「セキュ塾」では様々なトレーニングを行っていますが、その中で「脅威インテリジェンス」というトレーニングがあります。
こちらでは、「インテリジェンス」「脅威インテリジェンス」について、その内容と手法としてのOSINT、及び成果物としてのレポートの作成方法を教えています。
この記事では、脅威インテリジェンスを担当するエンジニアに求められるレポートの作成技術を、実際にトレーニングで作成されたレポートを基に解説していきます。
解説するのは、2022年の秋に行われたトレーニングでのサンプルレポート「Killnetについて」になります。下記のような状況を想定したレポートになっています。
- テレビや新聞で取り上げられている「Killnet」に関して、自社でも同じリスクがあるのか」と上長がCEOから相談を受けた。
- 上長には「Killnetの活動の背景」と「自社のリスク」について、報告の必要がある。
- 自組織には、被害が出ていない。
- 上長は、CIO(技術者)。
それでは早速、内容を見ていきましょう。
1.概要
概要には、本レポートの導入となる情報を記載します。
1 概要
2022年9月6日、親ロシア派のハクティビストであるKillnetがTelegramに日本国内のサイトに対しての攻撃を示唆する内容を投稿。同日の午後6時ごろから9時ごろまで、e-Gov/eLTAXのWebサイトにアクセスできない障害が発生した。 また、JCBやmixi、東京メトロ、大阪メトロ、名古屋港管理組合等でも障害が発生した。
2022年9月7日には正午ごろに、電子申請サービスが正常に利用できない状況になった。完全復旧を発表したのは2022年9月9日午前6時頃となる。
本レポートでは、Killnetによる一連の攻撃と攻撃手法を過去から時系列に追っていく。
2.エグゼクティブサマリー
エグゼクティブサマリーとして、各章で記載されている内容の要約を表でまとめます。
項目 | 内容 |
Who(誰が) | ・犯罪組織 Killnet |
When(いつ) | 2022年9月6日() |
Where(どこで) | e-Gov, eLTAX, JCB, mixi, 東京メトロ, 大阪メトロ, 名古屋港管理組合等 |
What(何を) | ・各Webサービスを提供しているサーバに対してDDoS攻撃を仕掛ける ・DDoSは |
Why(なぜ) | ロシア・ウクライナ紛争でウクライナ側をサポートしている国々への脅迫 |
How(どのように) | 現段階では不明 |
被害範囲 | 電子申請システム、並びに各サービスを提供しているWebサイトが一時的に利用不可能になる。 |
自組織の状況 | 20xx年xx月xx日 現在、特にトラフィック等で以上は見られない |
対策 | ・Network上のFirewallによるDDoS抑制 ・各Webサーバの設定変更 ・日々、脅威インテリジェンスの情報収集を行い、脅威発生時には、即時対応できるよう体制を整える |
3.Who(誰が)
Killnet が誰によってもたらされたものかを、集約します。
3 Who (誰が)
・ハクティビスト Killnet
Degital Shadows社のIvan Righi氏によれば、Killnetは新ロシア派のハクティビストであり、ロシア政府が背後にいるという形式ではないとされている。元々KillnetはDDoS攻撃を行うためのツールとして開発されており、2022年1月23日にサブスクリプションベースでボットネットを月額$1,350で提供していた。その後、2月末のロシア侵攻を受けて、2022年3月にKillnet2.0をリリースした後にDDoS攻撃ツールのプロバイダからハクティビストグループへと変貌している。
ロシアのオンラインニュースサイト「Lenta.ru」によるKillnet創設者Killmilk氏へのインタビューによると
「killmilk: Killnet はもともと、ダーク Web 上のサービスとして登場しました。DDoS 攻撃を組織するためのサービスをすべての人に提供しましたが、場合によっては提供しませんでした。しばらくして、サーバーにストレスを与えてテストできるマルチユーザーツールを市場に投入することにしました。プロジェクトが存在する間、政府などから特別な注文を受けたことは一度もありません」
とのため、当初は純粋にダークWeb上のDDoS攻撃ツールプロバイダとして存在していた模様である。
更に4月にLenta.net(ロシアのWebメディア)のインタビューによると
● 4月まではKillnetは単なるビジネスだったが、西側のメディアや諜報機関の注目を集めるようになり、Killnet は親ロシア派のハッカー グループとしてレッテルを貼られ、Killnetという単語を出しただけで活動をブロックされた。そのためやむにやまれず、ボットネットの商用利用を一時停止することを決定し、ウクライナ・ NATO 諸国とロシアとの戦いを支援することに注力した。
● 上記のような経緯から、攻撃対象からお金を脅迫する事は考えていない
