身代金を要求するサイバー攻撃の中で、ランサムウェアによる被害が世界中で拡大しています。

ランサムウェアの他に、DDoS攻撃の停止と引き換えに金銭を要求するランサムDDoS攻撃が存在します。

2017年9月に日本国内にて、このランサムDDoSと思われる攻撃が確認されました。

今回は、このランサムDDoS攻撃の概要と対策についてご報告いたします。

本記事はこちらよりPDFにてご覧頂けます。

注意喚起：ランサム DDoS 攻撃に対する事前対策について

1.概要

　インターネット上のウェブサイトには一般的な検索エンジンでは到達できない、Deep web や Dark web と呼ばれるウェブページが存在します。このような深層インターネットの闇市場ではサイバー攻撃の代行サービス(CaaS: Cybercrime-as-aService)やツールが取引されており、サイバー攻撃が頻発する要因の一つになっています。サイバー攻撃のうち、金銭要求を伴うものをサイバー脅迫といい、最近では「Wanna Cryptor」に代表されるランサム（身代金）ウェアが有名です。ランサムウェアのほかにも DDoS 攻撃の停止と引き換えに金銭を要求するランサム DDoS 攻撃（RDoS: Ransom DDoS）が存在します。

　2017 年 9 月、日本国内において、DDoS 攻撃の停止と引き換えに金銭を要求するメールが多数配信されていることが確認されました。このメールとの因果関係は不明ですが、同じタイミングで DDoS 攻撃が発生したことも確認されております。今やウェブサイトは企業戦略において重要な「チャネル」「ツール」「メディア」として位置づけられており、そのサービス停止は企業活動に大きな影響を与えます。DDoS 攻撃への対応体制を点検するとともに、自身のサーバやルータが踏み台として使用されないようにご注意ください。

2. ランサム DDoS攻撃とは

　ランサム DDoS 攻撃とは DDoS 攻撃の停止と引き換えに金銭を要求するサイバー攻撃の一つです。まずは小規模な DDoS 攻撃を仕掛け、攻撃能力を誇示した上で脅迫メールを送信するシナリオが一般的です。ただし、過去に DDoS 攻撃を行った犯行グループを名乗り、脅迫メールを送信するだけで金銭を窃取した事例もあり、このシナリオの限りではありません。
　⑴ ランサム DDoS 攻撃の典型的なシナリオ
　　① 標的のウェブサイトに対して短期間の DDoS 攻撃をおこなう。

　　② 脅迫メールを送信する。

　　③ 要求に従わない場合、大規模な攻撃をおこなう。
　⑵ ランサム DDoS 攻撃による被害例
　　ランサム DDoS 攻撃による被害は身代金支払いによる直接的被害だけではありません。サービス停止が企業活動に大きく影響する場合は例えば株価の下落を招く場合もあります。また DDoS攻撃を受けた企業がホスティング事業者から解約された事例もあります。身代金を支払っても攻撃が停止される保証はなく、更なる攻撃と身代金要求につながる可能性もあります。

　(3)脅迫メールの本文例

　　下記のメールでは攻撃停止の見返りにビットコインの送金を要求しています。

「Armada Collective」からの脅迫メールのイメージ（出所：JPCERTコーディネーションセンター）

3. SecureSoft Sniper ONEによるDDoS対策

DDoS対策のポイントは、攻撃通信を検知・防御しつつ正規ユーザに対するサービスの品質を維持するところにあります。これを実現するSecureSoft Sniper ONEを使用したDDoS対策をご紹介します。

(1)SecureSoft Sniper ONEとは

　SecureSoft Sniper ONEは、従来それぞれ専用機として提供していたセキュリティ機器の機能をオプション化し、1台で高度な検知・防御機能を実現する製品です。必要なオプションを選択することで、スモールスタートが可能になり、コスト削減につながります。また、導入後の機能追加も可能なため、ビジネスの変化・拡大に合わせた対策が可能です。

(2) DDoS対策概要

　SecureSoft Sniper ONE に Anti-DDoSオプション、もしくはRate Limitオプションを追加することで、DDoS攻撃から大切な情報資産を防御します。

図 1　Sniper ONE のコンセプト

図 2　Sniper ONE によるDDoS攻撃防御イメージ（Anti-DDoSオプション使用時）

(3) Sniper ONE Anti-DDoSオプションとは

　Sniper ONE Anti-DDoSオプションはDDoS攻撃対策に特化した8つの解析エンジンにより、正規ユーザ向けのサービスを維持しながら、DDoS攻撃を効果的に防御します。Anti-DDoSオプションはDDoS対策の専用製品であるSecureSoft Sniper DDXベースに更に進化させモジュール化しました。独自機能Triple 'S'（Smart Session Shaping) EngineによるセッションのコントロールやDDoS攻撃の通信を分析しシグネチャ化するSEE（Signature Extraction Engine）など、DDoS攻撃を効果的に抑制し、お客様にサービスの安定稼働をお約束します。

図 3 Sniper ONE Anti-DDoSオプションの解析エンジン

Anti-DDoSオプションによるDDoS攻撃対策は以下のニュースリリースでも解説しております。参考情報（セキュアソフトニュースリリース『Sniper ONEによるDoS/DDoS攻撃対策例のご案内』） http://juliett.iddemo.site/news_mt/2015/08/sniper-onedosddos/

(4)Sniper ONE Rate Limitオプションとは

Sniper ONEによるより効果的なDDoS攻撃対策としては、 Anti-DDoSオプションに加えてRate Limitオプションを追加する方法がございます。本オプションは帯域制御によるサーバの保護に有効なオプションです。大量のトラフィックを効果的に制限するため、DDoS攻撃だけではなく、ユーザの増加やヘビーユーザの利用によってネットワークリソースが枯渇することを防ぐこともできます。

図 4 Sniper ONE Rate Limit Engine

Rate LimitオプションによるDDoS攻撃対策は以下のニュースリリースでも解説しております。

参考情報（セキュアソフトニュースリリース『SecureSoft Sniper ONE の特徴：Rate Limit 機能』）

http://juliett.iddemo.site/news_mt/2015/12/securesoft-sniper-one-rate-limit/

1. SecureSoft Sniper ONEによるDDoS対策

⑴ SecureSoft Sniper ONEとは

SecureSoft Sniper ONEは、従来それぞれ専用機として提供していたセキュリティ機器の機能をオプション化し、1台で高度な検知・防御機能を実現する製品です。

必要なオプションを選択することで、スモールスタートが可能になり、コスト削減につながります。また、導入後の機能追加も可能なため、ビジネスの変化・拡大に合わせた対策が可能です。

⑵ DDoS対策概要