ランサムDDoS攻撃とは?

分散型サービス拒否(DDoS)ランサム攻撃では、悪意のある第三者が標的とするWebプロパティやネットワークをダウンさせると脅迫し、金銭を搾取しようとします。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ランサムDDoS(RDDoS)攻撃を定義する
  • DDoS攻撃を止めるために身代金を支払うことが正しい手段ではない理由を理解する
  • 一般的なDDoS身代金要求メッセージの内容を説明する

記事のリンクをコピーする

ランサムDDoS攻撃とは?

ランサムDDoS(RDDoS)攻撃は、悪意のある第三者が分散型サービス拒否(DDoS)攻撃で個人または組織を脅迫し、金銭を要求する行為のことです。悪意のある第三者はDDoS攻撃を実行してから、攻撃の中止と引き換えに金銭を要求するメッセージを送りつけるか、DDoS攻撃を仕掛けると脅迫するメッセージを最初に送りつけます。攻撃前にメッセージを送信してくる場合には、サイバー攻撃者が実際に攻撃を実行する能力がない可能性がありますが、口先だけだと推測するのは賢明ではありません。

DDoSランサム攻撃からシステムを保護するのに最も効果的な方法は、強力なDDoS軽減サービスの導入です。脅迫してきた人物やグループに身代金を支払うことは決して良い考えではありません。

DDoS攻撃とは?

A DDoS attack is an attempt to exhaust the resources of an application, website, or network so legitimate users cannot receive service. DDoS attacks send a flood of junk network traffic to their targets, much like a traffic jam clogging up a freeway. DDoS attacks are "distributed," meaning they send traffic from a variety of sources (often spoofed sources), making them more difficult to block than a denial-of-service (DoS) attack from a single source.

また、攻撃にはさまざまなネットワークプロトコルが利用されています。DDoS攻撃の種類についてはこちらをお読みください

DDoS攻撃は、組織運営に大きく影響する可能性があります。多くの企業にとって、ダウンタイムは大きな損失につながります。企業が長時間にわたってオフラインになっていると、信頼性を失うことにもなりかねません。

ランサムDDoS攻撃の仕組みとは?

Most DDoS ransom attacks start with a ransom note sent to the target in which the attacker threatens the business or organization. In some cases, an attacker may carry out a small demonstration attack to illustrate their seriousness before sending a ransom note. If the threat is genuine and the attacker decides to follow through with it, the attack is carried out as follows:

1. 攻撃者は標的に向けて攻撃トラフィックの送信を開始します。トラフィックの送信には、独自のボットネットや攻撃実行のために採用したDDoSサービスが使われることが多いです。複数の人たちが協力して、DDoSツールで攻撃トラフィックを生成するケースもあります。攻撃トラフィックの標的になりがちなのは、OSI参照モデルのレイヤー3、4、7です。

2. 標的となったアプリケーションやサービスには、攻撃トラフィック殺到し、速度が遅くなるか、完全にクラッシュします。

3. 攻撃者のリソースが枯渇するまで、または他の何らかの理由で攻撃が停止するまで、もしくは標的になった組織が攻撃を軽減するまで攻撃は続きます。軽減方法には、レート制限、IPブロック、ブラックホールルーティング DDoS保護サービスなどがありますが、最初の3つは高度な分散型攻撃に対して実装するのが困難です。

4. 攻撃者は重ねて支払いを要求するか、攻撃を続行するか、またはその両方をすることもあります。

DDoS攻撃が実際にどう行われるのか、その詳細をご覧ください。

一般的なDDoS身代金要求メッセージには何が書かれているか?

DDoS身代金要求メッセージは、悪意のある第三者から企業に支払いを求めるもので、支払わない場合にはDDoS攻撃を実行すると記載されています。多くの場合、メールで送信されます。攻撃者が複数のメッセージを送信し、各メッセージが脅威や要求の詳細を徐々に明らかにしていく場合もあります。

脅迫

DDoS身代金要求メッセージに盛り込まれている脅迫には、手口がいくつかあります。

  • 悪意のある第三者は、以前のDDoS攻撃も自分が仕掛けたと主張し、もう一度やると脅迫する
  • DDoS攻撃を現在進行形で受けている被害者に、その攻撃は自分が仕掛けたものだと主張する
  • 特定の時間を指定して、または指定しないで、DDoS攻撃を仕掛けると脅す

脅しに使われる攻撃の詳細

脅威がより危険なものだと受け止められるように、攻撃者は特定の規模と期間にDDoS攻撃を実行する能力があると主張することがあります。ただ、こうした主張が真実だとは限りません。3 Tbps攻撃を24時間続けることができると主張していたとしても、必ずしもそのためのリソースを備えているとは限らないのです。

集団への所属

To add credibility to their threats, the attacker may claim affiliation with well-known "hacker" groups such as Fancy Bear, Cozy Bear, the Lazarus Group, the Armada Collective, or others. These claims might be true but are difficult to verify. It may be a bluff or a copy-cat attempt on the part of the attacker.

