ランサムDDoS攻撃とは？

ランサムDDoS攻撃とは？

ランサムDDoS（RDDoS）攻撃は、悪意のある第三者が分散型サービス拒否（DDoS）攻撃で個人または組織を脅迫し、金銭を要求する行為のことです。悪意のある第三者はDDoS攻撃を実行してから、攻撃の中止と引き換えに金銭を要求するメッセージを送りつけるか、DDoS攻撃を仕掛けると脅迫するメッセージを最初に送りつけます。攻撃前にメッセージを送信してくる場合には、サイバー攻撃者が実際に攻撃を実行する能力がない可能性がありますが、口先だけだと推測するのは賢明ではありません。

DDoSランサム攻撃からシステムを保護するのに最も効果的な方法は、強力なDDoS軽減サービスの導入です。脅迫してきた人物やグループに身代金を支払うことは決して良い考えではありません。

DDoS攻撃とは？

DDoS攻撃は、アプリケーション、Webサイト、ネットワークのリソースを枯渇させ、正当なユーザーがサービスを受けられないようにする行為です。DDoS攻撃は大量の不正なネットワークトラフィックを標的に送信し、渋滞で高速道路が動かなくなるような状態を引き起こすのです。しかも、DDoS攻撃は攻撃が「分散」されていて、さまざまなソース（多くは偽装されたソース）からトラフィックが送られてくるため、単一のソースからのサービス拒否（DoS）攻撃に比べてブロックが困難になっています。

また、攻撃にはさまざまなネットワークプロトコルが利用されています。DDoS攻撃の種類についてはこちらをお読みください。

DDoS攻撃は、組織運営に大きく影響する可能性があります。多くの企業にとって、ダウンタイムは大きな損失につながります。企業が長時間にわたってオフラインになっていると、信頼性を失うことにもなりかねません。

ランサムDDoS攻撃の仕組みとは？

ほとんどのDDoSランサム攻撃が、攻撃者が標的とする企業や組織に身代金要求メッセージを送るところから始まります。場合によっては、身代金要求メッセージを送る前に、攻撃者が本気度を示すために小規模なデモ攻撃を行うこともあります。脅迫が本物であり、攻撃者が攻撃の実行を決定すると、次のように実行されます。

1. 攻撃者は標的に向けて攻撃トラフィックの送信を開始します。トラフィックの送信には、独自のボットネットや攻撃実行のために採用したDDoSサービスが使われることが多いです。複数の人たちが協力して、DDoSツールで攻撃トラフィックを生成するケースもあります。攻撃トラフィックの標的になりがちなのは、OSI参照モデルのレイヤー3、4、7です。

2. 標的となったアプリケーションやサービスには、攻撃トラフィック殺到し、速度が遅くなるか、完全にクラッシュします。

3. 攻撃者のリソースが枯渇するまで、または他の何らかの理由で攻撃が停止するまで、もしくは標的になった組織が攻撃を軽減するまで攻撃は続きます。軽減方法には、レート制限、IPブロック、ブラックホールルーティング 、DDoS保護サービスなどがありますが、最初の3つは高度な分散型攻撃に対して実装するのが困難です。

4. 攻撃者は重ねて支払いを要求するか、攻撃を続行するか、またはその両方をすることもあります。

DDoS攻撃が実際にどう行われるのか、その詳細をご覧ください。

一般的なDDoS身代金要求メッセージには何が書かれているか？

DDoS身代金要求メッセージは、悪意のある第三者から企業に支払いを求めるもので、支払わない場合にはDDoS攻撃を実行すると記載されています。多くの場合、メールで送信されます。攻撃者が複数のメッセージを送信し、各メッセージが脅威や要求の詳細を徐々に明らかにしていく場合もあります。

脅迫

DDoS身代金要求メッセージに盛り込まれている脅迫には、手口がいくつかあります。

• 悪意のある第三者は、以前のDDoS攻撃も自分が仕掛けたと主張し、もう一度やると脅迫する
• DDoS攻撃を現在進行形で受けている被害者に、その攻撃は自分が仕掛けたものだと主張する
• 特定の時間を指定して、または指定しないで、DDoS攻撃を仕掛けると脅す

脅しに使われる攻撃の詳細

脅威がより危険なものだと受け止められるように、攻撃者は特定の規模と期間にDDoS攻撃を実行する能力があると主張することがあります。ただ、こうした主張が真実だとは限りません。3 Tbps攻撃を24時間続けることができると主張していたとしても、必ずしもそのためのリソースを備えているとは限らないのです。

集団への所属

攻撃者は脅威に信ぴょう性を持たせるために、よく知られている「ハッカー」集団（Fancy Bear、Lazarus Group、Armada Collectiveなど）と関連するグループだと主張することがあります。こうした主張は事実かもしれませんが、実証することは困難です。これは、攻撃者側のはったりや模倣犯の試みである可能性があります。

