【徹底解説】脅威インテリジェンスレポートの作り方 | セキュ塾

1 概要

　2022年9月6日、親ロシア派のハクティビストであるKillnetがTelegramに日本国内のサイトに対しての攻撃を示唆する内容を投稿。同日の午後6時ごろから9時ごろまで、e-Gov/eLTAXのWebサイトにアクセスできない障害が発生した。 また、JCBやmixi、東京メトロ、大阪メトロ、名古屋港管理組合等でも障害が発生した。

　2022年9月7日には正午ごろに、電子申請サービスが正常に利用できない状況になった。完全復旧を発表したのは2022年9月9日午前6時頃となる。

　本レポートでは、Killnetによる一連の攻撃と攻撃手法を過去から時系列に追っていく。

4 When（いつ）

Killnetはウクライナを支援する国家に対して以下のような攻撃を行っている。

1.     USのへの攻撃
2022年3月、アメリカコネチカット州にあるブラッドリー国際空港の Web サイトが、サイバー攻撃を受けた。 ハッカーが残したメッセージには、ウクライナへの武器供給の停止を求める要求と、「アメリカを恐れていない」とのメッセージが書かれていた。2022年3月29日、Killnetが犯行声明を発表。

2.     ルーマニア政府及びインフラへのDDoS攻撃
ルーマニア国家サイバーセキュリティ局 (DNSC)は、複数の政府機関及び民間サービスのWeb サイトを標的としたDDoS攻撃について発表した。
  この発表によると、2022年4月29日にgov.ro/mapn.ro/ politiadefrontiera.ro/cfrcalatori.ro/otpbank.ro等のサイトがDDoS攻撃によりダウンしたとのこと。この攻撃に関して、Telegram の通信チャネルで「Killnet」が犯行声明を出した。

3.     ラトビア・リトアニア等が5月以降Killnetの攻撃を受けている
ラトビア　リガのソ連記念碑解体をめぐって、5月以降ラトビアがKillnetから攻撃を受けていることを、ラトビア Cert.lvの副所長である Varis Teivānsが2022/06/29のラジオのインタビューで語った。また、リトアニアも同様にKillnetのターゲットとなっている。

4.     「Slow HTTP」DDoSでイタリア政府のWebサイトを攻撃 イタリアの Computer Security Incident Response Team (CSIRT) は、2022/05/13に、重要な政府サイトに対する最近の DDoS 攻撃を明らかにした。

5.     日本への攻撃
2022年9月6日、KillnetがTelegramに日本国内のサイトに対しての攻撃を示唆する内容を投稿。午後6時ごろから9時ごろまで、e-Gov/eLTAXのWebサイトにアクセスできない障害が発生した。  また、JCBやmixi、東京メトロ、大阪メトロ、名古屋港管理組合等でも障害が発生した。
また、7日には正午ごろに、電子申請サービスが正常に利用できない状況になった。完全復旧を発表したのは9日午前6時ごろ。原因はシステム内部の問題であり、外部からの攻撃の影響ではなかったというため、Killnetとの関連は現段階で断定はされていない。河野大臣は攻撃の発信元などについては言及しない姿勢を見せている。

　2022年9月7日の官房長官記者会見での説明では、デジタル庁所管の「e-Gov」ほか、総務省、文部科学省、宮内庁の4省庁、計23サイトおよび総務省関連団体が運営する「eLTAX」について 一時閲覧ができなくなっていたが、７日夜中に順次閲覧が可能な状況となっていたこと。また、これらのシステムから情報の漏えい等は現時点で確認されていないことが明らかにされた。

参考情報
U.S. Airport Hit With Cyberattack Over Ukraine: ‘No One Is Afraid of You’ (Newsweek)
https://www.newsweek.com/us-airport-hit-cyberattack-over-ukraine-no-one-afraid-you-1692903
@Cyberknow20（Twitter）
https://twitter.com/Cyberknow20/status/1508774674070532102?s=20&t=7nhh7OeW8NPEcPGKPRvleQ
Comunicat de presă: Site-uri .ro afectate de un atac de tip DDoS (distributed denial of service)
https://dnsc.ro/citeste/comunicat-site-uri-ro-afectate-de-un-atact-de-tip-ddos
Russian hackers have been targeting Latvia and Lithuania
https://eng.lsm.lv/article/society/defense/russian-hackers-have-been-targeting-latvia-and-lithuania.a463401/
Attacchi DDOS ai danni di soggetti nazionali ed internazionali avvenuti a partire dall’11 Maggio 2022: Analisi e mitigazione* (BL01/220513/CSIRT-ITA)
https://www.csirt.gov.it/contenuti/attacchi-ddos-ai-danni-di-soggetti-nazionali-ed-internazionali-avvenuti-a-partire-dall11-maggio-2022-analisi-e-mitigazione-bl01-220513-csirt-ita
「2日連続のe-Gov障害、原因は別だった KILLNETの関与は“言及しない”」（ITメディア）
https://www.itmedia.co.jp/news/articles/2209/14/news175.html
【全文】”サイバー攻撃”4省庁で影響も「情報漏えいなし」 官房長官会見（9/7午前）（日テレNews）
https://news.ntv.co.jp/category/politics/5ccb10a4a82043839d205b3f6cc94a67

