コラム第７４４号：「KillnetのDDoS攻撃について調べてみて」

第７44号コラム：佐々木良一　理事（東京電機大学研究推進社会連携センター　顧問・客員教授）
題：「KillnetのDDoS攻撃について調べてみて」

１．はじめに
　興味があって２０２２年９月のKillnetによる日本へのDDoS攻撃について調べてみた。他にも知りたい人がいるだろうと考え、調べた結果や疑問、疑問への自分としての回答案などをまとめてみた。

２．調べた結果の概略
調べたいとき、最近だと、まずはWikipediaを調べることが多い。日本版のWikipediaによると、Killnetというのは、「2022年のロシアによるウクライナ侵攻の際に、いくつかの国で政府機関や民間企業に対するDoS及びDDoS攻撃で知られる親ロシア派のハッカーグループ。2022年3月頃に結成された。」ということがわかる。そして、Killnetの日本へのDDoS攻撃については、「2022年9月6日、デジタル庁が所管する行政情報のポータルサイト「e-Gov」、総務省が所管する地方税のウェブサイト「eLTAX」など計4省庁23サイト、ソーシャルネットワークサービス「mixi」に対して攻撃を行ったとの犯行声明を発表した」とされている。
マスメディアでどのように報道されたかをもう少し詳しく知りたい場合は、piyologを調べる。piyologはpiyokango氏の備忘録で、新聞などで報道されたセキュリティの出来事を中心にまとめており、迅速性と正確性で定評がある。インシデントの前後関係や、相互関係を整理するのに役立つ。
　
３．マスメディアだけだとわからないことも多い　
新聞などのマスメディアを調査したが、次のような点がわからず疑問が生じた。
（疑問１）今回の攻撃は本当にKillnetによるものか
発生した事象を見て、後から自分たちがやったと勝手に宣言する例もあり、今回の障害が本当にKillnetの攻撃による影響か疑問が残った。
（疑問２）DDoS攻撃にもいろいろあるがどのような攻撃が使われたのか
WikipediaによるとDDoS攻撃には、①協調分散型DoS攻撃と②DoSリフレクション攻撃と呼ばれるものとがある。①は攻撃者が大量のマシン(踏み台)をMiraiなどのウイルスに感染させ不正に乗っ取った上で、それらのマシンに指示し一斉にDoS攻撃を仕掛けるものである。②にはSmurf攻撃やDNSアンプ攻撃があり、攻撃者が、自分の発信元IPアドレスを攻撃対象のものに改ざんしたうえで何らかのリクエストを送信し、リクエストを受け取ったマシンは改ざんされたIPアドレスに向かって大量の返答を返すことにより攻撃対象のサーバなどを高負荷にするものである。
新聞などには具体的にどのような攻撃がとられたかの記述はなかったが適切な対策を取るうえでこれらの攻撃方法を知っておくことも重要である。
（疑問３）攻撃対象のWEBサーバにアクセスできなくなったのは、ネットワークの輻輳によるものか、サーバの機能喪失によるものか
サーバにアクセスして情報が入手できないのは、①ネットワークが輻輳してサーバにアクセスできない場合と、②サーバ自体が過負荷になり機能しない場合が考えられるが、この点に関する記述がなかった。①ならより上流側のネットワークでのフィルタリングが必要になり、②なら、ファイヤーウォールなど組織内ネットワークでのフィルタリングでも対応が可能な場合がある。
（疑問４）大企業ではDDoS攻撃対策はすでに取られていると書かれている記事があったが本当か
大企業ではDDoS攻撃対策はすでに取られていると書かれている記事があったが、本当だろうか。また、どんな対策が具体的にとられているのだろう。

４．疑問への推定
（疑問１への回答案）piyologの記事を調査すると、KillnetのTelegramへの投稿日時と閲覧障害が発生していた時間を比べると前者の時刻の方が前のものが多かった。したがって、後からKillnetが攻撃者と名乗ったのではなく、Killnet（あるいは少なくともKillnetと称するもの）による攻撃の可能性が高いと推定できる。
（疑問２への回答案）DDoS攻撃にもいろいろあるが、今回どのような攻撃が使われたのか正確なところはわからない。2022年5月11日にKillnetがイタリアに対して行ったDDoS攻撃はMiraiによるものだといわれており（https://sysdig.jp/blog/killnet-italy-and-nato/）、日本に対するものもMiraiのようなウイルスを用いた協調分散型DoS攻撃である可能性が高いと考えているがどうだろうか。
（疑問３への回答案）攻撃対象のサーバの機能が失われたのは、ネットワークの輻輳によるものか、サーバの機能喪失によるものかがすぐにはわからなかったが、piyologによると「システム自体は稼働しており、サイトを閲覧する際に経由する回線に不具合が生じていると取材に回答した」との記述もあり、ネットワークの輻輳が原因となったものもあったと考えられる。
（疑問４への回答案）大企業ではDDoS攻撃対策はすでに取られていると書かれている記事があったが、DDoS攻撃の被害にあう組織も現実にあるので大きな組織であっても対策をしていないところも少なくないと考える。
また、対策としてはいろいろな説明がなされているが、①サーバなどを分散させ１つのサーバにアクセスする数を減らす方法と、②障害の出るサーバやネットワークの上流側のネットワーク流量を制御する方法に分ければよいと調査により考えた。①としてはCDN「コンテンツ・デリバリー・ネットワーク」を用いるものが中心であり、CDNを利用すれば、自社サーバではなく世界中のキャッシュサーバーが大量アクセスに応答するため、自社サーバに負荷をかけずに済む。②としては、サーバの処理量を制御するために組織内のファイヤーウォールなどで、データをフィルタリングする方法と、インターネットプロバイダーやクラウド業者に流量の制御を依頼する方法がある。DDoS対策をとることにより対策コストの増大や誤フィルタリング問題や性能の低下問題も考えられるので、どういう対策をとるか真剣に考えていく必要がある。
どのような対策がどのような比率でとられているのかの調査結果などは見つからなかった。最も大きな組織はCDNを利用し、それに次ぐ組織がインターネットプロバイダーや、クラウド業者に委託してフィルタリングしているかと思っているがどうだろう。もう少し調査してみたいと考えている。

５．おわりに
　これらの調査の過程で、ロシアとウクライナの間の、Killnetだけではないサイバー戦やハイブリッド戦の状況がわかったりして興味深かった。また同時に疑問も生じてきており、これらのついてももう少し詳しく調べてみたいと思っているところである。
　インシデント対策に関する実務経験がないのでここで述べたことについては、いろいろ誤解があるかもしれない。ご指摘いただければ幸いである。

【著作権は、佐々木氏に属します】