DDoS攻撃とハクティビスト

2023年1月3日から4日にかけて、渋谷区の公式WebサイトがAnonymous（アノニマス）を名乗るハッカー集団によると思われるサイバー攻撃によって、つながりにくくなる状況が発生したことは記憶に新しいと思いますが、2022年9月6日から7日にかけて、e-Gov、eLTAX、JCB、mixi、東京メトロなどのWebサイトがKillnet（キルネット）を名乗るハッカー集団によると思われるサイバー攻撃によって、つながりにくくなる状況が発生しました。このような攻撃はDDoS攻撃（ディードス攻撃）、攻撃者はハクティビストと呼ばれています。

DDoS攻撃とは

DDoS攻撃のDDoSはDistributed Denial of Service の略ですが、DistributedとDenial of Service の二つに分けることができます。DoS攻撃（Denial of Service Attack）は、日本語ではサービス不能攻撃やサービス拒否攻撃と訳されているもので、Webサイトを稼働しているサーバやネットワークに過剰な負荷をかけたり脆弱性をついたりすることでサービスを妨害する攻撃です。このDoS攻撃にDistributedを付けたもの、つまりDistributedなDoS攻撃がDDoS攻撃なのですが、攻撃者の分身を多数配置して行うDoS攻撃です。具体的には、踏み台と呼ばれる多数のコンピュータによって標的のWebサイトに大量の通信を送り付けることで、つながりにくい、つまり、サービスが使えない状況を発生させるものです。そのような定義はさておき、わかりやすく言うと、飲食店に迷惑電話をかけ続けると出前の注文が受けづらくなりますが、それと同じようなことをサイバー空間で行うものです。DDoS攻撃の攻撃時間は数10分から1時間ぐらいがほとんどです。丸一日や数日間に渡って行うことも可能ですが、攻撃者側のコストが膨大になるため普通の攻撃者では現実的に不可能です。なお、DDoS攻撃自体によってサーバが破壊されたり、改ざんされたり、情報が抜き取られたりすることはありません。

DDoS攻撃の歴史と代表的手法

インターネットで標準的に用いられているプロコトルにTCP（Transmission Control Protocol）があり、Webサイトの閲覧に使われているHTTPやメール送信に使われているSMTPは、このTCP上で動作しています。1990年代にこのTCPの仕組みを悪用した攻撃手法が発見され、2000年代には、複数のWebサイトに侵入し前述の攻撃を行うプログラムを配置することで攻撃を仕掛けるDDoS攻撃へと進化していきました。この攻撃手法の代表的なものがTCP SYN Floodです。TCPは、最初にクライアント側がSYNパケットを送信しサーバ側がACKパケットを返信、これに再度クライアント側がACKパケットを送り返すことで接続を確立するスリーウェイハンドシェイクが行われます。TCP SYN Floodは、サーバ側がクライアント側からのACKパケットを待っていることに着目しSYNパケットだけを次々と送ることで、サーバ側を待機状態のTCP接続で満たし、新たな接続を受け付けられない状況に陥らせるものです。例えれば、お風呂屋さんにおいて（お風呂に入らずに）下駄箱の鍵だけを次々とかけてしまうと、お客さんが入れない状況になってしまうようなことです。

2005年頃になるとPCをマルウェアに感染させボットネットと呼ばれるPC群を作成する活動が発生するようになりました。そして、このようなボットを用いたDDoS攻撃が登場します。ボットを用いることで、それまでより圧倒的に多数のコンピュータからDDoS攻撃を仕掛けることができるようになり、ライバル企業の妨害や、恐喝、政治的プロパガンダ（国際イベントの妨害等）等さまざまな目的でDDoS攻撃が行われるようになりました。

そして、2010年代に入り、政治的あるいは社会的な主義・主張の為にサイバー攻撃を行うハクティビストが登場します。ハクティビスト（Hacktivist）は、ハッカー（Hacker）と活動家（Activist）を組み合わせた造語です。

2010年にチュニジアで起こったジャスミン革命に関連しAnonymousを名乗ったハッカー集団がチュニジア政府のWebサイトへDDoS 攻撃を行い、以後頻繁にDDoS攻撃を行うようになりました。日本もハクティビストによるDDoS攻撃に無縁ではなく、この頃から毎年9月18日前後に中国から同時多発的にDDoS攻撃やWebサイトの改ざんが発生するようになりました。ちなみに、9月18日は満州事変の発端となった柳条湖事件が発生した日で、この時期、中国では反日運動が盛り上がります。9月18日前後の攻撃についても中国のハクティビストがSNSを通じて攻撃を呼びかけることで発生したものでした。

