SecurityInsight | セキュリティインサイト

JPCERT/CC、DDoS攻撃を示唆して仮想通貨による送金を要求する脅迫行為(DDoS脅迫)について注意喚起

JPCERTコーディネーションセンター(JPCERT/CC)は10月15日、今年8月以降、DDoS攻撃を示唆して仮想通貨による送金を要求する脅迫行為に関する情報を複数確認しているとして、注意喚起を行なった。JPCERT/CCでは国内の組織を標的とした攻撃に関する情報も確認しており、国内の組織においても引き続き警戒が必要な状況だとしている。

今年8月以降に確認されている攻撃について、JPCERT/CCでは公開情報等から攻撃の流れ、手法や特徴を以下のように整理している。

■攻撃の流れ
1.攻撃者が標的の組織を選定する
・公開情報では、主に金融業、旅行業、小売業などを標的とした攻撃が確認されている
・証券取引所やオンライン決済サービス事業者などの可用性確保が重要なシステムが標的となるケースが多い
・標的の組織のwebサイトだけでなく、外部から接続可能なサーバーやインフラも攻撃対象とされる
・DNSコンテンツサーバーやSSL-VPN装置が稼働するシステムを標的とするようなケースも確認されている

2.攻撃者が標的の組織にメールを送付する
・メールの差出人として、差出人名や本文中で、Fancy BearやLazarus等と名乗るケースが確認されている
・メールの送信先として、標的の組織のWebサイト上などから確認可能なメールアドレスにメールが送られているとみられる
・メールの内容は、指定する期間内にBTCアドレスに送金しなければ、DDoS攻撃を実施すると脅迫するもの
 ―要求する仮想通貨の額は、標的によって異なるものの、5 BTCから20 BTCほど
 ―指定する期間は6日間ほどで、期間内に支払わない場合、支払うBTCの額が増加するとして早期の支払いが促される
 ―攻撃対象として、BGP AS番号やネットワークアドレス(x.x.x.x/24)が指定される場合がある
 ―メールの内容を外部に公表すると、直ちに攻撃を開始すると脅迫する場合もある

3.攻撃者が標的の組織のシステムにDDoS攻撃を行なう
・メールを送付した後、攻撃能力を示すために一定時間DDoS攻撃が行われる
 ―支払い期限を過ぎてもDDoS攻撃が行なわれない場合も確認されている
・攻撃の規模や期間として、次のような情報が確認されている
 ―Akamai Technologiesは、50Gbpsから200Gbps規模の攻撃を確認している
 ―Link11は、数時間継続する数百Gbps規模の攻撃を確認している
 ―国内の多くの事例では、攻撃能力を示すための攻撃として、数十Gbpsから100Gbpsほどの規模の攻撃が約30-60分間確認されている
・攻撃の種類として、次のような情報が確認されている
 ―SYN Flood、SNMP Flood、DNS Flood、ICMP Flood、GRE Protocol Flood、WSDiscovery Flood、ARMS Reflectionなど
 ―JPCERT/CCは、TSUBAME(インターネット定点観測システム)で本攻撃の一部とみられるパケットを観測している

4.攻撃者が仮想通貨を受け取る
・攻撃者は、指定したBTCアドレスに仮想通貨の支払いがあるかを確認しているとみられる
 ―仮想通貨の支払いを確認するまで、執拗に攻撃を継続する可能性がある
 ―仮想通貨を支払ったとして攻撃が必ず収束する保証はなく、支払いは推奨されない

■推奨対策および対応
・DDoS攻撃の影響を受ける可能性のあるシステムの特定およびリスクの評価
・DDoS攻撃を検知および防御するための対策状況の確認
・DDoS攻撃を検知および認識した場合の対応手順や方針の確認
・DDoS攻撃で事業影響が発生した場合の組織内外への連絡体制や連絡方法の確認
 

関連リンク

CyberNewsFlash