● 活動の同調者やロシアの愛国者達によって資金提供されており、ロシア政府からは資金を提供されていない。
● Killnetには 現在4500 人以上が参加しており、Killnet は標的を絞ったハッカーというよりもハクティビスト運動になっている
● Killnetは同名のボットネットとそれに関連するすべてのハクティビスト アクションを実行しており、多くのサブディビジョンに分かれて活動を行っている(同期は時々取っている)。
との事である。
9/27 TelegramにKillmilk氏によるメッセージが出された。これによると資金の枯渇によりKillnetを停止するとの事である。こちらに関しては今後の動向を見定めていく必要が有る。
参考情報
Killnet: The Hactivist Group That Started A Global Cyber War
https://www.digitalshadows.com/blog-and-research/killnet-the-hactivist-group-that-started-a-global-cyber-war/
「Lenta.ru」によるKillnet創設者Killmilk氏へのインタビュー
https://lenta.ru/articles/2022/04/15/killnet/
4.When(いつ)
Killnet に関するアクティビティがいつ行われているのかを集約します。
4 When(いつ)
Killnetはウクライナを支援する国家に対して以下のような攻撃を行っている。
1. USのへの攻撃
2022年3月、アメリカコネチカット州にあるブラッドリー国際空港の Web サイトが、サイバー攻撃を受けた。 ハッカーが残したメッセージには、ウクライナへの武器供給の停止を求める要求と、「アメリカを恐れていない」とのメッセージが書かれていた。2022年3月29日、Killnetが犯行声明を発表。
2. ルーマニア政府及びインフラへのDDoS攻撃
ルーマニア国家サイバーセキュリティ局 (DNSC)は、複数の政府機関及び民間サービスのWeb サイトを標的としたDDoS攻撃について発表した。
この発表によると、2022年4月29日にgov.ro/mapn.ro/ politiadefrontiera.ro/cfrcalatori.ro/otpbank.ro等のサイトがDDoS攻撃によりダウンしたとのこと。この攻撃に関して、Telegram の通信チャネルで「Killnet」が犯行声明を出した。
3. ラトビア・リトアニア等が5月以降Killnetの攻撃を受けている
ラトビア リガのソ連記念碑解体をめぐって、5月以降ラトビアがKillnetから攻撃を受けていることを、ラトビア Cert.lvの副所長である Varis Teivānsが2022/06/29のラジオのインタビューで語った。また、リトアニアも同様にKillnetのターゲットとなっている。
4. 「Slow HTTP」DDoSでイタリア政府のWebサイトを攻撃 イタリアの Computer Security Incident Response Team (CSIRT) は、2022/05/13に、重要な政府サイトに対する最近の DDoS 攻撃を明らかにした。
5. 日本への攻撃
2022年9月6日、KillnetがTelegramに日本国内のサイトに対しての攻撃を示唆する内容を投稿。午後6時ごろから9時ごろまで、e-Gov/eLTAXのWebサイトにアクセスできない障害が発生した。 また、JCBやmixi、東京メトロ、大阪メトロ、名古屋港管理組合等でも障害が発生した。
また、7日には正午ごろに、電子申請サービスが正常に利用できない状況になった。完全復旧を発表したのは9日午前6時ごろ。原因はシステム内部の問題であり、外部からの攻撃の影響ではなかったというため、Killnetとの関連は現段階で断定はされていない。河野大臣は攻撃の発信元などについては言及しない姿勢を見せている。
2022年9月7日の官房長官記者会見での説明では、デジタル庁所管の「e-Gov」ほか、総務省、文部科学省、宮内庁の4省庁、計23サイトおよび総務省関連団体が運営する「eLTAX」について 一時閲覧ができなくなっていたが、7日夜中に順次閲覧が可能な状況となっていたこと。また、これらのシステムから情報の漏えい等は現時点で確認されていないことが明らかにされた。
参考情報
U.S. Airport Hit With Cyberattack Over Ukraine: ‘No One Is Afraid of You’ (Newsweek)
https://www.newsweek.com/us-airport-hit-cyberattack-over-ukraine-no-one-afraid-you-1692903
@Cyberknow20(Twitter)
https://twitter.com/Cyberknow20/status/1508774674070532102?s=20&t=7nhh7OeW8NPEcPGKPRvleQ
