2024年はパリオリンピック・パラリンピックに加え、フランスやEU・アメリカ・日本・台湾・韓国・インド・ロシアなど世界中60か国以上で選挙が行われており、世界的な「選挙イヤー」[1]とも言われ、重要な大規模イベントが数多くある一年になりました。
これら大規模イベントはDDoS(分散型サービス拒否)攻撃の標的にされることが多く、オリンピックでは関連団体のみならず協賛団体やスポンサー企業も標的になり、選挙においても攻撃の矛先となるのは政党だけではありません。大規模イベントは長い期間の計画・準備を必要とし、世間一般に公開されるため、脅威アクタも攻撃のための長期間の計画・準備が可能となっています。
最近では2024年7月に日本の組織が運営する21件のURLを攻撃したとハクティビスト「NoName057(16)」がTelegram上で公表しており、その中に政党など公共セクターが運営するサイトも含まれていました[2]。
ネットワークの高速化や帯域拡大・IoT機器の普及等に伴いDDoS攻撃は増えていく傾向にあります。多くの企業が大規模イベントの協賛やスポンサーになり、選挙では特定の立候補者や政党を支援する場合があるため、自社・自組織をDDoS攻撃からどのように守り、どのようにサービス継続していくか、本稿が再考いただく一助になれば幸いです。
DDoS攻撃は日本を含めた世界中で頻繁に確認される攻撃ですが、特に世界中から注目される大規模イベントや選挙期間中は警戒を強める必要があります。DDoS攻撃によって自らの主張を広める活動を行うハクティビストは、メディアや一般市民からの高い注目度を利用します。
自らのメッセージを広範囲に届けるだけでなく、被害者側のダメージも大々的に認知されます。国をあげて巨額なリソースを投資して実施するオリンピックや選挙管理委員会・候補者の所属陣営などが運営するサイトに対してDDoS攻撃が成功すれば、報道機関やSNSで広範囲に渡って報道される可能性が高まるため、攻撃対象になりやすい傾向にあります。
DDoS攻撃を行う動機・目的は表1.に示すいずれかに該当することが多いと言われています。[3]
本稿で取り扱う選挙やオリンピックと言った大規模イベントへのDDoS攻撃に関しては、政治的/地政学的モチベーション・イデオロギー主張と競争相手/敵対側の排除・劣勢化が主な動機目的になります。
2016年のリオデジャネイロオリンピックでも2021年の東京オリンピックでも、大規模なDDoS攻撃が観測されています。本稿では夏に行われたパリオリンピック・パラリンピック2024にフォーカスして調査しています。
世界大手CDNのCloudflareによれば、2024年7月~8月に行われたパリオリンピック・パラリンピックでは、五輪パートナーや協賛・スポンサーの組織団体・企業のWebサイトに対するDDoS攻撃が急増していました。図に示すように、オリンピック期間の7月には200,870,000件リクエスト規模のDDoS攻撃を観測し、8月の11日間では90,500,000件のリクエストを行うDDoS攻撃があったと報告されています。[4]
最も大きな攻撃のスパイクは7月29日に発生しました。3つのスポンサーWebサイトが同時に標的となり、1日で84,000,000件のDDoSリクエストが観測されています。図(左)に示すように、リクエスト数のピークはUTC時刻10:20頃で、1秒あたり190,000件のリクエストに達しています。最も深刻な攻撃は、図(右)に示すように、オリンピック最終日の8月11日に発生しました。フランスの交通機関のサイトが標的とされ、攻撃は4分間続き、UTC時刻05:09頃に1秒あたり500,000件を超えるリクエストが観測されています。[4]
また、2024年のパリオリンピック・パラリンピック前後では、旅行やスポーツ・エンターテインメント・ギャンブルと言ったオリンピックの運営に直接関わっていない業界でも幅広くDDoS攻撃の急増が観測されたという報告もあります。[5]
選挙イベントに関して、情報を開示している事例は多くありませんが、公表されている情報をベースに取り上げていきます。
2024年6月から7月にかけて行われたフランス議会選挙では、特定の政党に関連するWebサイトがDDoS攻撃の標的になり、選挙期間中の多い日に610,000,000件・ピーク時は1秒あたり151,000件もの規模のDDoS攻撃リクエストが観測されています。[6]
最近の世界的に注意度が高かった選挙イベントとして、以下の表に示すようにアメリカ大統領選挙に関するイベントがありました。DDoS攻撃の詳細に関しては、文末の脚注・参考先の記事についてもご参照ください。[7][8]
2024年の残り期間においても、アメリカ大統領選挙の討論会や本選挙、日本の自民党総裁選などが予定されており、選挙キャンペーンへの直接的なDDoS攻撃はもちろん、その支援団体やスポンサー企業に対してもDDoS攻撃が行われる可能性があります。
2012年に行われた韓国総選挙(国会議員総選挙)で、投開票前日に中央選挙管理委員会のホームページがDDoS攻撃を受け、一時的にサービスに遅れが生じたという事例もありました。[2]
ネットワークの高速化や帯域拡大、そして攻撃の踏み台になりうるIoT機器やモバイルデバイス等の増加によりボットネットの拡大も進んでいることから、これからもDDoS攻撃の規模や威力は増え、より大規模で複雑になっていくと予想されます。
表にて近年にあったボットネット感染による大規模DDoS攻撃の事例をご紹介します。
2015年のGitHubへのDDoS攻撃に使われたボットネット感染も有名で、発生当時はそれまでで最も大規模なDDoS攻撃になっていました。中国主流検索エンジンBaiduにアクセスした全てのユーザのブラウザに悪意あるJavaScriptコードが仕込まれ、GitHub上の特定プロジェクトURLへHTTPリクエストが大量に送りつけられていました。[10]
