JPCERT/CC、DDoS攻撃を示唆して仮想通貨による送金を要求する脅迫行為(DDoS脅迫)について注意喚起
- 2020/09/10 10:00
- SecurityInsight
JPCERT/CCは9月7日、8月以降、DDoS攻撃を示唆して仮想通貨による送金を要求する脅迫行為に関する情報を複数確認しているとして注意喚起を行なった。
こうした脅迫行為は「DDoS脅迫」「ransom DDoS」などとも呼ばれ、攻撃者が標的の組織宛にメールを送り、指定する期間内に仮想通貨を支払わなければDDoS攻撃を実行すると脅迫する。過去には類似する攻撃として、2015年にDD4BCグループによる攻撃、2017年にはArmada CollectiveやPhantom Squadを名乗る攻撃者からの攻撃、2019年にはFancy Bear Groupを名乗る攻撃者からの攻撃等が確認されている。
JPCERT/CCでは国内の組織を標的とした攻撃に関する情報も確認しており、国内の組織においても引き続き警戒が必要な状況だとしている。8月以降に確認されている攻撃について、公開情報等から攻撃の流れ、手法や特徴を以下のように整理している。
■攻撃の流れ
1.攻撃者が標的の組織を選定する
・公開情報では、主に金融業、旅行業、小売業などを標的とした攻撃が確認されている
・証券取引所やオンライン決済サービス事業者などの可用性確保が重要なシステムが標的となるケースが多い
・標的の組織のwebサイトだけでなく、外部から接続可能なサーバーやインフラも攻撃対象とされる
2.攻撃者が標的の組織にメールを送付する
・メールの差出人として、差出人名や本文中で、Fancy BearやLazarus等と名乗るケースが確認されている
・メールの送信先として、標的の組織のWebサイト上などから確認可能なメールアドレスにメールが送られているとみられる
・メールの内容は、指定する期間内にBTCアドレスに送金しなければ、DDoS攻撃を実施すると脅迫するもの
-要求する仮想通貨の額は、標的によって異なるものの、5BTCから20BTCほど
-指定する期間は6日間ほどで、期間内に支払わない場合、支払うBTCの額が増加するとして早期の支払いが促される
-メールの内容を外部に公表すると、直ちに攻撃を開始すると脅迫する場合もある
3.攻撃者が標的の組織のシステムにDDoS攻撃を行なう
・メールを送付した後、攻撃能力を示すために一定時間 DDoS 攻撃が行われる
-支払い期限を過ぎても DDoS 攻撃が行われない場合も確認されている
・攻撃の規模や期間として、次のような情報が確認されている
-Akamai Technologiesは、50Gbpsから200Gbps規模の攻撃を確認している
-Link11は、数時間継続する数百Gbps規模の攻撃を確認している
・攻撃の種類として、次のような情報が確認されている
-SYN Flood、SNMP Flood、DNS Flood、ICMP Flood、GRE Protocol Flood、WSDiscovery Flood、ARMS Reflectionなど
-JPCERT/CCは、TSUBAME(インターネット定点観測システム)で本攻撃の一部とみられるパケットを観測している
4.攻撃者が仮想通貨を受け取る
・攻撃者は、指定した BTCアドレスに仮想通貨の支払いがあるかを確認しているとみられる
-仮想通貨の支払いを確認するまで、執拗に攻撃を継続する可能性がある
-仮想通貨を支払ったとして攻撃が必ず収束する保証はなく、支払いは推奨されない
■推奨対策および対応
・DDoS攻撃の影響を受ける可能性のあるシステムの特定およびリスクの評価
・DDoS攻撃を検知および防御するための対策状況の確認
・DDoS攻撃を検知および認識した場合の対応手順や方針の確認
・DDoS攻撃で事業影響が発生した場合の組織内外への連絡体制や連絡方法の確認