Comunicat de presă: Site-uri .ro afectate de un atac de tip DDoS (distributed denial of service)
https://dnsc.ro/citeste/comunicat-site-uri-ro-afectate-de-un-atact-de-tip-ddos
Russian hackers have been targeting Latvia and Lithuania
https://eng.lsm.lv/article/society/defense/russian-hackers-have-been-targeting-latvia-and-lithuania.a463401/
Attacchi DDOS ai danni di soggetti nazionali ed internazionali avvenuti a partire dall’11 Maggio 2022: Analisi e mitigazione* (BL01/220513/CSIRT-ITA)
https://www.csirt.gov.it/contenuti/attacchi-ddos-ai-danni-di-soggetti-nazionali-ed-internazionali-avvenuti-a-partire-dall11-maggio-2022-analisi-e-mitigazione-bl01-220513-csirt-ita
「2日連続のe-Gov障害、原因は別だった KILLNETの関与は“言及しない”」(ITメディア)
https://www.itmedia.co.jp/news/articles/2209/14/news175.html
【全文】”サイバー攻撃”4省庁で影響も「情報漏えいなし」 官房長官会見(9/7午前)(日テレNews)
https://news.ntv.co.jp/category/politics/5ccb10a4a82043839d205b3f6cc94a67
5.Where(どこで)
日本において Killnet がどこに影響を及ぼしているかを集約します。
5 Where(どこで)
以下、日本のものだけを取り上げる。
e-Gov:
2022/09/07 電子申請、政策に関する企画・提案へのログイン等ができない状況(2022/09/09 復旧)
eLTAX:
2022/09/06 16:30頃から地方税共同機構が運営するeLTAX(地方税ポータルシステム)のホームページ及び同機構のホームページにアクセスできない状況(2022/09/08 朝に復旧)
東京メトロ:
2022/09/06 19時以降、公式ホームページにアクセスしにくい状況(2022/09/07 23時に復旧)
大阪メトロ:
2022/09/07 21時頃から24時頃までの間、公式ホームページにアクセスしにくい状況が生じた( 2022/09/08に復旧)
名古屋港管理組合:
2022/09/06 22時12分〜22時53分 組合ホームページに一時的に接続できない事象が発生
JCB:
2022/09/06 17時21分から一部のサイトがアクセスできないという事象が発生
mixi:
2022/09/06 20時頃からアクセスしづらい状況が発生。2022/09/07 11時頃には平常通りに戻った。
参考情報
e-Govで発生中の事象について(9/7)【9/9更新:復旧済み】
https://www.e-gov.go.jp/news/2022-09-07t1207300900_773.html
eLTAXホームページ等への接続障害の復旧について
https://www.eltax.lta.go.jp/news/06146
東京メトロ【公式】@tokyometro_info (twitter)
https://twitter.com/tokyometro_info/status/1567512236083785735?s=20&t=T9owLeYTSSF7wBSH89IkbQ
当社公式ホームページのアクセス障害につきまして(大阪メトロ)
https://subway.osakametro.co.jp/news/news/other/20220908_hp_owabi.php
本組合ホームページに接続できなかった事象について(名古屋港管理組合)
https://www.port-of-nagoya.jp/_res/projects/default_project/_page_/001/000/001/20220907.pdf
【復旧】一部の弊社サイトがアクセスできなかった事象について
https://www.jcb.co.jp/news/system_20220906.html
mixi(公式) @mixi_official (twitter)
https://twitter.com/mixi_official/status/1567110075973779456?s=20&t=IIJrLar7I23wK3O7nSC_3w