金銭の要求と支払い方法の指示

身代金要求メッセージは、何らかの形での支払いを要求します。Bitcoinでの支払い要求が一般的ですが、他の暗号通貨や、国家公認の通貨（ドル、ユーロなど）を要求することもあります。通常、ある時点で特定の金額の要求があり、その際に支払い方法を指示してきます。

時間制限または期限

要求に緊迫感を持たせて、攻撃対象が要求に従う可能性を高めるために、攻撃予告時間の前までに、または現在実行されている攻撃を止めるために支払いを要求する、具体的な支払い期限が示されていることもあります。攻撃者の中には、期限を過ぎると1時間または1日ごとに要求する支払い額を増加するという内容を加える者もいます。

身代金を支払った方が良いのか

支払うべきではありません。一度身代金を支払うと、それが犯罪者に渡ることになるという事実に加えて、支払ったとしても、攻撃者がその攻撃活動を止めるという保証はありません。それどころか、身代金を支払った組織は攻撃者にとってかっこうの標的になります。攻撃者の要求を満たす意志を示したことになり、その後も要求に応える可能性が高いと見なされてしまうのです。

さらに、攻撃者に支払われた金額が高いほど、恐喝活動への資金が増えることになり、その後の攻撃に向けて能力を増大させます。

また、脅威に確証がない可能性は常にあり、これまでには、企業が無駄な身代金を払ってしまった例もあります。

DDoS身代金要求を受け取った企業は、適切な法執行機関に報告し、攻撃者が脅威を実行する場合に備えて、潜在的な攻撃に対して自己防衛ができるように措置を講じる必要があります。Cloudflare DDoS保護は、あらゆる規模のDDoS攻撃から企業を守ることができるサービスのひとつです。

ランサムDDoS攻撃の脅迫は本物の場合がほとんどなのでしょうか

セキュリティに対する脅迫はどんなものでも真剣に受け止めるべきです。ただし、すべてのDDoSランサム脅迫が本物だとは限りません。短いメールを入力して送信するのは極めて簡単ですが、大規模なDDoS攻撃を実行するには、セキュリティ侵害されたデバイスの大規模なネットワーク（ボットネットとも呼ばれる）を保守、管理、作動させるために、かなりのリソースが必要となるからです。

そうは言っても、DDoS-for-hire（DDoS攻撃請負業者）がダークウェブには存在し、攻撃を実行するためにこのような業者と契約する可能性もあります。当然、攻撃者がコストを負担することになりますが、これはDDoSランサム脅威から回収するのです。

通常、ランサムDDoS攻撃は宝くじのようなものです。身代金を要求する側は、実際に攻撃を実行する能力を持ち合わせているかいないかにかかわらず、標的が身代金を支払うわずかな可能性を当てにしているのです。

脅迫の信ぴょう性を測ろうとするよりも、Webプロパティやネットワークを何があってもオンラインにしておけるDDoS保護サービスを使うのが、何よりも安全な方法でしょう。

RDDoS攻撃から企業を守るCloudflare

Cloudflareのお客様は、大規模なDDoS攻撃を軽減するDDoS攻撃保護をご利用いただけます。これは無料プランでご契約のお客様も同様です。さらに、Cloudflare Magic TransitがEnterpriseプランのお客様のネットワークインフラストラクチャをレイヤー3 DDoS攻撃から保護します。Cloudflareネットワークは、これまで記録されている最大のDDoS攻撃よりもはるかに大きい228 Tbpsの容量を備えています。セキュリティの脅威はどんなものでも記録や監視しておく必要がありますが、Cloudflareが提供する高水準の保護サービスがあれば、DDoS身代金要求メッセージやDDoS関連の脅威を心配する必要はありません。

貴社が身代金要求メッセージを受け取った場合、ぜひこちらからCloudflareにお問い合わせください。

ランサムDDoS攻撃とランサムウェアの違いは？

ランサムウェア攻撃は、別の形式のオンラインの恐喝です。ランサムウェアは、悪意のあるソフトウェアで、企業のシステムとデータベースを暗号化し、利用できない状態にします。暗号化が完了すると、攻撃者は企業のシステムを復号するのと引き換えに金銭を要求します。ランサムウェアは、企業の社内システムまたはネットワーク内に何らかの形で入り込みます。悪意のあるメールの添付ファイルにフィッシング攻撃を組み合わせるのは、よくある脅威ベクトルです。

ランサムウェア攻撃とは違い、DDoSランサム攻撃は企業のシステムを暗号化せず、単にシステムをオフラインにすることを狙います。また、攻撃を実行する前に攻撃者が企業の社内システムにアクセスする必要もありません。しかし、強力なDDoS保護が機能していれば、DDoSランサム攻撃は企業の機能性にほとんど影響を及ぼしません。