DoS攻撃は分析や研究が十分に行われていない？ ENISAが報告書で分類スキームなどを提示

ENISAの報告書「DoS攻撃の脅威状況」

　欧州ネットワーク情報セキュリティ機関（ENISA：The European Union Agency for Cybersecurity）は、毎年の脅威情報をまとめた年次報告書「ENISA Threat Landscape（ETL）」を公開していますが、これとは別に、特定の脅威に特化した「別冊」ともいうべき報告書も公開しており、2023年12月にはDoS攻撃（Denial-of-Service attack：サービス運用妨害攻撃）に関する「ENISA Threat Landscape for DoS Attacks」を公開しています。

　ここでDoS攻撃とは、サービスの正当な使用を妨害する「可用性に対する攻撃」全般を指していることに注意が必要です。これには、いわゆる「DDoS攻撃（Distributed Denial-of-Service attack：分散型サービス運用妨害攻撃）」をはじめとする、ターゲットに対して大量のパケットを送りつけることで正常なサービス提供を妨害する攻撃も含まれます。

　なお、この報告書を作成した背景として、2022年初頭以降、DoS攻撃が新たなテクニックを駆使した斬新（novel）かつ大規模な脅威へと変貌を遂げ、戦争という動機に後押しされている状況があることが説明されています。

　また、DoS攻撃は最も古くからある攻撃手法の1つであり、今もなお深刻な被害を生み続けているにもかかわらず、他の攻撃や脅威に比べて分析や研究が十分に行われているとは言えない現実も背景にあるようです。実際、セキュリティ専門家の中には、DoS攻撃、特にDDoS攻撃に対してはISPなどのプロバイダーががんばれば良いとして、さほど強い関心を示さない人もいるのは否定できないところです。

　この報告書のExecutive Summaryに挙げられている主要なポイントは以下の通り。

1. 攻撃とターゲットに関する情報に基づいてDoS攻撃を分類する斬新（novel）な分類スキームによって、より体系的な分析アプローチを可能にする。

2. DoS攻撃の動機と目的を上記分類案の一部として分析することで、攻撃の技術的な進化だけでなく、攻撃を引き起こす、そもそもの原因の根本の変化をも分析可能になる。

3. 2022年1月から2023年8月までに検証された合計310件のDoSインシデントの分析。ただし、これはその期間のインシデントの総数ではない。
※訳註：分析対象のインシデントは欧州に限定していない。

4. 最も被害を受けたセクターは行政セクターで、攻撃の46％を受けている。

5. 攻撃の66％は政治的な理由または活動家の意図によるものと推定される。

6. 全体として、インシデントの50％がロシアのウクライナ侵略戦争に関連していることが分かった。

7. この調査研究は、攻撃の56.8％がターゲットに完全な混乱（disruption）をもたらしたことを示している。

　報告書では、攻撃者とターゲットをそれぞれ4つの項目に分けた上記1.の分類スキームに基づいて5件の有名なインシデントを以下のように分類しています。

1. ポーランドの鉄道システム
　2023年8月25日、列車の緊急停止装置に対するDoS攻撃で鉄道システムが混乱。攻撃者は無線信号が暗号化されていないことを悪用し、停止信号を送信。

　攻撃者については、動機は政治的／活動家、目的は混乱、手段はDoS、技術はシグナルスプーフィング。ターゲットについては、サービスは鉄道インフラ、リソースは無線周波数、混乱レベルは全体、混乱期間は数日。

2. Microsoft Azure
　2023年6月7日、脅威グループ「Anonymous Sudan」がMicrosoft Azureのアプリケーション層インフラに対するDDoS攻撃を行ない、Microsoftから金銭を脅し取ろうとした。

　攻撃者については、動機は政治的／活動家、目的は恐喝による金銭的利益＋抗議、手段はDDoS、技術はボットネット＋IPストレッサー。ターゲットについては、サービスはウェブインフラ、リソースはネットワーク帯域幅、混乱レベルは部分的、混乱期間は数日。