ハクティビストは、SNSを通じて攻撃を呼びかけたり攻撃ツールを配布したりすることで攻撃力を増大させます。この時期のハクティビストによるDDoS攻撃は、主にHTTP Floodと呼ばれる手法が用いられています。HTTP Floodは、皆さんがブラウザからWebサイトを閲覧する場合と同じHTTPリクエストを使ったものです。最も単純な方法がF5 Attackもしくはリロード攻撃と呼ばれるものでツールを使わずに可能です。特定のWebページを繰り返し再読み込みすることでサーバを過負荷に追い込もうとする攻撃で、キーボードの「F5」キーを押し続けるためにF5 Attackと呼ばれています。攻撃ツールを用いる場合は、プログラムによって多くのページへのリクエストを発生させることで、さらに強力な攻撃力を生むことが可能です。

なお、近年は、それまでと比べ桁違いの通信量を発生させることができるUDP Amplification（UDP増幅）と呼ばれる攻撃手法が主流になっています。

Anonymousとは

Anonymous（アノニマス）は、2006年頃に英語圏の匿名掲示板「4chan」に集まっていた人たちによって結成されたと言われるハクティビスト集団です。Anonymousという名称は、「4chan」で投稿時に名前を入力しないと「名無しさん」を意味する「Anonymous」という名前が表示されるのですが、これが名称の由来だと言われています。

Anonymousは、組織化されていない個人や少人数のグループの集合体であり、かつ、そのつながりも極めて緩やかだと言われています。また、誰もがAnonymousを名乗ることが可能です。例えば、前述の渋谷区WebサイトへのDDoS攻撃については、TwitterにおいてAnonymousを名乗るアカウントより示唆の投稿が行われていましたが、2012年に行われたOpA.C.S.（Anonymous Cleaning Service）のTwitterアカウントは関連を否定しています。つまり、その都度、誰かが何らかの不満や主張を投稿し、同意する人が集まる「この指とまれ方式」で集まっているため、それぞれの活動に関連性はないのです。

ちなみに、Anonymousを名乗る人達が公の場に現れた際に被っている特徴的なマスク（ガイ・フォークス・マスク）は、1605年にロンドンで起こった火薬陰謀事件の加担者として有名なガイ・フォークスの顔を様式化した仮面なのですが、Anonymousが被っている特徴的なデザインは2005年に製作された映画『Vフォー・ヴェンデッタ』で使用されたものと言われています。

Killnetとは

Killnet(キルネット)は、新ロシア派のハクティビストで2022年3月頃に結成されました。2022年2月のロシアによるウクライナ侵攻以降、ウクライナやウクライナを支援している国を標的にしてDDoS攻撃を展開しており、ロシアや欧州でポピュラーなSNSであるTelegramを用いて自身の主張等を投稿しています。メディアからのインタビューでも「普通のロシア人たちの集まり」と答えていますが、国家や軍を背後に持つような組織ではなく、自然発生的に集まった普通の人たちの集まりだと思われます。

ハクティビストによるDDoS攻撃への対処

DDoS攻撃に限らずサイバー攻撃の攻撃者を特定するのは普通、困難なのですが、ハクティビストによる攻撃の場合、SNS等で攻撃の示唆が行われていたり、サービス停止のスクリーンショット等がSNSで投稿されたり等で、関連性を掴みやすいことが多いものです。後付けで無関係の何者かが投稿することもあり得ますので、注意は必要ですが、ハクティビストによると思われるDDoS攻撃の場合、必要以上に騒がないことが重要です。攻撃者の目的はSNSで拡散されたり、メディア等で取り上げられたりすることによって、自分達の存在や主張をアピールすることだからです。時に『宣戦布告』のような刺激的な言葉を使って恐怖を煽ることもありますが、実際に攻撃するのは比較的攻撃しやすいサイトばかりで「攻撃」というより「妨害行為」レベルであることがほとんどなのです。DDoS攻撃によって現実的な影響が出る恐れのあるネットバンキング等のサイトは相応な対策を行なっておりDDoS攻撃でサービス不能に陥らせるのは極めて困難なのです。ですので、ハクティビストによるDDoS攻撃で一部のサイトに影響が出たからといって不安に思う必要はありません。