6.What(何を)
Killnet の主たる攻撃アクティビティを集約します。
※ 本レポートでは 8.How に集約
6 What(何を) DDoS攻撃を実施。具体的な攻撃は8.Howを参照 |
7.Why(なぜ)
Killnet の攻撃アクティビティの主たるモチベーションを集約します。
7 Why(なぜ)
2022/02/24に始まったロシアによるウクライナ侵攻に伴った、ロシア側と協調するサイバー攻撃活動と思われる。
2022/04/20 機密情報共有の枠組み、いわゆる「Five Eyes」(ファイブアイズ)参加国の8つの情報機関が、共同でサイバーセキュリティ勧告(CSA)を発表した。
この勧告は、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)、米連邦捜査局(FBI)、米国家安全保障局(NSA)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランドサイバーセキュリティセンター(NCSC)、国家サイバーセキュリティセンター(NCSC)、国家犯罪対策庁(NCA)が共同で発表したものになる。
このアドバイザリによると、ロシア・ウクライナ紛争で幾つかのサイバー犯罪グループがロシア政府への支持を公言するサイバー犯罪グループが存在しており、ロシア政府やロシア国民に対するサイバー攻撃が認識された場合、報復としてサイバー作戦を実施すると脅している。また、ウクライナに物資支援を行っている国や組織に対してサイバー攻撃を仕掛けると脅迫するグループもある。
ロシアと協調し、重要インフラ組織を脅かすサイバー犯罪グループとして
1. Killnet
2. Mummy Spider
3. Wizard Spider
4. The Xaknet Team
5. The CoomingProject
6. Salty Spider
7. Scully Spider
8. Smokey Spider
これらの名前が挙げられている。
ファイブアイズ参加国の各サイバーセキュリティ機関は、ウクライナ侵攻以降、複数のロシア政府機関がITネットワークに悪質なサイバー攻撃を仕掛けているのを確認している。
● ロシア連邦保安庁(FSB)
● ロシア対外情報庁(SVR)
● ロシア軍参謀本部情報総局(GRU)
などの機関が、IT/OTネットワークに悪質なサイバー攻撃を仕掛けているとして、重要インフラネットワークに対し、サイバー対策の強化や悪質な活動の兆候を掴む努力を行い、マルウェア、ランサムウェア、DDoS攻撃、サイバースパイなどのサイバー脅威に備えるよう呼びかけている。
そのため、今回日本に対するサイバー攻撃が確認されたKillnet以外にも、上記に上げたサイバー犯罪グループに対しては注意が必要である。
参考情報
Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure.
https://media.defense.gov/2022/Apr/20/2002980529/-1/-1/1/JOINT_CSA_RUSSIAN_STATE-SPONSORED_AND_CRIMINAL_CYBER_THREATS_TO_CRITICAL_INFRASTRUCTURE_20220420.PDF
8.How(どのように)
Killnet がどのように攻撃を実施しているか集約します。
8 How(どのように)
概要
Killnetが使用する技術に関しては、これまでの攻撃の中でイタリアのCSIRTが解析を行っている。これによるとKillnet が使用する技術には次のようなものがあると述べている。
● ICMP Flood
● IP Fragmentation
● TCP SYN Flood
● TCP RST Flood
● TCP SYN / ACK
● NTP Flood
● DNS Amplification
● LDAP Connection less (CLAP)
イタリアの場合、攻撃は3段階で行われた。攻撃は 40 GBPS でピークに達し、10 時間以上続いた。
1. TCP-SYN Flood、UDP・TCP SYN / ACK 攻撃・DNSアンプ・IP フラグメンテーション攻撃をセットにした攻撃
2. IP フラグメンテーション攻撃から始まり、第一段階のセットからDNSアンプを除いた攻撃
3. Volumetric攻撃とリソース消費を狙った攻撃
また、Web サイトへのDDoS攻撃の中でいわゆる「Slow HTTP DoS」攻撃が使用されたと説明している。Slow HTTP DoS攻撃はSlow HTTP Headers攻撃/Slow HTTP POST攻撃などの総称で、セッションを意図的に引き延ばしWebサーバーの同時セッション数を増大させて、サービスを利用不能に陥らせる攻撃である。
Slow HTTP DoS
