組織を標的としたランサムベースのDDoS(RDDoS)攻撃と脅迫は、世界中で増大しています。RDDoSの脅しがあっても必ずしも実際に攻撃されるとは限りませんが、保護が不十分な企業のサーバーを過負荷状態に陥らせかねない大規模なDDoS攻撃が仕掛けられたここ数か月の事例を見れば、攻撃者に攻撃を実行する気があることがわかります。
RDDoS攻撃では、悪意のある攻撃者が、個人または企業に金銭(身代金)を要求し、応じなければそ の個人または企業のネットワーク、Webサイト、またはアプリケーションを一定期間オフライン状態にし得るサイバー攻撃を仕掛けると脅します。
Kaspersky Labの調査によれば、一企業がDDoS攻撃で被る被害額は平均200万ドルにも上ります。さらに、企業の23%が減収や見込み客の喪失を、22%が顧客における自社の評判低下を報告しています。こうした影響を考えれば、DDoS攻撃の脅威を払拭するために身代金を支払うことが現実的な選択肢のように思えるかもしれません。しかし、身代金の支払いは賢明ではありません。攻撃者に金銭を与えることは、彼らが今後さらなる攻撃に出るための資金を与えることに他ならないからです。
CloudflareはDDoS攻撃防止ソリューションのリーダーとして、RDDoSから企業を保護できる立場にあり、攻撃に対する自衛策を講じるようお勧めしています。
DDoSベースの金銭を脅し取ろうとする攻撃は、特定日時までに金銭を要求する脅迫メッセージを被害企業が受け取った時に始まります。被害企業が身代金の支払いを拒否したり支払い期限を守らなかったりすると、攻撃者は被害企業のネットワークやWebプロパティに対するDDoS 攻撃を実施すると脅します。悪意のある加害者が 攻撃を開始しうる能力を有することを証明するために、デモ目的の攻撃を行うこともよくあります。
Cloudflareでは最近、RDDoS 攻撃を報告する顧客企業の急増を目の当たりにしています。昨今のRDDoS攻撃脅迫で犯人を名乗る悪意のある集団は、Cozy Bear、Fancy Bear、Armada Collectiveなどのよく知られた「ハッカー」集団も含まれています。
それらの集団のいくつかは、過去に口先だけで実体のない脅しをしたことがあります。その場合の攻撃者は、脅された企業の何割かはいずれにせよ身代金を支払うと踏んで、手っ取り早く現金を手に入れようとしたのです。とはいえ、近年の攻撃で、脅迫内容が実行され得るし、実際に実行されていることがわかります。もちろん、DDoS軽減策を講じている企業は保護されています。
DDoS攻撃は常に脅威ですが、近年はDDoSの活動が活発化しています。Cloudflareネットワーク全般で見られるレイヤー3とレイヤー4のDDoS攻撃は、前四半期比で倍以上の数に上ります。また、Cloudflareがこれまで軽減した中で最大級のDDoS攻撃(ピーク時2Tbps弱のものなど)もいくつか発生しました。
このトレンドは2022年になっても続いています。DDoS攻撃が増え続けるにつれ、RDDoSによる恐喝の試みも増えて当然です。
新型コロナウィルス感染症の流行により、企業にとってオンライン状態の維持がかつてなく重要になっています。このようにインターネットへの依存度が高まると、企業は攻撃の脅しや恐喝を受けやすくなります。狙われた企業のプロフィールがまちまちであることから、規模や業界を問わず脆弱な企業を攻撃者集団が物色していることは明白です。
最近のランサムDDoS攻撃の背後にいる犯罪者が名乗るのは、Cozy Bear、Fancy Bear、Armada Collectiveなど複数の集団です。彼らが自分の身元について真実を述べている可能性もありますが、それを確かめるのは困難です。DDoSを用いる恐喝犯が、名の通った「ハッカー」集団とのつながりをでっち上げて脅威をより重大なものに見せかけるのは、よくある手口だからです。
これまで長年にわたり「Armada Collective」と名乗る犯罪集団が活動を続けてきました。2015年に、「Armada Collective」と呼ばれる集団が複数のDDoS攻撃を実行しました。彼らは2016年に再び現れ、「1 Tbps以上[sic]」の攻撃が可能だと主張し、DDoS攻撃を仕掛けると脅して複数の被害企業から金銭をせしめました。実際にこの犯人が2015年の攻撃を実行したArmada Collectiveと同一人物・集団であったかどうかは不明です。当社の調査によれば、この集団は2016年に複数の身代金を受け取っていますが、実際にDDoS攻撃を実行した形跡はありませんでした。
2020年、Armada Collectiveは再び活動を活発化しました。ただし、この集団が前と同一のグループなのか、別の集団が同一グループを装っているのかはわかりません。2016年のArmada Collectiveの「攻撃」とは違い、今回の攻撃者ないし攻撃者集団は2015年の事例と同様に、標的企業へのDDoS攻撃を実行しています。
Fancy Bearはロシアを拠点とする集団で、サイバー犯罪とスパイ活動を展開しています。Fancy Bearはこれまで、政府、政治家、ジャーナリストを標的としており、攻撃の手口は主にスピアーフィッシングとマルウェアです。この集団はおそらく、2016年に米国民主党全国委員会のサーバーとネットワークを攻撃したことで最もよく知られています。
Fancy Bearが目標を達成する手段としてDDoS攻撃を使ったという信頼筋からの報告は、一切ありません。ランサムDDoS攻撃者が実際にFancy Bearである可能性は低く、単にFancy Bearを騙っているだけだと思われます。
Cozy Bearはロシアを拠点とするもう一つのサイバースパイ集団で、政治家や政治団体を標的にする傾向があります。この集団は、独自のマルウェアツールセットを開発してスピアーフィッシング攻撃と組み合わせて使い、ネットワークやサーバーの安全を脅かします。Fancy Bearの場合と同様、Cozy Bearが攻撃手法としてDDoSを用いたとする信頼筋の情報はありません。
攻撃者の要求に応じても、犯罪者集団が約束を守る保証はないため、潜在的な攻撃を防ぐことにはなりません。金銭的要求に応じる組織は、非合法な要求を受け入れる姿勢を見せることで、より魅力的な標的と見なされる可能性もあります。