보안 [국가부터 마피아까지?] 사이버 공격자 '정체'는 일본 주요 인프라 겨냥한 'DDoS 공격' 증가

[お持て成し]

[국가부터 마피아까지?] 사이버 공격자 '정체'는 일본 주요 인프라 겨냥한 'DDoS 공격' 증가 / 2/4(화) / 동양경제 온라인

장기간에 걸쳐 사업을 정지시키는 사이버 공격의 피해가 계속 되고 있다. 온라인 서비스가 다운됨으로써 기업의 사업수익이나 브랜드에의 악영향에 머무르지 않고, 매일 그 서비스를 이용하고 있는 사람들의 생활에의 영향도 크다. 그 중에서 근년의 DDoS(분산형 서비스 거부) 공격과 공격자의 정체를 찾는 것과 동시에, 주목해야 할 지정학적인 동향이나, 지금 사업자나 공공기관이 재검토해야 할 방위책에 대해 살펴보자.

■ 사회를 혼란하게 만드는 디도스 공격의 영향

DDoS 공격이란, 공격 대상이 되는 Web 서버나 앱 등에 대해, 분산된 공격원으로부터 대량의 통신을 집중시키는 것으로 통신 회선이나 서버를 처리 불능 상태로 만드는 사이버 공격이다. 최근 몇 년, 디지털 사회를 지지하는 인프라를 노린 DDoS 공격의 피해가 현저해지고 있다.

2024년 말부터 연초까지 항공사, 금융기관, 통신사업자의 온라인 서비스가 일시 중단된 것은 기억에 새로울 것이다.

조금 거슬러 올라가면, 2024년 5월 10일, JR동일본의 「모바일 Suica」나 인터넷 예약 사이트의 「역네토」가 DDoS 공격을 받아 로그인이나 차지(charge)를 할 수 없는 장해가 5시간 정도 계속 되어 통근객이나 쇼핑객 등에 혼란이 생겼다. 또 지난 6월 24일에는 리크루트가 운용하는 무현금 결제 서비스 '에어페이'가 대량의 접속을 받아 이용이 어려운 상태에 빠졌다.

2023년 전반에는, G7히로시마 서밋의 개최 기간 중에, 자치체나 중요 인프라 사업자 등이 피해를 입었다. 또 같은 해 8월에 걸쳐서는 후쿠시마 원전의 ALPS 처리수 방출에 대한 항의를 명목으로 일본의 정부나 원자력 관련 연구기관 등에 대해 DDoS를 시도했다고 SNS에서 공격자로부터 표명이 있었다.

2022년 9월에는 '킬넷(Killnet)'이라는 친러시아파를 표방하는 학티비스트(해커와 활동가:액티비스트의 조어)의 디도스 공격에 의해 정부 포털 사이트 'e-Gov'나 지방세 포털 시스템 'eLTAX(엘택스)', 도쿄 메트로, 오사카 메트로 웹사이트 등의 열람이 불가능한 상태가 되었다.

■ 디도스 공격자의 정체는?

디지털 사회의 인프라나 유명한 서비스를 노리는 대규모의 DDoS 공격에는, 그 목적별로, 금전적 이익을 요구하는 것, 주장의 번잡함을 도모하는 것, 또한 사이버 병기로서 운용되는 것이 있다.

금전 목적의 DDoS 공격은 시스템의 가동을 볼모로 몸값을 요구한다. 「지금 일어나고 있는 DDoS 공격을 우리라면 멈출 수 있다」 라고, 컨설팅 업자를 가장하는 케이스도 있다. 이 유형의 범죄자는 공격을 대행하는 "디도스 공격 청부업자" 의 서비스를 이용하는 경우도 많다. 어느 업자는 대규모의 DDoS 공격을 단 월액 40 미국 달러 정도로 하청을 받고 있었다.

공격의 주모조직 규모는 작아도 이처럼 느슨하게 연결된 에코시스템에 의한 분업화로 계획적으로 공격이 이뤄지고 있다. 2024년 11월에는 교토의 헬스클럽 검색 사이트에 디도스 공격을 하던 중국 국적의 부부가 체포됐다. 이 사건에서도 컨설팅을 가장해 6시간 반 동안 사이트를 열람할 수 없게 했다. 중개역을 통해 해외 디도스 청부업자에게 지급한 금액은 약 1.5만엔였다고 한다.