Slow HTTP DoS攻撃はセッションを意図的に引き延ばしWebサーバーの同時セッション数を増大させて、サービスを利用不能に陥らせる攻撃である。本来WWWサービスにおけるセッションは、SSHサービスなどのように長く保持されないものである。しかしこれを意図的に引き伸ばすことによって、WWWサーバの同時セッション数を増大させて、サービスを提供するサーバをほかからアクセスさせないだけのセッション数を発生させる。
Slow HTTP DoS攻撃の種類は次の通り。
1.Slow HTTP Headers攻撃
a. 待機時間を挟みながら、長大な HTTP リクエストヘッダ を送信し続けることにより、TCP セッションの占有を図る攻撃手法。
2.Slow HTTP Post攻撃
a. HTTP の POST メソッドを悪用して、待機時間を挟みなが ら、長大な HTTP リクエストボディ(POST ペイロード)を送信し続けることにより、TCP セッ ションの占有を図る攻撃手法。
3.Slow Read DoS攻撃
a. 非常に小さな TCP ウィンドウサイズを指定して、Web サーバ からの HTTP レスポンスを少しずつ受信することにより、セッションの継続時間を引き延ば す攻撃手法。
参考情報
Attacchi DDOS ai danni di soggetti nazionali ed internazionali avvenuti a partire dall’11 Maggio 2022: Analisi e mitigazione* (BL01/220513/CSIRT-ITA)
https://www.csirt.gov.it/contenuti/attacchi-ddos-ai-danni-di-soggetti-nazionali-ed-internazionali-avvenuti-a-partire-dall11-maggio-2022-analisi-e-mitigazione-bl01-220513-csirt-ita
Slow HTTP DoS攻撃の手法と防御方法について
https://www.jstage.jst.go.jp/article/jacn/20/1/20_JACN20-1-16/_pdf/-char/ja
Slow HTTP DoS Attack に対する注意喚起について
https://www.npa.go.jp/cyberpolice/detect/pdf/20151216.pdf
9.被害範囲
Killnet の攻撃で発生した被害範囲を集約します。
9 被害範囲 ロシア・ウクライナ紛争でウクライナを支持する国々への攻撃となっている。主に政府に関わるサービス・インフラに関わるサービスが狙われる傾向が有るが、国家内での大企業も狙われる傾向に有る。 |
10.自組織の状況
自組織に対する攻撃の兆候やモニタリングにおける検知状況などを集約します。
※ 本掲載記事はサンプルのため割愛
10 自組織の状況 20XX年XX月XX日 現在は特にDoS攻撃の兆候は検知されていない。 |
11.対策
11 対策
概要
基本的には日々、脅威インテリジェンスの情報収集を行い、脅威発生時には、即時対応できる体制を整える必要が有る。
また、Killnetで多く使われる攻撃は”DoS”のため
● 一般的なDoS攻撃に対応できるFWやルータなどの導入
● WAFの導入
などが考えられる。
また、イタリアのCSIRTではKillnetへの対策として一般的なDDoS攻撃対策とともにこのSlow HTTP DoS攻撃に対する下記のような緩和策も推奨されている。
● サポートされていない HTTP メソッドとの接続を拒否
● メッセージのヘッダーと本文を妥当な長さに制限
● 可能であれば、接続のタイムアウトを設定
具体的な設定としてApache/Nginxを挙げておく
Apache
Mod_reqtimeout
Mod_reqtimeoutモジュールを使って、下記のようにタイムアウトを設定します。
<IfModule mod_reqtimeout.c>
RequestReadTimeout header=20-40,MinRate=500 body=20-40,MinRate=500
</IfModule>
mod_qos
Mod_qosモジュールを使って、下記のようにApacheのQoSを設定する。
<IfModule mod_qos.c>
# handle connections from up to 100000 different IPs
QS_ClientEntries 100000
# allow only 50 connections per IP
QS_SrvMaxConnPerIP 50
# limit the maximum number of active TCP connections to 256
MaxClients 256
# disables keep-alive when 180 (70%) TCP connections are occupied
QS_SrvMaxConnClose 180
