ハクティビズムは、ハッカーとアクティビズムを掛け合わせた造語です。政治的な主張にもとづくサイバー攻撃を言い、よく知られるところではアノニマスがあります。2010年代前半にアラブ諸国で大規模な反政府運動が展開されアラブの春と呼ばれた騒乱が起きました。その背景にハクティビズムがあったと言われています。ハクティビズムは、アラブの春の挫折やサイバー空間上での国家の台頭、さらにサイバー犯罪シンジケートの横行などにより、その活動は以前より注目されなくなっていましたが、ロシアをめぐり再び活発化しているようです。
DDoS攻撃用ツールとして登場したKillnet
今月6日頃から日本の電子政府の総合窓口「e-Gov」など政府系のウェブサイトやソーシャルネットワークmixi、東京メトロや大阪メトロのホームページ等で閲覧できなくなるなどの障害が発生し、報道によると親ロシア派のハッカー集団「Killnet(キルネット)」が日本にDDoS攻撃(分散型サービス妨害攻撃)を仕掛けたということです。Killnetとはこれまで聞いたことがなかったのですが、どのようなグループなのでしょうか?
脅威分析やデジタルリスク対策を手がけるDigital Shadowsのイワン・リギ氏のレポートによると、Killnetは親ロシアのハクティビストグループだということです。もともとKillnetは簡易にDDoS攻撃を行うことができる、サブスクリプションベースのツールとして今年1月に登場し、Telegramチャンネルで宣伝されていたようです。Killnetのユーザーはボットネットを月額1350米ドルでレンタルでき、ボタンをクリックするだけでDDoS攻撃が実行できるという触れ込みだったようです。
つまりKillnetはサイバー犯罪用のツールとして登場したようなのですが、その後、ロシアに反対する国やウクライナを支持する国に対してKillnetの名前でDDoS攻撃が仕掛けられるようになり、その結果、ロシアのユーザーから圧倒的な支持を得たことでハクティビストグループへと変貌した経緯があるようです。イワン・リギ氏によるとKillnetの加入者は10万人を超えているということです
ルーマニアがKillnet関連のIPアドレス公開
Killnetのユーザーには、独立国家共同体(CIS)地域のロシアの同盟国をターゲットにすることや情報を第三者に譲渡することが禁止されるなど、従わなければならないルールがあるようです。Killnetは今年5月16日にアメリカ、イギリス、ドイツ、イタリア、ラトビア、ルーマニア、リトアニア、エストニア、ポーランド、ウクライナの10 カ国に対してサイバー戦争を公式に宣言し、この10カ国に対して執拗にDDoS攻撃を仕掛けているということです。そして、その攻撃はKillnetが政府機関を、Killnetの分隊が金融、運輸、テクノロジーなどのセクターを標的にするなど役割分担があるようです。報道によれば、Killnetは日本に対しても宣戦を布告したようですから、今後、日本の政府機関のウェブサイト等に執拗にDDoS攻撃が繰り返される恐れがあります。
Digital Shadowsによると、ルーマニアの国家サイバーセキュリティ機関ではKillnetに関連する1万1000超のIPアドレスリストを公開していて攻撃を最小限にするために活用することができるということです。Digital Shadowsは、「DDoS対策ソリューションを実装してシステムを保護するとともに、Killnetの攻撃はグループのTelegramチャンネルで発表されることから、これらのチャンネルを監視してドメインに関する言及がないか確認することが重要」と指摘しています。
Contiインフラのサーバーには大量の反ロシア「メッセージ」
一方、BleepingComputerによると、ランサムウェア犯罪グループのContiの元メンバーが運営しているCobalt Strikeのサーバーが大量の反ロシア「メッセージ」によって攻撃されているということです。Contiは今年2月にロシアがウクライナに侵攻した際、ロシアへの全面的な支持を表明し、ロシアへのサイバー攻撃に対して反撃することを宣言しました。Contiはその後、閉鎖されましたが元メンバーは依然として活動しており、その元メンバーが運営しているContiのインフラだったサーバーに反ロシアの「メッセージ」による攻撃が行われているということです。ひところサイバー空間を賑わせたハクティビズムが、ロシアをめぐり再燃している状況があるのかもしれません。
■出典