반면 학티비스트는 정책과 격차에 대한 불만부터 환경문제까지 다양한 주장을 펼친다. 이러한 타입의 공격자는, 스폰서로부터 활동 자금을 얻거나 간단하게 공격을 할 수 있는 툴을 배포해"동지"를 모집하기 위해서, 소셜 미디어로 공격의 성과를 떠들썩하게 하는 것이 특징이다.

다만, 근년의 학티비스트의 "자칭"은, 그다지 그대로 받아들일 수 없다.

예를 들면, 최근 미국의 병원이나 정부 기관, 유명 기업등에 대해서 수만건의 DDoS 공격을 실시하고 있던 「어나니머스·수단」을 운영하고 있던 수단인 2명이 미국의 사법부에 의해 기소되었다. 사실 유명한 학티비스트 집단 어나니머스와의 연결고리는 없고, 오히려 수단의 민족주의적 이데올로기가 짙다고 한다.

또, 전술한 후쿠시마 원자력 발전의 ALPS 처리수 방출에 관한 DDoS 공격시에는, 어나니머스를 자칭한 SNS에서의 투고를 볼 수 있었다. 그러나, 처리수 방출에 대한 당시의 동아시아 각국의 정치적 스탠스나 이전의 공격 수법과의 유사성 등에서, 표명대로의 학티비스트 집단이 행했는지는 의심된다고 생각되고 있다.

■ 공격 배후로 보는 지정학적 리스크와 '인지전'

지금 가장 경계해야 할 것은 국가가 사이버 무기로 운용하는 디도스 공격의 존재다.

앞선 캐시리스 결제나, G7 히로시마 서밋에 관한 DDoS 공격, 2024년말부터 2025년 초에 걸친 DDoS 공격에서는, 학티비스트와 같은 조직명을 밝힌 공격 성공의 어필을 볼 수 없었다. 공격이나 작전 의도를 드러내지 않는 것은 국가가 벌이는 사이버 무기로 운용되는 디도스 공격에서 흔히 볼 수 있는 특징이다.

일반적으로 사이버전은 포탄이 난무하는 실전에 앞서 시작된다. 그 목적은 사회 혼란에 따른 공포를 적국에 안겨주고 여론을 유도해 자국에 유리한 상황으로 이끄는 인지전을 펴는 것이다.

따라서 방위와 행정 외에도 금융, 운수, 에너지와 같은 핵심 인프라 사업자뿐만 아니라 무현금 결제와 의료 서비스, 미디어, 유명 브랜드, 온라인 쇼핑, 게임과 같은 소비자 생활 밀착 서비스와 앱이 공포 확산을 위해 겨냥되기 쉽다.

DDoS 공격 방어 서비스를 제공하는 Akamai Technologies의 관측에서는, 러시아의 우크라이나 침공 이후, 유럽의 기업이나 조직에 대해서 500 Gbps를 넘는 대규모의 DDoS 공격에 대해서, 검지 건수의 증가가 밝혀졌다. 이번 연말부터 연초에 걸쳐 일본의 주요 인프라 사업자에 대해 행해지고 있는 DDoS 공격에서도 수백 Gbps의 대규모 공격이 관측되고 있다.

동시에, 단속적으로 행해지는 DDoS 공격의 지속 시간이 몇 분에서 몇 시간으로 연장해, 기간도 수개월 단위에 이르는 공격이 관측되고 있다. 이 변화는 공격에 충분한 자금을 투입할 수 있는 국가 규모의 움직임과 무관하지 않을 것이다.

이 같은 동유럽의 사이버전 스킴은 최근 동중국해와 대만해협을 사이에 둔 군사적 대립은 물론 북한군의 실전 투입으로 동유럽 및 러시아와 단일선으로 연결된 현재의 동아시아 정세에 강력한 영향을 미칠 가능성이 높다.