闇市場・ダークウェブでもDDoS攻撃の代行サービスやDDoS-as-a-Serviceの普及が確認されており、DDoS攻撃が犯罪者の中で既にビジネス化している状況です。[11]
拡大傾向にあるDDoS攻撃から自組織をどのように守り、どのようにサービス継続していくか、次章でその対策について述べます。
DDoS攻撃に対する備えとして、自組織のネットワーク機器やサーバ機器に対して定期的な脆弱性スキャンや修正プログラム適用などの対策を講じていくことももちろん重要ですが、実際にDDoS攻撃を受けた時は、それら機器の性能や回線の帯域に収まらない程のトラフィック量が想定されるため、自組織のファイアウォールやIPS、WAFと言った機器側での対策だけでは不十分です。
そのため、より上位のインターネットサービスプロバイダ(ISP)やコンテンツ配信ネットワーク(CDN)ベンダレベルでの対応が必要になるケースがほとんどです。
具体的な、DDoS攻撃に対する軽減/緩和策としては以下のようなサービスが挙げられます。
なお、ISPやCDNが提供するサービスを利用することになっていても、いざDDoS攻撃を受けた際に自組織としてどのように動くべきか、緊急時の初動や連絡先・連絡フローが整理されているか等を事前に確認し、可能であれば訓練も事前に実施しておくことを推奨します。
DDoS軽減/緩和サービスを利用しない場合でも、自組織のWebサービス等においてDDoS攻撃を受けた際、ISP側として他のお客様への影響を抑えるためにWebサービス向けの通信を遮断してしまうリスクも考えられるため、上位ISPやCDNに対して事前に問合せて確認しておくことも重要です。
また、自組織のルータやIoT機器などがボットネットに感染し他組織へのDDoS攻撃の踏み台として悪用されないようボットネット対策をすることで、DDoS攻撃の大規模化を防ぐことが期待されます。多くの組織が各自でボットネット構成にならないように努力することが、互いへのDDoS攻撃の大規模化助長を防ぐことにつながります。
表および図で示したように、大規模なDDoS攻撃を行う前に国内の多数のIoT機器やユーザ端末をマルウェアに感染させ大規模なボットネットを構成することで、DDoS攻撃の規模と威力を増大させる傾向がみられています。
IoT機器の普及によりマルウェアに感染したIoT機器数も増加していることから、これらの新たな対策として、日本国内ではNICT(国立研究開発法人情報通信研究機構)がDDoS攻撃に悪用されるおそれのあるIoT機器の調査及び当該機器の利用者への注意喚起を行うプロジェクトとして、新しい「NOTICE」(National Operation Towards IoT Clean Environment)を2024年から開始しています。従来のID・パスワードに脆弱性があるIoT機器の調査に加え、脆弱性があるファームウェア等を搭載しているIoT機器、既にマルウェアに感染しているIoT機器を新たに対象とするサイバーセキュリティ対策助言等の業務も新設しています。
協力関係にあるインターネットサービスプロバイダ(ISP)に加え、IoT機器のメーカーやその他セキュリティ関係機関等との連携も強化しています。[12]
本稿では、2024年のオリンピック・パラリンピックと選挙イベントへのDDoS攻撃に着目し、最近のボットネット感染による攻撃の大規模化およびその対策についてご紹介し、自社・自組織の機器が他へのDDoS攻撃に悪用されるリスクについても説明させていただきました。
多くの企業や団体が何等かの大規模イベントで協賛やスポンサーになったり、選挙で特定の政党や立候補者を支援することで、DDoS攻撃の標的になる可能性があります。また、オリンピック・パラリンピックの運営に直接関わっていない他の業界でもDDoS攻撃の標的になっていたことがわかりました。[5]
繰り返しになりますが、DDoS攻撃の規模や加速性はネットワーク帯域拡大や高速化・スマートデバイスやIoT機器の大量利用に伴いこれからも増大していく傾向にあるため、DDoS攻撃への備え・対策が非常に重要になってきています。
NRIセキュアでは、セキュアインターネット接続サービスに付随するDDoS攻撃軽減オプションがあり、また工場システム(IoT/OT)のセキュリティを可視化・監視するサービス(マネージドNDR Nozomi Networks for OT/IoT)やエンドポイント端末のセキュリティ対策サービス[13]も提供しております。ご興味ありましたら、是非一度ご相談頂けますと幸いです。
DDoS攻撃の事例は多く聞かれますが、実際にサービス影響があった場合でも、公開しないケースが多々あり、またインターネット上に公開されている事例の多くはコンテンツ配信事業者およびクラウド事業者が自社DDoS対策の有効性を示すために発表していることが多いように見受けられるため、現時点で公表されている情報が全てではなく、本稿では大規模イベントへのDDoS攻撃の傾向を読み取る程度で取り扱っています。
※本記事は、2024年9月に執筆した調査レポートを基に再構成したものです。
[1] NHKニュース:2024年は世界的な「選挙イヤー」 アメリカやロシア 台湾などhttps://www3.nhk.or.jp/news/html/20240101/k10014304961000.html
[2] TrendMicro: 選挙期間中に想定されるサイバー脅威とは?
https://www.trendmicro.com/ja_jp/jp-security/24/f/expertview-20240627-01.html