DDoS攻撃を示唆し仮想通貨を要求する「DDoS脅迫」、JPCERT／CCが注意喚起

　一般社団法人JPCERTコーディネーションセンター（JPCERT／CC）は、DDoS攻撃を示唆して仮想通貨による送金を要求する脅迫行為「DDoS脅迫（ransom DDoS）」について注意喚起した。

　8月以降、JPCERT/CCではDDoS脅迫に関する情報を複数確認しているという。DDoS脅迫は、攻撃者が標的の組織宛にメールを送り、指定する期間内に仮想通貨を支払わなければDDoS攻撃を実行すると脅迫するもの。JPCERT／CCが運営するインターネット定点観測システム「TSUBAME」においても攻撃の一部とみられるパケットを観測しているという。

　類似する攻撃として、2015年にDD4BCグループによる攻撃、2017年にはArmada CollectiveやPhantom Squadを名乗る攻撃者からの攻撃、2019年にはFancy Bear Groupを名乗る攻撃者からの攻撃が確認されている。国内の組織を標的とした攻撃に関する情報も確認しており、引き続き注意するよう呼び掛けている。

　なお、JPCERT/CCでは8月以降に確認されている攻撃について、攻撃の流れや手法、特徴を以下のようにまとめている。

標的組織は金融業、旅行業、小売業など

　主に金融業、旅行業、小売業などを標的とした攻撃が確認されており、具体的には証券取引所やオンライン決済サービス事業者などの可用性確保が重要なシステムが標的となるケースが多い。標的の組織のウェブサイトだけでなく、外部から接続可能なサーバーやインフラも攻撃対象とされる。

「メールの内容を公表すると攻撃を仕掛ける」とさらに脅迫

　メールの送信先として、標的の組織のウェブサイト上などから確認可能なメールアドレスにメールが送られているとみられる。

　メールの内容は、指定する期間内にビットコインアドレスに送金しなければ、DDoS攻撃を実施すると脅迫するもの。要求する仮想通貨の額は、標的によって異なるものの、5ビットコインから20ビットコイン程度になる。

　送金期限は6日間程度に指定され、期限内に支払わない場合、支払い額が増加するとして早期の支払いを促してくる。また、メールの内容を外部に公表すると、直ちに攻撃を開始すると脅迫する場合もある。

　なお、差出人名や本文中で、「Fancy Bear」「Lazarus」などと名乗るケースが確認されている。

攻撃能力を示すためにDDoS攻撃を一定時間仕掛けることも

　メールを送付した後、攻撃能力を示すために一定時間DDoS攻撃が行われる。具体的には、Akamai Technologiesでは50Gbpsから200Gbps規模の攻撃を確認、Link11では数時間継続する数百Gbps規模の攻撃を確認しているという。一方、支払い期限を過ぎてもDDoS攻撃が行われない場合も確認されている。

　攻撃の種類として、SYN Flood、SNMP Flood、DNS Flood、ICMP Flood、GRE Protocol Flood、WSDiscovery Flood、ARMS Reflectionなどが確認されている。

　攻撃者は、支払いを確認するまで執拗に攻撃を継続する可能性があり、支払った場合も攻撃が必ず収束する保証はないという。

　JPCERT／CCは、DDoS攻撃の影響を受ける可能性のあるシステムの特定とリスクの評価を始め、DDoS攻撃を検知・防御するための対策状況および検知・認識した場合の対応手順や方針の確認、事業影響が発生した場合の組織内外への連絡体制や連絡方法の確認などの対応を呼び掛けている。