「仮想通貨を支払わなければDDoS攻撃を実行する」と脅す“DDoS脅迫”に注意 JPCERT／CC：別名「ransom DDoS」

JPCERT／CCは、DDoS脅迫について注意を喚起した。DDoS攻撃の影響を受ける恐れのあるシステムの特定とリスク評価、攻撃の検知と防御などの対策状況の確認を推奨している。

[＠IT]

　JPCERTコーディネーションセンター（JPCERT／CC）は2020年9月7日、DDoS攻撃を示唆して仮想通貨による送金を要求する脅迫行為（DDoS脅迫）について注意を喚起した。DDoS攻撃の影響を受ける恐れのあるシステムの特定とリスク評価や、DDoS攻撃を検知したり防御したりするための対策状況の確認を実施することを推奨している。

JPCERT／CCのWebページより引用

　この脅迫行為は「ransom DDoS」とも呼ばれており、攻撃者が標的とした組織に電子メールを送信し、「指定する期間内に仮想通貨を支払わなければDDoS攻撃を実行する」と脅迫する。2015年の「DD4BCグループ」、2017年の「Armada Collective」「Phantom Squad」、2019年の「Fancy Bear Group」といった攻撃者からの攻撃が確認されている。JPCERT／CCは、国内組織を標的とした攻撃を確認しており、警戒が必要だとしている。

攻撃能力を示すためのDDoS攻撃が実施されたケースも

　JPCERT／CCによると「金融業や旅行業、小売業などが主な標的で、その中でも特に標的になりやすいのは証券取引所やオンライン決済サービス事業者など可用性の確保が重要なシステムだ」としている。Webサイトだけでなく、外部から接続可能なサーバも攻撃対象になるという。

　DDoS脅迫は、攻撃者が標的とした組織に電子メールで脅迫する。標的の組織のWebサイトなどで確認できるメールアドレスに送り付けていることが多いようだ。そうしたメールでは、差出人名や本文中で「Fancy Bear」や「Lazarus」などと名乗り、6日程度の間に5〜20BTC（ビットコイン）を要求するケースが確認されている。

　メールを送付した後、攻撃能力を示すために一定時間DDoS攻撃が実施されたケースがあったという。ただし、支払い期限を過ぎてもDDoS攻撃がないケースもあった。

　支払いを確認するまで執拗（しつよう）に攻撃を継続する可能性がある一方で、支払ったとしても攻撃が必ず収束する保証はない。JPCERT／CCは、こうした背景から支払いを推奨していない。なお、攻撃の規模は、50〜数百Gbps。攻撃手法としては、「SYN Flood」「SNMP Flood」「DNS Flood」「ICMP Flood」「GRE Protocol Flood」「WSDiscovery Flood」「ARMS Reflection」などが使われている。