3. Akamaiの顧客
　2023年2月23日、Akamaiの顧客を狙った大規模なDDoS攻撃が発生したが、数分間のみであったためサービスの中断には至らなかった。

　攻撃者については、動機は不明、目的は不明、手段はDDoS、技術はボットネット＋IPストレッサー。ターゲットについては、サービスはインフラ（インフラのどの部分がターゲットとされたかは不明）、リソースはネットワーク帯域幅、混乱レベルはゼロ（報告されているが確認されていない）、混乱期間は数分。

4. 米国の病院
　2023年1月30日、ロシア系のグループが米国の病院に対してDDoS攻撃。米国のウクライナ支援に対する報復と主張。

　攻撃者については、動機は政治的／活動家、目的は復讐／報復、手段はDDoS、技術はボットネット＋IPストレッサー。ターゲットについては、サービスはウェブインフラ（他のサービスも含まれている可能性あり）、リソースはネットワーク帯域幅、混乱レベルは不明、混乱期間は不明。

5. KA-SATネットワーク（Viasat）： ロシアによるウクライナ侵攻の日
　2022年2月24日、ロシアがウクライナに侵攻した日に、攻撃者はKA-SAT（米Viasatが所有する通信衛星）の仮想プライベートネットワーク（VPN）の設定ミスを悪用。そのVPNはKA-SATネットワークの信頼された管理セグメントへのリモートアクセスを提供しており、攻撃者はインターネットアクセスを提供する衛星モデムを制御できるようになった。この攻撃の中には、モデムのファームウェアを再フラッシュし、使用不能にするものがあった。

　攻撃者については、動機は戦略的、目的は戦争（の支援）、手段はDoS、技術は弱点の悪用（exploitation）＋手動攻撃。ターゲットについては、サービスは衛星通信インフラ、リソースはファームウェア／ハードウェア、混乱レベルは全体、混乱期間は数週間。

　報告書ではDoS攻撃に対する予防と復旧についてもまとめられており、基本的にはすでによく知られた一般的な説明に過ぎないのですが、それでも復旧に関しては注目すべきポイントが挙げられています。

　メディア向けの声明では、顧客や取引先に対する責任や法的義務、サービスが機能していない理由を説明する必要性、攻撃が成功した事実を攻撃者に対して認めることになる影響などを考慮する必要がある。ほとんどのDoS攻撃はメディア的な性質を持っているため、メディアで回答することは逆効果になる可能性もある。

　報告書の結論としてまとめられている中で特に注目すべきポイントは以下の通り。

• 他のサイバーセキュリティ攻撃とは異なり、DoS攻撃の検出と分析は、攻撃者が追跡可能な成果物を残すことが多い他のサイバーセキュリティ脅威とは一線を画し、かなりの困難を伴う。
  
• DoS攻撃を免れるセクターはない。脅威グループが攻撃を成功させる方法を他者に教えるため、小規模な組織でさえDoS攻撃のターゲットになる可能性がある。
  
• 現在、DoS攻撃の報告を取り巻く成熟度が欠如している。他のサイバーセキュリティの脅威では、組織はデータ侵害が発生したことやサプライチェーン攻撃が行われたことを報告しなければならないが、DoS攻撃については十分に報告されていない。政府や支援機関がこのようなケースを測定、定量化し、より良い支援を提供できるよう、攻撃を特定し、報告するための新しくかつ優れたメカニズムを導入すべきである。
  
• 本報告書で提示されている分類スキームは、DoSインシデントのより良い統一的な報告と文書化を支援することを目的としており、これにより、この分野でのより詳細な研究が将来的に可能になる。

　今回の報告書はあくまでDoS攻撃の現状を整理してまとめたものであり、何か画期的な新しい予防策や復旧方法を紹介するものではありません。それでも、最も古くからある攻撃の1つであるDoS攻撃が、今もなお進化し続け、大きな被害を生み続けているにもかかわらず、DoS攻撃に関する分析や研究が他の攻撃や脅威に比べて十分に行なわれているとは言えない状況であることに対して、分析や研究を促す第一歩としてDoS攻撃の分類スキームを提示したことには（そのスキームが受け入れられて定着するかどうかは現時点では分かりませんが）意味があると言えるでしょう。