5 Where（どこで）

以下、日本のものだけを取り上げる。

e-Gov:
2022/09/07 電子申請、政策に関する企画・提案へのログイン等ができない状況（2022/09/09 復旧）

eLTAX:
2022/09/06 16：30頃から地方税共同機構が運営するeLTAX（地方税ポータルシステム）のホームページ及び同機構のホームページにアクセスできない状況（2022/09/08 朝に復旧）

東京メトロ：
2022/09/06 19時以降、公式ホームページにアクセスしにくい状況（2022/09/07 23時に復旧）

大阪メトロ：
2022/09/07 21時頃から24時頃までの間、公式ホームページにアクセスしにくい状況が生じた（ 2022/09/08に復旧）

名古屋港管理組合：
2022/09/06 22時12分〜22時53分　組合ホームページに一時的に接続できない事象が発生

JCB：
2022/09/06 17時21分から一部のサイトがアクセスできないという事象が発生

mixi：
2022/09/06 20時頃からアクセスしづらい状況が発生。2022/09/07 11時頃には平常通りに戻った。

参考情報
e-Govで発生中の事象について（9/7）【9/9更新：復旧済み】
https://www.e-gov.go.jp/news/2022-09-07t1207300900_773.html
eLTAXホームページ等への接続障害の復旧について
https://www.eltax.lta.go.jp/news/06146
東京メトロ【公式】@tokyometro_info (twitter)
https://twitter.com/tokyometro_info/status/1567512236083785735?s=20&t=T9owLeYTSSF7wBSH89IkbQ
当社公式ホームページのアクセス障害につきまして（大阪メトロ）
https://subway.osakametro.co.jp/news/news/other/20220908_hp_owabi.php
本組合ホームページに接続できなかった事象について（名古屋港管理組合）
https://www.port-of-nagoya.jp/_res/projects/default_project/_page_/001/000/001/20220907.pdf
【復旧】一部の弊社サイトがアクセスできなかった事象について
https://www.jcb.co.jp/news/system_20220906.html
mixi(公式) @mixi_official  (twitter)
https://twitter.com/mixi_official/status/1567110075973779456?s=20&t=IIJrLar7I23wK3O7nSC_3w

7 Why（なぜ）

　2022/02/24に始まったロシアによるウクライナ侵攻に伴った、ロシア側と協調するサイバー攻撃活動と思われる。

　2022/04/20 機密情報共有の枠組み、いわゆる「Five Eyes」（ファイブアイズ）参加国の8つの情報機関が、共同でサイバーセキュリティ勧告（CSA）を発表した。

　この勧告は、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁（CISA）、米連邦捜査局（FBI）、米国家安全保障局（NSA）、オーストラリアサイバーセキュリティセンター（ACSC）、カナダサイバーセキュリティセンター（CCCS）、ニュージーランドサイバーセキュリティセンター（NCSC）、国家サイバーセキュリティセンター（NCSC）、国家犯罪対策庁（NCA）が共同で発表したものになる。

　このアドバイザリによると、ロシア・ウクライナ紛争で幾つかのサイバー犯罪グループがロシア政府への支持を公言するサイバー犯罪グループが存在しており、ロシア政府やロシア国民に対するサイバー攻撃が認識された場合、報復としてサイバー作戦を実施すると脅している。また、ウクライナに物資支援を行っている国や組織に対してサイバー攻撃を仕掛けると脅迫するグループもある。

　ロシアと協調し、重要インフラ組織を脅かすサイバー犯罪グループとして
　　1.      Killnet
　　2.      Mummy Spider
　　3.      Wizard Spider
　　4.      The Xaknet Team
　　5.      The CoomingProject
　　6.      Salty Spider
　　7.      Scully Spider
　　8.      Smokey Spider
　これらの名前が挙げられている。

　ファイブアイズ参加国の各サイバーセキュリティ機関は、ウクライナ侵攻以降、複数のロシア政府機関がITネットワークに悪質なサイバー攻撃を仕掛けているのを確認している。

●    ロシア連邦保安庁（FSB）
●    ロシア対外情報庁（SVR）
●    ロシア軍参謀本部情報総局（GRU）

　などの機関が、IT/OTネットワークに悪質なサイバー攻撃を仕掛けているとして、重要インフラネットワークに対し、サイバー対策の強化や悪質な活動の兆候を掴む努力を行い、マルウェア、ランサムウェア、DDoS攻撃、サイバースパイなどのサイバー脅威に備えるよう呼びかけている。

　そのため、今回日本に対するサイバー攻撃が確認されたKillnet以外にも、上記に上げたサイバー犯罪グループに対しては注意が必要である。

参考情報
Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure.
https://media.defense.gov/2022/Apr/20/2002980529/-1/-1/1/JOINT_CSA_RUSSIAN_STATE-SPONSORED_AND_CRIMINAL_CYBER_THREATS_TO_CRITICAL_INFRASTRUCTURE_20220420.PDF

8 How（どのように）

概要

　Killnetが使用する技術に関しては、これまでの攻撃の中でイタリアのCSIRTが解析を行っている。これによるとKillnet が使用する技術には次のようなものがあると述べている。

●  ICMP Flood
●  IP Fragmentation
●  TCP SYN Flood
●  TCP RST Flood
●  TCP SYN / ACK
●  NTP Flood
●  DNS Amplification
●  LDAP Connection less (CLAP)

　イタリアの場合、攻撃は３段階で行われた。攻撃は 40 GBPS でピークに達し、10 時間以上続いた。

1. TCP-SYN Flood、UDP・TCP SYN / ACK 攻撃・DNSアンプ・IP フラグメンテーション攻撃をセットにした攻撃
2. IP フラグメンテーション攻撃から始まり、第一段階のセットからDNSアンプを除いた攻撃
3. Volumetric攻撃とリソース消費を狙った攻撃

　また、Web サイトへのDDoS攻撃の中でいわゆる「Slow HTTP DoS」攻撃が使用されたと説明している。Slow HTTP DoS攻撃はSlow HTTP Headers攻撃／Slow HTTP POST攻撃などの総称で、セッションを意図的に引き延ばしWebサーバーの同時セッション数を増大させて、サービスを利用不能に陥らせる攻撃である。

Slow HTTP DoS

　Slow HTTP DoS攻撃はセッションを意図的に引き延ばしWebサーバーの同時セッション数を増大させて、サービスを利用不能に陥らせる攻撃である。本来WWWサービスにおけるセッションは、SSHサービスなどのように長く保持されないものである。しかしこれを意図的に引き伸ばすことによって、WWWサーバの同時セッション数を増大させて、サービスを提供するサーバをほかからアクセスさせないだけのセッション数を発生させる。

　Slow HTTP DoS攻撃の種類は次の通り。

1.Slow HTTP Headers攻撃
　　a.    待機時間を挟みながら、長大な HTTP リクエストヘッダ を送信し続けることにより、TCP セッションの占有を図る攻撃手法。
2.Slow HTTP Post攻撃
　　a.    HTTP の POST メソッドを悪用して、待機時間を挟みなが ら、長大な HTTP リクエストボディ（POST ペイロード）を送信し続けることにより、TCP セッ ションの占有を図る攻撃手法。
3.Slow Read DoS攻撃
　　a.    非常に小さな TCP ウィンドウサイズを指定して、Web サーバ からの HTTP レスポンスを少しずつ受信することにより、セッションの継続時間を引き延ば す攻撃手法。

参考情報
Attacchi DDOS ai danni di soggetti nazionali ed internazionali avvenuti a partire dall’11 Maggio 2022: Analisi e mitigazione* (BL01/220513/CSIRT-ITA)
https://www.csirt.gov.it/contenuti/attacchi-ddos-ai-danni-di-soggetti-nazionali-ed-internazionali-avvenuti-a-partire-dall11-maggio-2022-analisi-e-mitigazione-bl01-220513-csirt-ita

Slow HTTP DoS攻撃の手法と防御方法について
https://www.jstage.jst.go.jp/article/jacn/20/1/20_JACN20-1-16/_pdf/-char/ja

Slow HTTP DoS Attack に対する注意喚起について
https://www.npa.go.jp/cyberpolice/detect/pdf/20151216.pdf