金銭の要求と支払い方法の指示

身代金要求メッセージは、何らかの形での支払いを要求します。Bitcoinでの支払い要求が一般的ですが、他の暗号通貨や、国家公認の通貨(ドル、ユーロなど)を要求することもあります。通常、ある時点で特定の金額の要求があり、その際に支払い方法を指示してきます。

時間制限または期限

Finally, to give their demand urgency and increase the likelihood that the targeted party will comply, the ransom note may include a hard deadline for delivering the ransom before the threatened attack will commence, or in order for the current attack to end. Some attackers will add that the required payment amount increases every hour or day past the given deadline.

身代金を支払った方が良いのか

支払うべきではありません。一度身代金を支払うと、それが犯罪者に渡ることになるという事実に加えて、支払ったとしても、攻撃者がその攻撃活動を止めるという保証はありません。それどころか、身代金を支払った組織は攻撃者にとってかっこうの標的になります。攻撃者の要求を満たす意志を示したことになり、その後も要求に応える可能性が高いと見なされてしまうのです。

さらに、攻撃者に支払われた金額が高いほど、恐喝活動への資金が増えることになり、その後の攻撃に向けて能力を増大させます。

また、脅威に確証がない可能性は常にあり、これまでには、企業が無駄な身代金を払ってしまった例もあります。

DDoS身代金要求を受け取った企業は、適切な法執行機関に報告し、攻撃者が脅威を実行する場合に備えて、潜在的な攻撃に対して自己防衛ができるように措置を講じる必要があります。Cloudflare DDoS保護は、あらゆる規模のDDoS攻撃から企業を守ることができるサービスのひとつです。

ランサムDDoS攻撃の脅迫は本物の場合がほとんどなのでしょうか

All security threats should be taken seriously. However, not all DDoS ransom threats are genuine. It is fairly easy to type and send a short email. It requires far more resources to maintain, manage, and activate a large network of compromised devices (known as a botnet) in order to carry out large DDoS attacks.

そうは言っても、DDoS-for-hire(DDoS攻撃請負業者)がダークウェブには存在し、攻撃を実行するためにこのような業者と契約する可能性もあります。当然、攻撃者がコストを負担することになりますが、これはDDoSランサム脅威から回収するのです。

通常、ランサムDDoS攻撃は宝くじのようなものです。身代金を要求する側は、実際に攻撃を実行する能力を持ち合わせているかいないかにかかわらず、標的が身代金を支払うわずかな可能性を当てにしているのです。

脅迫の信ぴょう性を測ろうとするよりも、Webプロパティやネットワークを何があってもオンラインにしておけるDDoS保護サービスを使うのが、何よりも安全な方法でしょう。

RDDoS攻撃から企業を守るCloudflare

Cloudflareのお客様は、大規模なDDoS攻撃を軽減するDDoS攻撃保護をご利用いただけます。これは無料プランでご契約のお客様も同様です。さらに、Cloudflare Magic TransitがEnterpriseプランのお客様のネットワークインフラストラクチャをレイヤー3 DDoS攻撃から保護します。Cloudflareネットワークは、これまで記録されている最大のDDoS攻撃よりもはるかに大きい67 Tbpsの容量を備えています。セキュリティの脅威はどんなものでも記録や監視しておく必要がありますが、Cloudflareが提供する高水準の保護サービスがあれば、DDoS身代金要求メッセージやDDoS関連の脅威を心配する必要はありません。

貴社が身代金要求メッセージを受け取った場合、ぜひこちらからCloudflareにお問い合わせください

ランサムDDoS攻撃とランサムウェアの違いは?

ランサムウェア攻撃は、別の形式のオンラインの恐喝です。ランサムウェアは、悪意のあるソフトウェアで、企業のシステムとデータベースを暗号化し、利用できない状態にします。暗号化が完了すると、攻撃者は企業のシステムを復号するのと引き換えに金銭を要求します。ランサムウェアは、企業の社内システムまたはネットワーク内に何らかの形で入り込みます。悪意のあるメールの添付ファイルにフィッシング攻撃を組み合わせるのは、よくある脅威ベクトルです。

ランサムウェア攻撃とは違い、DDoSランサム攻撃は企業のシステムを暗号化せず、単にシステムをオフラインにすることを狙います。また、攻撃を実行する前に攻撃者が企業の社内システムにアクセスする必要もありません。しかし、強力なDDoS保護が機能していれば、DDoSランサム攻撃は企業の機能性にほとんど影響を及ぼしません。