I. 概要
JPCERT/CC は、2020年8月以降、DDoS 攻撃を示唆して仮想通貨による送金を要求する脅迫行為に関する情報を複数確認しています。こうした脅迫行為は「DDoS 脅迫」「ransom DDoS」などとも呼ばれ、攻撃者が標的の組織宛にメールを送り、指定する期間内に仮想通貨を支払わなければ、DDoS 攻撃を実行すると脅迫します。過去には類似する攻撃として、2015年に DD4BC グループによる攻撃、2017年には Armada Collective や Phantom Squad を名乗る攻撃者からの攻撃、2019年には Fancy Bear Group を名乗る攻撃者からの攻撃等が確認されています。
JPCERT/CC は、国内の組織を標的とした攻撃に関する情報も確認しており、国内の組織においても引き続き警戒が必要な状況です。2020年8月以降に確認されている攻撃について、公開情報等から攻撃の流れ、手法や特徴を以下に整理いたしました。攻撃を検知および防御するための対策の検討や、攻撃を検知あるいは認知した場合の対応手順や体制を確認する場合の参考情報としてご活用ください。
** 更新: 2020年10月15日 *******************************************
2020年10月、本攻撃による被害の報告が複数の国内組織から寄せられています。多くのケースでは、脅迫メールが送られた後すぐに、攻撃能力を示す目的からか、標的のシステムに対して、数十Gbpsから100Gbpsほどの規模のDDoS攻撃が約30-60分間確認されています。また、複数の IP アドレスやシステムを対象として攻撃が行われる場合もあり、DNS コンテンツサーバーを標的とするようなケースも確認されています。JPCERT/CC が確認する限り、攻撃は情報・通信系の組織に対して多く行われている傾向があり、顧客へ提供するサービスの可用性を低下させることを目的として、攻撃および脅迫が行われている可能性があります。
同月に確認している状況を踏まえて、下記「II. 攻撃の流れ」に攻撃の手法や特徴に関する情報を追記いたしました。引き続き、本攻撃が国内組織に対して行われる可能性があることから、攻撃の被害を受けた場合の対応方法などの確認を実施いただくことを推奨いたします。
** 更新終了 ******************************************************
II. 攻撃の流れ
(1) 攻撃者が標的の組織を選定する
- 公開情報では、主に金融業、旅行業、小売業などを標的とした攻撃が確認されている
- 証券取引所やオンライン決済サービス事業者などの可用性確保が重要なシステムが標的となるケースが多い
- 標的の組織の web サイトだけでなく、外部から接続可能なサーバーやインフラも攻撃対象とされる
- DNS コンテンツサーバーや SSL-VPN 装置が稼働するシステムを標的とするようなケースも確認されている (2020年10月15日追記)
(2) 攻撃者が標的の組織にメールを送付する
- メールの差出人として、差出人名や本文中で、Fancy Bear や Lazarus 等と名乗るケースが確認されている
- メールの送信先として、標的の組織の Web サイト上などから確認可能なメールアドレスにメールが送られているとみられる
- メールの内容は、指定する期間内に BTC アドレスに送金しなければ、DDoS 攻撃を実施すると脅迫するもの
- 要求する仮想通貨の額は、標的によって異なるものの、5 BTC から 20 BTC ほど
- 指定する期間は 6日間ほどで、期間内に支払わない場合、支払う BTC の額が増加するとして早期の支払いが促される
- 攻撃対象として、BGP AS 番号やネットワークアドレス (x.x.x.x/24) が指定される場合がある (2020年10月15日追記)
- メールの内容を外部に公表すると、直ちに攻撃を開始すると脅迫する場合もある
(3) 攻撃者が標的の組織のシステムに DDoS 攻撃を行う
- メールを送付した後、攻撃能力を示すために一定時間 DDoS 攻撃が行われる
- 支払い期限を過ぎても DDoS 攻撃が行われない場合も確認されている
- 攻撃の規模や期間として、次のような情報が確認されている
- Akamai Technologies は、50Gbps から 200Gbps 規模の攻撃を確認している
- Link11 は、数時間継続する数百 Gbps 規模の攻撃を確認している
- 国内の多くの事例では、攻撃能力を示すための攻撃として、数十 Gbps から 100Gbps ほどの規模の攻撃が約30-60分間確認されている (2020年10月15日追記)
- 攻撃の種類として、次のような情報が確認されている
- SYN Flood、SNMP Flood、DNS Flood、ICMP Flood、GRE Protocol Flood、WSDiscovery Flood、ARMS Reflection など
- JPCERT/CC は、TSUBAME (インターネット定点観測システム) で本攻撃の一部とみられるパケットを観測している
- SYN Flood、SNMP Flood、DNS Flood、ICMP Flood、GRE Protocol Flood、WSDiscovery Flood、ARMS Reflection など
(4) 攻撃者が仮想通貨を受け取る
- 攻撃者は、指定した BTC アドレスに仮想通貨の支払いがあるかを確認しているとみられる
- 仮想通貨の支払いを確認するまで、執拗に攻撃を継続する可能性がある
- 仮想通貨を支払ったとして攻撃が必ず収束する保証はなく、支払いは推奨されない
III. 推奨対策および対応
- DDoS 攻撃の影響を受ける可能性のあるシステムの特定およびリスクの評価
- DDoS 攻撃を検知および防御するための対策状況の確認
- DDoS 攻撃を検知および認識した場合の対応手順や方針の確認
- DDoS 攻撃で事業影響が発生した場合の組織内外への連絡体制や連絡方法の確認
IV. 参考リンク
Akamai Technologies
ランサムの猛威ふたたび:金融と小売業を標的とした古い攻撃者からの新たなDDOS恐喝の脅威
https://blogs.akamai.com/jp/2020/08/ransom-demands-return-new-ddos-extortion-threats-from-old-actors-targeting-finance-and-retail.html
Link11
Warning from Link11 as Aggressive Fancy Bear DDoS Attackers Return
https://www.link11.com/en/blog/threat-landscape/warning-ddos-threat-fancy-bear/
Radware
Global Ransom DDoS Campaign Targeting Finance, Travel and E-Commerce
https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/global-ransom-ddos-campaign-targeting-finance-travel-ecommerce/
Netscout
Lazarus Bear Armada (LBA) DDoS Extortion Attack Campaign — October 2020 (2020年10月15日追記)
https://www.netscout.com/blog/asert/lazarus-bear-armada-lba-ddos-extortion-attack-campaign-october
JPCERT/CC は引き続き、こうした攻撃の動向を追跡し、情報発信等を実施していく予定です。類似の攻撃について何かご提供いただける情報がございましたら、JPCERT/CC 早期警戒グループまでご連絡ください。CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。
改訂履歴
2020-09-07 初版
2020-10-15 「I. 概要」「II. 攻撃の流れ」「IV. 参考リンク」の追記
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp