変わり始めるWeb攻撃 背景に潜むウクライナ侵攻と”ハイブリッド戦”の影

2019年~2022年第1四半期に捉えた大規模DDoS件数の推移
2019年~2022年第1四半期に捉えた大規模DDoS件数の推移

世界的に、企業内ネットワークへの浸透やサプライチェーンを狙う攻撃の脅威が増大している。これは、昨今の地政学的リスクの高まりと無縁ではないだろう。

2022年2月、親ロシアを掲げるランサムウェアグループ「Conti」から内部情報がリークされた。この情報は世界中の専門家によって分析され、さまざまな攻撃の手口が明らかになってきている。その中で、これまで守りの薄かったWebアプリケーションを内部侵入の足掛かりにする手順が、攻撃者側で体系化されていることが裏付けられた。

ハイブリッド戦の影響が世界に波及する中で、サイバー空間でいま何が起きているのか。緊張の高まる台湾およびアジアの情勢を前に、日本の企業と組織はどう備えるべきか。本稿では本連載のテーマであるWeb攻撃に着目。攻撃傾向の大きな変化を捉えた独自のデータなどを基に、浮かび上がったハイブリッド戦の影について考察する。

ウクライナ侵攻前後、大規模DDoSの動向は

ハイブリッド戦におけるサイバー攻撃と聞いて、最初に思い浮かぶのはDDoSだろう。多地点から大量の通信を送り標的とするサービスの提供をまひさせる攻撃だ。

まずはアカマイ・テクノロジーズが「Prolexic」というサービスで検知した、大規模DDoSの件数を推移で示したグラフを見てみよう。ここから、昨今のDDoSの動向を確認する。

2021年から22年にかけて、500Gbpsを超える大規模なDDoSを検知した件数が増加していることが分かる。ただし、この時期にはウクライナ情勢と直接関係がないと思われる組織への脅迫を伴う「ランサムDDoS」も多く発生していたので、全体統計にどれだけ影響を及ぼしたか明確ではない。一方で、21年から22年にかけて、欧米の企業や組織へのDDoSが目立ってきている。

22年7月21日にも、東欧の企業を狙った大規模DDoSを観測した。853.7Gbpsおよび659.6Mpps(パケット/秒) のピークを記録している。攻撃元として世界中に分散したbotネットが用いられた。複数の攻撃ベクトル(手法)を組み合わせたDDoSであり、30日間で75回に及ぶ攻撃があった。攻撃ベクトルは攻撃中にも変わっていたが、変化に合わせて対処が可能なマネージド型のDDoS対策サービスで緩和に成功している。

攻撃者は「混乱」を利用する DDoSは「認知戦」の一環

ここで、ハイブリッド戦という視点から、2022年2月24日のロシアのウクライナへの軍事侵攻に前後して起きたDDoSを、報道された内容から振り返ってみよう。

侵攻開始前の2月15日にはウクライナの軍や銀行などがDDoSを受け、金融機関のサービスに支障が出た。これに先立つ1月には、データを破壊するマルウェアによる攻撃や、ウクライナ政府サイトの同時多発的な改ざんが始まり、2月23日にはウクライナ兵士に対する脅迫的なテキストメッセージが送られた。

いずれも、DDoSなどの「目に見える攻撃」とSNSによる拡散を組み合わせることで、相手に脅威を見せつけることが目的とみられる。相手国民の恐怖や不安感を煽り、世論の操作や兵士や民間人の戦意を削ぐなど、判断や行動の変容を狙った「認知戦」の一環というわけだ。このように、攻撃者は混乱を利用しようとする。

2月24日の軍事侵攻直前には「ワイパー」というデータ破壊を行うマルウェアによる攻撃が行われている。欧州の通信システムや、ウクライナ軍に対する防衛行動と連動した情報通信機能のシステムダウンが狙いと思われる。

一方で、侵攻後の4月22日にはウクライナの全国郵便局に対するDDoSが観測されている。他にも、2月から4月にかけて、同国内の水力発電所、通信会社、高圧変電所およびドイツの風力タービンメーカーへのサイバー攻撃がみられた。これらはウクライナの重要インフラの安定運用の阻害が目的と考えられる。

一連の事象から、ハイブリッド戦におけるサイバー戦は、実戦に先立ち早い段階でその戦端が開かれることが分かる。ターゲットは政府機関だけでなく、他国を含む民間の事業者にも及んでいる。

会員限定記事会員サービス詳細