DoS攻撃の脅威:サイバー空間における脅威情勢がENISAレポートにより明らかとなった
現代のサイバーセキュリティ環境を「危険な海」に例えると、DoS(Denial-of-Service)攻撃は猛烈な時化の前触れと言えるでしょう。多国籍企業から公立図書館に至るまで、DoS攻撃は組織に重大な影響(サービスの停止、ブランド価値の低下、IT関連コストの増加等)を及ぼします。
サイバー空間における脅威情勢は常に変化しています。こうした背景を踏まえて、ENISA(欧州連合サイバーセキュリティ機関)は、DoS攻撃の現状を解説したレポートを発表しました。
このレポートでは、DoS攻撃の技術的な進化および攻撃者の動機について、特に詳しく解説しています。
戦争は、地上や空中で繰り広げられるだけでなく、データやネットワークという目に見えない領域においても行われています。そのため、ENISAのインサイトは、現代のサイバー戦争を理解する上で極めて重要となります。18ヶ月にわたる調査期間中に310件のインシデントを分析した当レポートは、サイバーセキュリティ対策の重要性を説いています。
インサイト
ENISAレポートでは、サイバー攻撃の手口や「IoTデバイスの普及とDoS攻撃との関係性」に焦点を当てて解説しています。
新しい分類スキーム
当レポートでは、攻撃の技術的側面だけでなく、標的の特性も考慮した「新しい分類スキーム」を紹介しています。これにより、DoS攻撃をより正確に分類することが可能となります。また、このフレームワークを導入することで、攻撃者の傾向や手法をより体系的に分析することができます。
動機
ENISAは、DoS攻撃の動機や攻撃の目的を詳しく解説したレビューを提供しています。また、同機関は攻撃手法の進化に関連したパターンおよび不正行為の背後に存在する「カタリスト(触媒)の変化」を把握するために、デジタルシージ(Digital Siege)に関する調査を行っています。
インシデントの分析
2022年1月から2023年8月までの間に、310件のインシデント(DoS攻撃関連)が分析されました。この数字は、攻撃全体の一部に過ぎませんが、同期間におけるDoS攻撃の性質を明らかにする上で重要な役割を果たします。
行政機関への影響
行政機関に対する攻撃は、全体の46%を占めています。この統計は、行政サービスを標的とすることが攻撃者にとって戦略的に重要な意味を持つことを示しています。
政治的動機
ENISAは、攻撃の66%が主に政治的動機や活動家グループの目的に基づいていると推測しています。これは、サイバー攻撃が「地政学的影響力を及ぼすためのツール」として既に利用されていることを示しています。
ロシアとウクライナの緊張関係
確認されたDoS攻撃の約半数がロシアのウクライナ侵略戦争に関連しています。これは、国際的な緊張に伴うサイバー戦の激化を反映しています。このように、現代の戦争にはサイバー攻撃が深く関わっています。
攻撃の影響
当レポートにより、攻撃の56.8%がサービス(標的)の全面的な中断を引き起こしていたことが明らかになりました。サイバー攻撃は、サービスの安定的な供給や信頼に深刻な影響を及ぼします。
該当するインシデントの分析により、攻撃の傾向が判明しました。サイバー攻撃(特にDoS攻撃)は、地政学的な争いや社会的混乱時における武器として活用されます。また、社会システムに対する攻撃は単に混乱を招くだけでなく、社会を不安定化させる効果があるため、攻撃者は行政機関を標的にしていると考えられます。
インシデントの約三分の二が政治的動機により引き起こされているため、サイバーセキュリティの確保は、安全保障や国際関係において重要な役割を果たします。
ウクライナにおける戦争で、サイバー攻撃が通常兵器による武力攻撃の延長線上にあることが証明されました。そのため、早急に強固なサイバーセキュリティ体制(攻撃者の進化する技術に対応、重要なシステムのレジリエンスを確保等)を構築することが重要となります。
プロアクティブデフェンス
ENISAは、DoS攻撃に対するプロアクティブデフェンスのために、公共機関が取り組むべき事項を複数挙げています。
予防
DoS攻撃を防ぐためには、対策を徹底することが鍵となります。具体的には、脅威のモデル化、リスク評価、脆弱性の特定、日々進化する脅威情勢の把握などを指します。また、重要インフラ、政府サービス、メディアを優先的に保護することも重要です。
「攻撃されるリスクの高い組織」においては、CDN、ISPプロテクション、クラウドプロバイダのミティゲーション(攻撃緩和)、そしてオンプレミスソリューションを活用することでリスクを軽減することができます。また、レイヤ7 攻撃には、カスタマイズされた防御策が有効です。そして、迅速な対応のために、手動ではなく自動ミティゲーションソリューションを導入することが推奨されます。なお、データ保護規則(GDPRを含む)遵守のため、DoS攻撃への対策(クラウドベース)を講じる際には、データプライバシーや法的影響を考慮することが大切です。
復旧
DoS攻撃を受けた場合、被害を最小限に抑え、早期に業務を復旧させるために、迅速な対応が求められます。適切な緊急時対応計画には、攻撃の確認、予防策の検証、サードパーティによるセキュリティ保護サービスの利用などが含まれます。
攻撃により影響を受ける部署や組織とのコミュニケーションは不可欠です。まず、ダウンタイム発生の可能性について関係部署に連絡する必要があります。次に、声明を作成する場合には、組織の透明性と「さらなる攻撃を誘発するリスク」のバランスを取ることが重要です。公に被害を認めることは、攻撃者の注意を引き、状況を悪化させる可能性があるためです。さらに、被害状況を当局と共有することは、適切な対策を実施するために極めて重要です。
まとめ
最も初期のサイバー脅威の一つであるDoS攻撃は、日々進化を続けています。また、DoS攻撃の拡大により、将来新亜種が出現することも予想されます。攻撃コストの低下、ツールの利便性向上、そして、帯域幅の拡大に伴い、組織や企業の多くはセキュリティ上の課題に直面しています。
DoS攻撃の進化は技術側面だけではありません。ウクライナにおける戦争のように、現在進行中の武力紛争がサイバー空間における脅威に影響を与えています。そのため、攻撃者の動機を理解することは大変重要となります。
復讐、報復、戦争などの動機が、DoS攻撃の拡大を後押ししています。
公共および政府機関のインフラは、攻撃者にとって格好の標的となります。また、DoS攻撃は、ダウンタイムを発生させます。さらに、攻撃による被害がメディアに大きく取り上げられる可能性もあるため、組織や企業の規模にかかわらず影響が及びます。
残念ながら、DoS攻撃に関連したインシデントの報告は、他のサイバー脅威による場合と比較して多くありません。攻撃の特定や報告のメカニズムを改善することは、適切な対策の実施や支援のために不可欠です。
当レポートの全文はENISAのWebサイトに掲載されています。
参考記事
The Dynamic DoS Threat
By: Trend Micro
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)