■ 변화된 디도스 공격엔 방위책 재검토 필요

지금, 전세계의 법 집행 기관이나 기업이 협력해, DDoS 공격의 주된 공격원이 되고 있는 네트워크나 서버를 파괴해 주모자를 적발하는 작전을 전개하고 있어, 일정한 성과가 나오고 있다. 또, 가장 중요한 서비스에는 DDoS 공격 방어 서비스에 의한 대책이 이미 되어 있다.

그러나 공격측도, 풍부한 자금력을 배경으로 새로운 공격 자원의 확보를 도모하고 있다. 지금 기분 나쁜 징조를 보이고 있는 것이, 2016년에 DDoS 공격으로 전세계의 서비스를 정지시킨, Mirai 봇넷의 부활이다.

2023년 10월에는 일본의 FXC사제 호텔·주토 전용 무선 LAN 라우터의 취약성을 이용하는 Mirai 봇넷의 아종이 발견되었다. 대량의 IoT 기기를 탈취함으로써 'DNS(IP주소와 도메인 이름을 연결하는 시스템)를 노리는 DDoS' 등의 특수한 공격이 쉬워진다.

더욱이, 고출력 클라우드 서버를 공격에 이용하는 경향도 보여, 특수한 DDoS를 대규모로 계속하는 체제의 정비도 진행되고 있다. 그 결과, 기존의 DDoS 대책을 회피해 피해를 가져오는 케이스가 증가하고 있다.

기업이나 조직에서는 현재 이용하고 있는 DDoS 공격 대책 솔루션이 이러한 공격 측의 변화에도 대항할 수 있도록 다층 방어 능력의 확장을 도모하고 있는지 벤더에 재차 확인하는 것이 좋을 것이다. 사업자 스스로도 보호해야 할 서비스나, 기존 대책의 설정치, 대규모의 DDoS를 상정한 회선 설비등의 본격적인 재검토를 실시하는 시기에 와 있다.

특히 일본에서는 2020년 이후에 신설된 조직이나 사업, 서비스에서 충분한 DDoS 공격 대책이 이루어지지 않은 경우가 많다. 또 웹사이트에서 제공되는 서비스에 비해 보호가 늦어지고 있는 스마트폰용 앱이 공격에 노출되는 경우도 많아지고 있다.

사이버 공격의 변화에 입각해, 이러한 시큐러티의"터짐"을 메워 가는 작업은 수수하지만 결코 빼놓을 수 없는 대처다.

격동하는 국제정세 속에서 사업의 계속성을 확보함으로써 사회의 불안을 제거하고 브랜드를 보호해 나가기 위한 현장 엔지니어의 부단한 노력과 이를 뒷받침하는 경영진의 이해와 지원이 필수적이다.

나카니시 카즈히로 : 아카마이 테크놀로지스 마케팅본부 프로덕트 마케팅 매니저

https://news.yahoo.co.jp/articles/c60dcbb0bf8ee77da3c90347a8f783b52643fd3b?page=1

【国家からマフィアまで？】サイバー攻撃者の「正体」とは 日本の重要インフラ狙う「DDoS攻

【国家からマフィアまで？】サイバー攻撃者の「正体」とは 日本の重要インフラ狙う「DDoS攻撃」が増加中
2/4(火) 6:02配信

東洋経済オンライン
サイバー攻撃が行われる目的はさまざま。金銭的利益を求めるもの、主張の喧伝を図るもの、さらにサイバー兵器として運用されるものがある（写真：Pavel Muravev / Getty Images）

　長期間にわたり事業を停止させるサイバー攻撃の被害が続いている。オンラインサービスがダウンすることで、企業の事業収益やブランドへの悪影響だけにとどまらず、日々それらのサービスを利用している人々の生活への影響も大きい。その中で近年のDDoS(分散型サービス拒否)攻撃と攻撃者の正体を探るとともに、注目すべき地政学的な動向や、いま事業者や公共機関が見直すべき防衛策について見ていこう。

