ランサム DDoS（RDDoS）攻撃

ランサム DDoS（RDDoS）攻撃の概要

DDoS恐喝攻撃、別名ランサム分散型サービス拒否（RDoS）攻撃は、ハッカーが身代金が支払われない場合にDDoS攻撃を実行すると脅すことで行われます。ハッカーは通常、追跡を避けるためビットコインでの支払いを要求します。

RDoSの意味は、通常のDDoS攻撃と同様です。偽のリクエストでサーバやネットワークを圧倒し、本来の通信を遮断することが目的です。これにより、企業の評判が落ち、業務に支障が生じ、場合によっては経済的損失が発生することもあります。しかし、要求に応じると、攻撃が止まる保証がなく、将来的にさらに多額の金銭を求められるおそれがあります。

DDoS恐喝／RDDoS攻撃とランサムウェア攻撃を比較する際、重要な違いがある点に留意すべきです。ランサムウェアは企業のファイルを暗号化し、身代金が支払われるまで解読できなくなりますが、分散型サービス拒否攻撃では、ネットワークやアプリの通信が妨げられるだけで、システム自体が乗っ取られることはありません。

RDDoSが脅威となる理由

以下の要因が、サイバー攻撃におけるRDDoSの役割拡大に寄与しています。

• 攻撃はスパイウェアの導入より手軽です。組織のITシステムにマルウェアを仕込むには専門知識が必要で、ソフトの脆弱性を見つけ悪用するには時間がかかります。一方、DDoS攻撃は比較的容易に実行でき、ボットネットを低コストで利用できます。
• 攻撃は標準のオンラインアプリで実施でき、また、ネットワークプロトコルを内蔵したデバイスを活用してDDoS攻撃を強化するケースも増えています。これにはほとんどリソースを必要としません。CoAP、ARMS、WS-DDなどのネットワーク技術を廃止すると、有用性や収益性、利用のしやすさが損なわれる恐れがあります。
• ビットコインの価値が上昇すると、攻撃者にとって恐喝手法が有利になります。価格上昇時には、RDDoS犯罪者が要求方法を変更し、大規模な強要攻撃を展開する傾向があります。

攻撃者はどのようにこの攻撃を仕掛けるか

多くのDDoS攻撃は、脅迫状と共に始まります。脅迫状を送付する前に、攻撃者は実力を示すため小規模な攻撃を行う場合があります。

攻撃者が本気で攻撃を実行した場合、以下のような流れが考えられます:

• 攻撃者またはその集団は、ターゲットに向けて攻撃トラフィックの流れを開始します。自前のボットネットやレンタルDDoSサービスを利用することがあります。ネットワークのレイヤー3や4が攻撃対象となり、レイヤー7は従来型の攻撃の対象となります。
• 攻撃量が増大するため、対象のサービスやアプリが反応しなくなります。
• 攻撃は、攻撃者が時間やエネルギー、資金を使い果たすか、対象が防御に成功するか、または攻撃が停止されるまで続きます。IPブロックやレート制限などの対策は、小規模な攻撃対策には有効ですが、全面的な防御には不十分です。多くの企業は、規模の大きな攻撃にも耐えうるクラウド型DDoS防御サービスに依存しています。
• 攻撃者は、追加攻撃を行うか、再び支払い要求を提示する可能性があります。

RDDoS攻撃の歴史

ランサムウェアDDoS攻撃者は、他のマルウェアと同様、常に手法を磨き改善しています。これにより、脅迫状に記された内容を実行する力や、攻撃自体の収益性が向上しています。

本来の身元を隠すため、RDoS攻撃者はFancy Bear、Armada Collective、Lazarus Groupといった有名なAPTの名を騙すことがあります。2020年には、これらのグループが多段階にわたり様々な業界の企業を標的にした攻撃を行いました。その後、初回の20 BTCの要求に応じなかった企業に対して、再度攻撃が再開されました。攻撃者は、既に入手したデータを再利用することで投資効果の最大化を狙っていました。

2021年には、悪意あるハッカーがISPやクラウドコンピューティングインフラを標的にしました。最も脆弱なシステムのみを狙うなど、入念な下調べがなされていたことは明らかです。これらの集中攻撃により、成功率や身代金支払いの可能性を高めようとする意図が見受けられます。

‍

RDDoS攻撃にどう対応するか

RDDoSの脅迫状は深刻な脅威ですが、同時に対策準備の時間も提供します。RDDoS要求を受けた場合、以下の対策を講じる必要があります。

• 身代金は支払わない

身代金を支払っても、攻撃が停止する保証はありません。また、攻撃者が再び現れ、追加の金銭を要求する可能性があります。

• 情報を共有する

RDDoSの脅迫状は、対応方法がわからない担当者に渡されることがあります。従業員教育を通じ、情報が適切な担当者に届くようにすることが大切です。

• デモ攻撃を確認する

攻撃者は、脅迫期限前に自らの実力を示すためにデモ攻撃を行う場合があります。模擬攻撃の検出は、実際の脅威かどうかの判断や対策の参考となります。

• セキュリティ担当に通知する

脅迫状やデモ攻撃の情報など、入手可能な脅威情報をセキュリティ担当に伝え、対策準備の資料としてください。

‍

RDDoS攻撃を防ぐにはどうすればいいか

RDDoSの脅迫を受けた場合、事前準備と対策が重要です。以下の対策が効果的です。

• 攻撃対象を把握する Attack Surface

RDoS攻撃は、企業ウェブサイトやVPNゲートウェイなど、インターネットに公開された重要システムを狙う傾向があります。潜在的な攻撃対象を把握することが、防御の第一歩です。

• 対策プランを策定する

DDoS攻撃時にその場で対策を講じると、ダウンタイムが延びる可能性があります。事前にDDoS対応プランを策定し、迅速な対応を可能にしてください。

• 包括的なDDoS防御を導入する

組織が効果的にDDoS攻撃を防げれば、RDoSの脅迫はただの虚勢になります。大規模な攻撃を乗り越えた実績のある防御システムの導入は、RDoS対策において欠かせません。

• DDoS緩和のSLAを確認する

DDoS防御サービスは、最低でも六つの基本SLAを提供する必要があります。攻撃前に、供給者のSLAが業務要件を満たしているか確認してください。

RDDoS攻撃とランサムウェアの違い

セキュリティ侵害は、一般的なオンライン恐喝の一形態です。ランサムウェアは、企業のシステムやデータベースを暗号化し、使用不能にする悪意あるソフトです。暗号化が完了すると、攻撃者はシステムの解読のために身代金を要求します。ランサムウェアが企業内部に侵入するには、感染したメール添付やフィッシング攻撃などがよく利用されます。

DDoS恐喝攻撃は、ランサムウェア攻撃とは異なり、システム自体を暗号化することなく、ネットワークをダウンさせることを目指します。また、内部構造への侵入も不要です。十分なDDoS防御があれば、DDoS恐喝攻撃は企業の業務にほとんど影響を及ぼしません。

‍

WallarmによるRDDoS攻撃対策

RDDoS脅威に対抗するには、実績のあるセキュリティ技術が必要です。特に、WallarmのAPIセキュリティソリューションは、API、アプリ、サーバレスワークロードに対して堅牢かつ即時の防御を提供します。セキュリティ専門家が設計し、AI技術により自動的かつ継続的に防御力を向上させ、潜在的な攻撃者に先手を取ります。また、Wallarmはサイバー攻撃の被害に遭った企業への支援も行っています。