# minimum request/response speed
# (deny clients that keep connections open without requesting anything)
QS_SrvMinDataRate 150 1200
</IfModule>
Mod_security
mod_securityを使ってWAFでSlow HTTP DoS攻撃を防ぐ
SecRule RESPONSE_STATUS “@streq 408” “phase:5,t:none,nolog,pass,
setvar:ip.slow_dos_counter=+1, expirevar:ip.slow_dos_counter=60, id:’1234123456′”
SecRule IP:SLOW_DOS_COUNTER “@gt 5” “phase:1,t:none,log,drop,
msg:’Client Connection Dropped due to high number of slow DoS alerts’, id:’1234123457′”
Nginx
NGINX worker connections limit
events { worker_connections 768; }
を、下記のように変える
events { worker_connections 100000; }
system open file limit
$ cat /proc/sys/fs/file-max
で現在のOS上でオープンできるファイルの最大数が表示されるので
/etc/sysctl.confを編集して
fs.file-max = 500000
等とする。
user’s open file limit
前述はOS上でオープンできるファイルの最大数の設定だが、Linuxではユーザごとにファイルの最大数の設定が有るので、www-dataユーザがオープンできるファイル最大数を変更する。
/etc/security/limits.confを編集して
* soft nofile 102400
* hard nofile 409600
www-data soft nofile 102400
www-data hard nofile 409600
等とする。
NGINX’s worker number of open files limit
nginxのworkerでオープンできるファイルの最大数を変更する。/etc/nginx/nginx.confで
worker_rlimit_nofile 102400;
等とする。
(20xx年xx月xx日 現在)
参考文献
Mitigate Slow HTTP GET/POST Vulnerabilities in the Apache HTTP Server
https://www.acunetix.com/blog/articles/slow-http-dos-attacks-mitigate-apache-http-server/
K42552578: Mitigating Slow HTTP POST attacks
https://support.f5.com/csp/article/K42552578
Slowloris DoS Attack and Mitigation on NGINX Web Server
https://hexadix.com/slowloris-dos-attack-mitigation-nginx-web-server/
まとめ
さいごに総括を記載します。
まとめ
本事案は、自組織には、影響がなかったが、事前対策として、下記が必要である。
● 異常を検知する仕組みの導入と定期的な動作確認を行う。
● DoS攻撃に備えたFWやルータ、WAF等の設置を行う
● Apache/Nginx等のWebサーバの設定を行い、Slow HTTP DoS攻撃に耐えられるようにする
● 自組織の外部から、異常を連絡してもらえるよう、窓口を設置する。
● 日々、脅威インテリジェンスの情報収集を行い、最新のセキュリティ動向を知る。
● 脅威(インシデント)発生時には、即時対応できる体制を整える。また、その体制にて、定期的にテーブルトップ(机上演習)などを実施する。
● 稼働中のシステムは、定期的に、セキュリティ診断を実施する。
● 稼働前のシステムは、稼働前に、セキュリティ診断を実施する。
脅威モデリングのレポートはいかがだったでしょうか?なかなか読み応えがあるレポートに仕上がっていますが、時にエグゼクティブ向けにこのような正式なレポートを提出する必要があります。
そのような時にセキュリティの専門家として慌てずに情報を集約し、適切なレポートを作成し正しい経営判断につなげる考え方などを【セキュ塾】の「脅威インテリジェンスセミナー」で丁寧に解説していますので、実践力を身に着けたい方はぜひお問い合わせください!
※本コースではRecorded Futureの脅威インテリジェンスツールを活用し脅威インテリジェンスの収集等ハンズオンを行います。
この記事があなたのお役に立てればうれしく思います。
最後までお読みいただき、ありがとうございます。
コメント