【図】国家・政府系、マフィア・犯罪組織などサイバー攻撃者のタイプ

■社会を混乱させるDDoS攻撃の影響

　DDoS攻撃とは、攻撃対象となるWebサーバーやアプリなどに対し、分散した攻撃元から大量の通信を集中させることで通信回線やサーバーを処理不能な状態にするサイバー攻撃だ。この数年、デジタル社会を支えるインフラを狙ったDDoS攻撃の被害が顕著になっている。

　2024年末から年明けにかけて、航空会社、金融機関、通信事業者のオンラインサービスが一時停止したことは記憶に新しいだろう。

　少し遡ると、2024年5月10日、JR東日本の「モバイルSuica」やインターネット予約サイトの「えきねっと」がDDoS攻撃を受け、ログインやチャージができない障害が5時間弱続き、通勤客や買い物客などに混乱が生じた。また、6月24日には、リクルートが運用するキャッシュレス決済サービス「Airペイ」が、大量のアクセスを受け利用困難な状態に陥った。

　2023年前半には、G7広島サミットの開催期間中に、自治体や重要インフラ事業者などが被害を受けた。また同年8月にかけては、福島原発のALPS処理水放出への抗議を名目に、日本の政府や原子力関連の研究機関などに対してDDoSを仕掛けたと、SNSで攻撃者から表明があった。

　2022年9月には、「キルネット(Killnet)」という親ロシア派を標榜するハクティビスト(ハッカーと活動家:アクティビストの造語)のDDoS攻撃によって、政府のポータルサイト「e-Gov」や地方税ポータルシステム「eLTAX(エルタックス)」、東京メトロ、大阪メトロのウェブサイトなどの閲覧ができない状態になった。

■DDoS攻撃者の正体とは？　

　デジタル社会のインフラや有名なサービスを狙う大規模なDDoS攻撃には、その目的別に、金銭的利益を求めるもの、主張の喧伝を図るもの、さらにサイバー兵器として運用されるものがある。

　金銭目的のDDoS攻撃はシステムの稼働を人質に身代金を要求する。「いま起きているDDoS攻撃を私たちなら止められる」と、コンサルティング業者を装うケースもある。このタイプの犯罪者は、攻撃を代行する“DDoS攻撃請負業者” のサービスを利用することも多い。ある業者は大規模なDDoS攻撃をたった月額40米ドル程度で請け負っていた。

　攻撃の首謀組織の規模は小さくとも、このような緩くつながったエコシステムによる分業化で、計画的に攻撃が行われている。2024年11月には、 京都のスポーツジム検索サイトにDDoS攻撃を行っていた中国籍の夫婦が逮捕された。この事件でもコンサルを装い、6時間半にわたりサイトを閲覧不能にした。仲介役を通して、海外のDDoS請負業者に支払った金額は約1.5万円だったという。

　一方ハクティビストは、政策や格差への不満から環境問題までさまざまな主張を行う。このタイプの攻撃者は、スポンサーから活動資金を得たり、簡単に攻撃ができるツールを配布して“同志”を募ったりするために、ソーシャルメディアで攻撃の成果を喧伝するのが特徴だ。

　ただし、近年のハクティビストの“自称“は、あまり鵜呑みにできない。

　例えば、先ごろアメリカの病院や政府機関、有名企業などに対して数万件のDDoS攻撃を行っていた「アノニマス・スーダン」を運営していたスーダン人2名がアメリカの司法省により起訴された。実は有名なハクティビスト集団「アノニマス」とのつながりはなく、むしろスーダンの民族主義的イデオロギーが色濃いと言われている。

　また、前述した福島原発のALPS処理水放出に関するDDoS攻撃の際には、アノニマスを名乗ったSNSでの投稿が見られた。しかし、処理水放出に対する当時の東アジア各国の政治的スタンスや以前の攻撃手法との類似性などから、表明どおりのハクティビスト集団が行ったのかは疑わしいと考えられている。

