DDoS攻撃に巻き込まれる可能性!?アクセスによる被害とその誘導手法
ロシアのウクライナ侵攻が始まった頃から、両国のハッカーによる攻撃が報道されており、現実社会の出来事がサイバー空間にも大きな影響を及ぼしています。日本でも、ウクライナやロシアに向けたDDoS攻撃と見られる通信が増加していることが報告され、サイバーセキュリティラボがその原因となるサイトを確認しています。この記事では、そのサイトにユーザーがアクセスする背景や、サイト自体の仕組みを解説します。
DDoS攻撃が仕組まれたサイトへユーザーにアクセスさせる手口
RSA Netwitness Networkを用いたスレットハンティングチームでは、ウクライナ情勢を巡るサイバー攻撃の報道に応じ、両国への通信を監視していました。そして3月下旬、ロシアを標的としたDDoS攻撃が仕組まれたサイトを確認しました。分析官の観測では、ユーザーが検索サイトを経由して該当サイトにアクセスし、約50秒間の間にロシアのドメイン(.ru)へのHTTPSリクエストが35件送信されていました。検索結果に不正なリンクを表示する「SEOポイズニング」がフィッシング手段として使用されたと考えられ、大手検索サイトでは通信が暗号化されているため、誘導の詳細は確認できませんでしたが、類似の手口が使われた可能性が示唆されています。
DDoS攻撃を目的としたニュースサイトの仕組み
該当するITニュースサイトは、複数の記事を公開しているものの、運営者に関する情報はありません。ユーザーがサイトを閲覧すると、バックグラウンドでロシア向けにHTTPSリクエストが自動送信される仕組みが確認されました。トップページのソースコードを調査した結果、JavaScript(stop-ru.js)が仕込まれており、このスクリプトはロシアドメイン134件とロシア管轄のグローバルアドレス662件にHTTPS接続を行うものでした。OSINT調査により、3月23日にSandbox上でこの挙動が解析されていたことが確認され、攻撃者が3月23日以前にスクリプトを仕込んだと推測されます。4月22日の再調査では、該当のscriptタグが削除されており、攻撃は約1ヶ月間稼働していたと考えられます。
サイトが作成された理由
サイト自体が攻撃のために開設されたのでしょうか。ドメインは2019年にウクライナで取得されており、レジストラはドイツ企業ですが、管理者情報は非公開で、運営者についての詳細はわかっていません。問い合わせ先には無料のメールアドレスしか記載されておらず、個人ブログのような印象を受けます。さらに、いくつかのコミュニティーサイトで、このサイトのURLを含む投稿が数件確認されており、数年前からIT技術情報サイトとして運営されていた形跡が見られます。
以上のことから、このサイトは新たに攻撃目的で作られたものではない可能性が高いです。JavaScriptが運営者によって意図的に組み込まれた可能性も考えられますが、第三者による改ざんが行われた可能性も排除できず、真相は明らかではありません。
サイトの通信状況を観察するには?
余談になりますが、不審なサイトに遭遇したら、即座にブラウザーを閉じるのが理想的です。しかし、技術者であればどのような通信が発生しているか興味が湧くこともあります。そんなときは、Chromeの『検証』機能を使って簡単に確認することができます。
Chromeでサイトにアクセスし、右クリックして『検証』を選択します。画面の右側(設定によって異なる)に検証情報が表示され、『Network』タブを選択すると通信状況が確認できます。下図は、サイバーセキュリティ情報局のトップページを表示した際のもので、読み込まれたファイル名などが確認可能です。
まとめ
ウクライナやロシアへのDDoS攻撃の増加が観測されており、国内でもIoT機器などが踏み台として悪用されるリスクが指摘されています。経済産業省が発表した『ロシアなどによるウクライナ侵攻に関連する国際情勢に基づく支援策・措置』には、サイバーセキュリティ対策の強化も含まれています。また、中小企業向けには、IT導入補助金を活用したサイバーセキュリティ強化に関する情報も提供されており、参考にしていただければ幸いです。