11 対策

概要

　基本的には日々、脅威インテリジェンスの情報収集を行い、脅威発生時には、即時対応できる体制を整える必要が有る。

　また、Killnetで多く使われる攻撃は”DoS”のため
　●   一般的なDoS攻撃に対応できるFWやルータなどの導入
　●   WAFの導入
などが考えられる。

　また、イタリアのCSIRTではKillnetへの対策として一般的なDDoS攻撃対策とともにこのSlow HTTP DoS攻撃に対する下記のような緩和策も推奨されている。
　●   サポートされていない HTTP メソッドとの接続を拒否
　●   メッセージのヘッダーと本文を妥当な長さに制限
　●   可能であれば、接続のタイムアウトを設定

　具体的な設定としてApache/Nginxを挙げておく

Apache

Mod_reqtimeout
Mod_reqtimeoutモジュールを使って、下記のようにタイムアウトを設定します。

<IfModule mod_reqtimeout.c>    
　RequestReadTimeout header=20-40,MinRate=500 body=20-40,MinRate=500
</IfModule>

mod_qos
Mod_qosモジュールを使って、下記のようにApacheのQoSを設定する。

<IfModule mod_qos.c>
  # handle connections from up to 100000 different IPs
  QS_ClientEntries 100000
  # allow only 50 connections per IP
  QS_SrvMaxConnPerIP 50
  # limit the maximum number of active TCP connections to 256
  MaxClients 256
  # disables keep-alive when 180 (70%) TCP connections are occupied
  QS_SrvMaxConnClose 180
  # minimum request/response speed
  # (deny clients that keep connections open without requesting anything)
  QS_SrvMinDataRate 150 1200
</IfModule>

Mod_security
mod_securityを使ってWAFでSlow HTTP DoS攻撃を防ぐ

SecRule RESPONSE_STATUS “@streq 408” “phase:5,t:none,nolog,pass,
  setvar:ip.slow_dos_counter=+1, expirevar:ip.slow_dos_counter=60, id:’1234123456′”
SecRule IP:SLOW_DOS_COUNTER “@gt 5” “phase:1,t:none,log,drop,
  msg:’Client Connection Dropped due to high number of slow DoS alerts’, id:’1234123457′”

Nginx

NGINX worker connections limit

 events { worker_connections 768; }

  を、下記のように変える

    events { worker_connections 100000; }

system open file limit

 $ cat /proc/sys/fs/file-max

で現在のOS上でオープンできるファイルの最大数が表示されるので

/etc/sysctl.confを編集して

fs.file-max = 500000

等とする。

user’s open file limit
前述はOS上でオープンできるファイルの最大数の設定だが、Linuxではユーザごとにファイルの最大数の設定が有るので、www-dataユーザがオープンできるファイル最大数を変更する。
/etc/security/limits.confを編集して

*                soft    nofile          102400
*                hard    nofile          409600
www-data         soft    nofile          102400
www-data         hard    nofile          409600

等とする。

NGINX’s worker number of open files limit
nginxのworkerでオープンできるファイルの最大数を変更する。/etc/nginx/nginx.confで 

worker_rlimit_nofile 102400;

等とする。

（20xx年xx月xx日 現在）

参考文献
Mitigate Slow HTTP GET/POST Vulnerabilities in the Apache HTTP Server
https://www.acunetix.com/blog/articles/slow-http-dos-attacks-mitigate-apache-http-server/
K42552578: Mitigating Slow HTTP POST attacks
https://support.f5.com/csp/article/K42552578
Slowloris DoS Attack and Mitigation on NGINX Web Server
https://hexadix.com/slowloris-dos-attack-mitigation-nginx-web-server/

まとめ

　本事案は、自組織には、影響がなかったが、事前対策として、下記が必要である。

●  異常を検知する仕組みの導入と定期的な動作確認を行う。
●  DoS攻撃に備えたFWやルータ、WAF等の設置を行う
●  Apache/Nginx等のWebサーバの設定を行い、Slow HTTP DoS攻撃に耐えられるようにする
●  自組織の外部から、異常を連絡してもらえるよう、窓口を設置する。
●  日々、脅威インテリジェンスの情報収集を行い、最新のセキュリティ動向を知る。
●  脅威（インシデント）発生時には、即時対応できる体制を整える。また、その体制にて、定期的にテーブルトップ（机上演習）などを実施する。
●  稼働中のシステムは、定期的に、セキュリティ診断を実施する。
●  稼働前のシステムは、稼働前に、セキュリティ診断を実施する。