■攻撃の背後に見る地政学的リスクと「認知戦」

　いま最も警戒すべきは、国家がサイバー兵器として運用するDDoS攻撃の存在だ。

　先のキャッシュレス決済や、G7広島サミットに関するDDoS攻撃、2024年末から2025年始めにかけてのDDoS攻撃では、ハクティビストのような組織名を明かした攻撃成功のアピールが見られなかった。攻撃や作戦の意図を表さないのは、国家の仕掛けるサイバー兵器として運用されるDDoS攻撃でよく見られる特徴だ。

　一般的にサイバー戦は、砲弾の飛び交う実戦に先立って開始される。その目的は、社会の混乱による恐怖を敵国に与え、世論を誘導して自国に有利な状況に導く「認知戦」を展開することだ。

　したがって、防衛や行政に加え、金融、運輸、エネルギーといった重要インフラ事業者だけでなく、キャッシュレス決済や医療サービス、メディア、有名なブランド、オンラインショッピング、ゲームといった、消費者の生活に密着したサービスやアプリが、恐怖の拡散のために狙われやすい。

　DDoS攻撃防御サービスを提供するAkamai Technologiesの観測では、ロシアのウクライナ侵攻以降、欧州の企業や組織に対して500Gbpsを超える大規模なDDoS攻撃について、検知件数の増加が明らかになった。この年末から年初にかけて日本の重要インフラ事業者に対して行われているDDoS攻撃でも、数百Gbpsの大規模攻撃が観測されている。

　同時に、断続的に行われるDDoS攻撃の持続時間が数分から数時間に延び、期間も数カ月単位に及ぶ攻撃が観測されている。この変化は、攻撃に十分な資金を投入できる国家規模の動きと無関係ではないだろう。

　こうした東欧のサイバー戦のスキームは、近年の東シナ海や台湾海峡を挟んだ軍事的対立は言うまでもなく、北朝鮮軍の実戦投入で東欧およびロシアと一本の線でつながった現在の東アジア情勢に強く影響を与えていく可能性が高い。

■変化を遂げたDDoS攻撃には防衛策の見直しが必要

　いま、世界中の法執行機関や企業が協力して、DDoS攻撃の主な攻撃元となっているネットワークやサーバーをつぶして首謀者を摘発する作戦を展開しており、一定の成果が出ている。また、最重要なサービスにはDDoS攻撃防御サービスによる対策がすでに施されている。

しかし攻撃側も、豊富な資金力を背景に新たな攻撃リソースの確保を図っている。いま不気味な兆候を見せているのが、2016年にDDoS攻撃で世界中のサービスを停止させた、Mirai ボットネットの復活だ。

　2023年10月には、日本のFXC社製のホテル・住戸向けの無線LANルーターの脆弱性を利用するMirai ボットネットの亜種が発見された。大量のIoT機器を乗っ取ることで、「DNS(IPアドレスとドメイン名を紐づけするシステム)を狙うDDoS」などの特殊な攻撃が容易になる。

　さらに、ハイパワーなクラウドサーバーを攻撃に用いる傾向も見られ、特殊なDDoSを大規模に継続する体制の整備も進んでいる。その結果、既存のDDoS対策を回避して被害をもたらすケースが増加している。

　企業や組織では、現在利用しているDDoS攻撃対策ソリューションが、このような攻撃側の変化にも対抗できるよう多層防御能力の拡張を図っているか、ベンダーに改めて確認するのがよいだろう。事業者自身でも保護すべきサービスや、既存対策の設定値、大規模なDDoSを想定した回線設備等の本格的な見直しを行う時期に来ている。

　とくに日本では、2020年以降に新設された組織や事業、サービスで、十分なDDoS攻撃対策が施されていないことが多い。また、ウェブサイトで提供されるサービスに比べて保護が遅れているスマートフォン用のアプリが攻撃に狙われるケースも多くなっている。

　サイバー攻撃の変化に即して、このようなセキュリティの”ほころび”を埋めていく作業は地味だが決して欠かせない取り組みだ。

　激動する国際情勢の中で、事業の継続性を確保することで社会の不安を取り除き、ブランドを保護していくための現場エンジニアの不断の努力と、それを支える経営陣の理解と支援が欠かせない。

中西 一博 :アカマイ・テクノロジーズ マーケティング本部 プロダクトマーケティングマネージャー