総務省の調査によると、不安定な国際情勢、IoTデバイスの急速な普及※1による攻撃対象の増加に伴い、日本を標的としたサイバー攻撃の報告は増加傾向にあります。情報通信研究機構(NICT)の調査※2からは、サイバー攻撃に関連する通信がこの9年間で66倍も増加し、2021年の1年間で5,180億パケットに達していることが読み取れます。その中でも、IoT機器を狙った攻撃が約半数を占め、IoT機器が踏み台となるケースが増加しています。(総務省「サイバー攻撃の最近の動向等について」※3)
このような背景から、サイバー攻撃の脅威や影響の大きさについて認識し、各攻撃手法に応じた対策を講じていく必要があります。本記事では、昨年9月頃にウクライナ侵攻問題で注目を集めたロシア支持派のハッカー集団「キルネット」に着目し、「キルネット」が日本企業に対して、行ったとされるサイバー攻撃事例を基に具体的な攻撃手法から日本企業が行うべき対策について紹介しています。
ロシア支持派のハッカー集団の日本へのサイバー攻撃事例
「キルネット」は、SNS上で日本政府が運営する複数のWebサイトに攻撃を行ったとする主張を投稿しました。
「キルネット」の攻撃により、ユーザーがアクセス困難な状況に陥る等の被害が発生したとされているWebサイトは以下のとおりです。
【キルネットによる日本へのサイバー攻撃事例】
- 電子政府の総合窓口「e-Gov」
- 地方税ポータルシステム「eLTAX(エルタックス)」
- SNS(交流サイト)「mixi(ミクシィ)」
- クレジットカード大手「JCB」
- 名古屋港管理組合のホームページ
- 東京メトロのホームページ
- 大阪メトロのホームページ
ハッカー集団がサイバー攻撃を行う目的は、いくつか考えられます。「キルネット」の場合は、彼らのビデオメッセージによると、国際情勢の悪化により自国に対して脅威になりうる他国への対抗手段であると主張しています。※4
キルネットが行ったと思われる具体的な攻撃手法
「キルネット」が国内のWebサイトに対して行ったサイバー攻撃は、「DDoS攻撃」とよばれる攻撃手法であるとみられています。
DDoS攻撃とはどのような攻撃なのでしょうか。DDoS攻撃(Distributed Denial of Service Attack)とは、分散型サービス妨害攻撃とも呼ばれ、DoS攻撃(Denial of Service Attack:サービス妨害攻撃)を分散実行することで、サービスの妨害能力を高めた攻撃手法です。本記事では、DoS攻撃を解説した後、DDoS攻撃の具体的な攻撃手法について解説していきます。
・DoS攻撃とは
DoS攻撃とは、悪意あるユーザーが対象のウェブサイトやサーバーに対して、一斉に大量のデータや不正なデータを送りつけることで負荷をかけます。そしてネットワーク遅延やサーバーの応答速度低下により、アクセス困難な状況を生じさせる攻撃です。
・DDoS攻撃とは
DDoS攻撃とは、対象のウェブサイトやサーバーに対して、複数の送信元(IPアドレス)から一斉に大量のデータや不正なデータを送りつけることで負荷をかけます。DoS攻撃同様ネットワーク遅延やサーバーの応答速度を低下によりアクセス困難な状況を生じさせる攻撃です。
DoS攻撃は送信元(IPアドレス)が1箇所であるのに対して、DDoS攻撃は複数の送信元(IPアドレス)から攻撃を行います。複数の攻撃元から、対象のサーバーに攻撃を集中させるため、サービスの妨害能力が高く、送信元IPアドレスを詐称したケースも存在するため、DoS攻撃よりも対策が困難です。
今回の「キルネット」による一連のサイバー攻撃では、DDoS攻撃によるアクセス障害により、一時的にサービスが提供できない状態に陥りましたが、個人情報の流出などの被害報告は出ていないと思われます。
しかし、サービス停止の影響が大きい重要インフラなどが攻撃を受けた場合、攻撃対象となった組織だけでなく、システムの利用者にも大きな被害が出る可能性があります。
DDoS攻撃への対策として、サーバーの性能強化やインターネット回線の帯域を拡張するなどの対応が挙げられます。コストが大きく且つ対策を継続的に運用するために専門性の高いIT部門が必要となるため、組織の規模によっては現実的な対策とはなりにくいケースも考えられます。それでは次に、導入の難易度がそれほど高くないサイバー攻撃の対策をご紹介します。
