将来的にさらなる攻撃に出る追加資金を与えることにほかなりません。

DDoS攻撃防止ソリューションのリーダーとして、CloudflareはRDDoSから組織を保護するために良好なポジションを確保し、組織自身が攻撃から会社を守るための行動を取るよう勧めています。

現在の脅威

DDoSベースの金銭を脅し取ろうとする攻撃は、被害企業が特定の日付と時刻に金銭を要求する脅迫メッセージを受け取った時点から始まります。被害企業が身代金の支払いや支払い期限までの支払いを拒否したりすると、攻撃者は被害企業のネットワークやWebプロパティにDDoS 攻撃を実施すると脅します。多くの事例で、悪意のある加害者が攻撃を開始しうる能力を持つことを証明するために、デモ目的の攻撃を行うこともあります。

Cloudflareでは最近、RDDoS 攻撃を報告する顧客企業の急増を目の当たりにしています。RDDoS攻撃の現在の脅威を悪用しようとしている悪意のある集団には、Cozy Bear、Fancy Bear、Armada Collectiveなど、よく知られた「ハッカー」集団も含まれます。

過去には、一部のこうした集団による中身のない脅威も見つかっています。こうした例では、攻撃者が脅した企業の何割かはその内容に関係なく金銭的要求に応じると踏んで、わずかな現金を簡単に引き出そうと試みられたものでした。近年の攻撃にも、こうしたタイプの脅威が含まれ、実際に実行されていることが分かっています。ただし、DDoS 軽減措置を適切に施した組織は保護されています。

これらの攻撃と2020年のDDoS攻撃のトレンドとの関係

DDoS 攻撃は常に脅威の1つとして存在してきましたが、2020年にはDDoSの活動が増大しました。2020年の第2四半期には、Cloudflareネットワーク全体で、レイヤー3とレイヤー4のDDoS 攻撃の回数が、第1四半期に比べ倍増しました。さらに、2020年第2四半期には、Cloudflareで取り扱った過去最大規模のDDoS 攻撃が複数確認されました。その中には、ピーク時点で1秒あたり7億5400万パケットを送信する攻撃も含まれていました。

この傾向は昨年の下半期にも見られました。DDoS攻撃が増え続けるにつれて、RDDoSによる金銭的要求の試みが増えるのは、ごく当たり前のことです。

新型コロナ感染症のパンデミックに伴う隔離命令の発出により、組織はかつてないほどオンライン活動への依存を高めています。こうしたインターネットへの依存度が高まるにつれて、組織はこうした攻撃の脅威やゆすり行為に影響を受けやすくなりました。対象となる組織のプロファイルが大きく異なることから、これらの攻撃者集団が、規模や業界に関係なく、脆弱な組織を物色していることは明白です。

こうしたランサムDDoS攻撃の背後にいる(と言われている)のは?

最近のランサムDDoS 攻撃の背後で糸を引くのは、Cozy Bear、Fancy Bear、Armada Collectiveなどを名乗る、複数の集団です。彼らが真実を述べている可能性も否めませんが、それが真実であるかどうかを確かめるのは困難です。DDoSを用いる攻撃者が、名の通った「ハッカー」集団と名乗り、脅威をより重大なものに見せかけるのは、ごく一般的な手法だからです。

Armada Collective

何年にもわたり「Armada Collective」と名乗る犯罪集団が活動を続けてきました。2015年には、「Armada Collective」を名乗る集団が、複数のDDoS攻撃を仕掛けました。2016年、こうした集団が再び現れ、「1秒あたり1 テラバイト以上[sic]」の攻撃が可能だとしたうえで、DDoS 攻撃で複数の被害企業から金銭を脅し取ろうとしました。」実際にこの集団が2015年の攻撃を実行したArmada Collectiveと同一集団であったかどうかは不明です。当社の調査によれば、この集団は複数の企業から身代金を集めたものの、2016年の時点で実際にDDoS 攻撃を実行した形跡はありませんでした。

2020年、Armada Collectiveは再び登場しました。ただし、この集団が同一グループであるか、まったく別の集団が同一名を名乗っているのかは分かりません。しかしながら、2016年のArmada Collectiveの「攻撃」と比べると、この攻撃者、または攻撃者集団は、2015年の事例と同様に標的となる企業にDDoS攻撃を仕掛けました。

Fancy Bear

Fancy Bearはロシアを拠点とする集団で、サイバー犯罪とスパイ活動を展開しています。Fancy Bearは過去に、主にスピアーフィッシング攻撃やマルウェアを悪用することで、政府、政治家、ジャーナリストなどを標的にしてきました。この集団はおそらく、2016年に、民主党全国委員会のサーバーとネットワークを攻撃したことで世間に名を知られることとなりました。

Fancy BearがDDoS 攻撃を用いて、自身の目標を達成したという信頼に足る報告はありません。ランサムのDDoS攻撃者がFancy Bearになりすますことはほとんどなく、こうした攻撃者がFancy Bearを語ることはほとんどありません。

Cozy Bear

Cozy Bearはロシアを拠点とするもうひとつのサイバースパイ集団で、政治家や政治団体を標的にする傾向があります。この集団は、スピアーフィッシング攻撃と組み合わせて使用する、ネットワークやサーバーに損害を与える独自のマルウェアツールセットを開発しました。Fancy Bearの事例と同様、Cozy Bearが攻撃方法としてDDoSを使用したとする信頼筋の情報はありません。

貴社でDDoS 攻撃をほのめかす金銭要求を受け取った場合に、どういった行動を取るべきでしょうか?

ステップ1: 金銭的な要求に応じない

攻撃者の要求に応じても、犯罪者集団が約束を守る保証はないため、潜在的な攻撃を防ぐことにはなりません。金銭的要求に応じる組織は、非合法な要求を受け入れる姿勢を見せることで、より魅力的な標的と見なされる可能性もあります。

ステップ2: 適切な法的機関に通知する

脅迫は犯罪です。万一、何者かがDDoS 攻撃の脅威を悪用して貴社に金銭的な要求を突き付けてきた場合、当局に届け出てください。

ステップ3: DDoS攻撃対策をデプロイする

DDoSランサムの脅威は恐ろしく感じられますが、ほとんどのDDoS攻撃対策ベンダーはこうした脅威的な攻撃に対し、十分な保護対策を提供しています。過去、公的に行われた最大のDDoS 攻撃は2017年に発生した事例で、1秒あたり2.54テラビット(Tbps)を送信するものでしたが抑えられました。

Cloudflareの支援で常にオンラインを維持

ランサムDDoS 攻撃は増大していますが、DDoS攻撃対策が貴社の安全を守る支援をします。貴社が攻撃を受けている場合は、Cloudflareにお問い合わせください。攻撃下にある企業は契約プロセスなしで、数時間以内にご利用を開始できます。

このトピックについてさらに詳しく: DDoS 攻撃を軽減するための5つのベストプラクティスeBookを入手して、DDoS 攻撃から貴社を保護する方法についてさらに詳しくご覧ください。

この記事は、IT企業の意思決定層のための、最新のトレンドとトピックをお届けするシリーズです。