日本企業が行うべき対策例
前述のようなDDoS攻撃の特性を踏まえて、日本企業が行うべき対策や体制の例をご紹介いたします。
・CDN
CDNとは、Content Delivery Networkの略でWebサーバーがコンテンツを配信する際に、コンテンツをキャッシュし、CDNを介して、ユーザーにコンテンツを提供します。CDNがキャッシュサーバーとして、応答・要求処理を担うことでコンテンツを高速に配信できるようになります。
そして、もしも攻撃を受けるサイトがCDNを導入していたとしたら、攻撃トラフィックを多数のCDNキャッシュサーバーに分散させることができます。単一のサーバーに攻撃を集中させることなく、被害を最小限に抑えられます。一方で、キャッシュを行わないコンテンツには対応できないため、CDNの特性を理解したうえで導入を検討する必要があります。
・アクセス制限
攻撃元のIPアドレスが、特定の国からのアクセスに偏っている場合、攻撃元の国からのアクセスを遮断することで、被害を低減できます。例えば、国内の取引先向けにサービスを提供している組織の場合は、サイトの運営上必要がない国からのアクセスを遮断しておくことも、対策の一つとして検討してみましょう。
- IDS/IPSによるアクセス制限
IDSとは、Intrusion Detection Systemの略でネットワーク上の通信を監視して、コンピュータやネットワークへの不正な通信を検知し、通知するシステムです。IDSの通知に基づいて不正な通信の送信元からのアクセスを制限することで、リスクを低減できます。
IPSとは、Intrusion Prevention Systemの略でネットワーク上の通信を監視して、コンピュータやネットワークへの不正なアクセスやデータを検知し、遮断するシステムです。IDSと比較して、通知のみでなく遮断まで実施するため、通信の遮断能力が高くなります。しかし誤検知による正常通信の遮断を配慮した運用が必要となりますので注意しましょう。
- Firewallによるアクセス制限
Firewallとは、送信元のIPアドレスやポートを元にコンピュータやネットワークへの不正なアクセスを遮断するシステムです。様々な負荷機能が付いた高性能なFirewallでは、送信元のIPアドレスやポートに加え、アプリケーションやユーザー等の情報を基にアクセス制限を実施できるものもあります。
WAFとは、Web Application Firewallの略でWebアプリケーションに特化したFirewallであり、Webアプリケーションの脆弱性を突いた通信のアクセスを制限するシステムです。防御対象に特化したシステムであるため、Webアプリケーションに対する通信内容を詳細に検査してアクセス制限をすることが可能です。
以上の通り、それぞれのサイバー攻撃の対策で防御できる領域が異なっているため、特性を理解したうえで、自組織に必要なシステムを選定していきましょう。必要に応じて複数の対策を組み合わせて導入することが望まれます。
まとめ
本記事では、昨年9月頃にウクライナ侵攻問題で注目を集めたロシア支持派のハッカー集団「キルネット」に着目し、事例と共に攻撃から対策までの一連の流れを紹介しました。本記事を読んでいただいた少しでも多くの方が、サイバー攻撃対策の強化に向けた取り組みについて、関心を持っていただけたら幸いです。
当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。
※1. 産業省 令和3年版 情報通信白書 IoTデバイスの急速な普及https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r03/html/nd105220.html
※2. NICTER観測レポート2021
https://www.nict.go.jp/press/2022/02/10-1.html
※3. 総務省 サイバー攻撃の最近の動向等についてhttps://www.soumu.go.jp/main_content/000722477.pdf
※4. NHK 日本を”狙った”ハッカー集団「キルネット KILLNET」https://www3.nhk.or.jp/news/special/sci_cul/2022/09/special/2022-09-cyber/
