国際サイバー犯罪グループアノニマス・スーダンの活動阻止で Amazon が米国司法省を支援

本ブログは 2024 年 10 月 16 日に公開された Amazon News “Amazon helps the US Department of Justice thwart international cybercriminal group Anonymous Sudan” を翻訳したものです。

米国司法省は、サイバー犯罪グループ アノニマス・スーダンの背後にいる 2 人を起訴し、AWS の貢献を評価しました。

本日 2024 年 10 月 16 日に、米国司法省は、病院、政府機関、通信サービス、クラウドプロバイダー、および様々な他の組織を標的とした、非常に破壊的なサイバー犯罪活動の 2 人の首謀者に対する刑事起訴を公表しました。

司法省は、アノニマス・スーダンと呼ばれるこのグループの首謀者を裁きにかけるための取り組みに、Amazon Web Services (AWS) とそのセキュリティ専門家が貢献したことを評価しました。AWS は過去 2 年間で何十ものサイバー犯罪集団の解体に取り組んでおり、アノニマス・スーダンはそのうちの 1 つです。このグループは特に金銭目的で分散型サービス拒否 (DDoS) 攻撃を行っていました。

DDoS 攻撃では、悪意のある攻撃者が 1 秒間に何百万件ものリクエストでサーバーを集中的に攻撃します。カスタマーサービスセンターが大量の電話を受けると対応不能になるように、システムは新しいリクエストに対応できなくなり、実質的に停止状態になります。これらの攻撃は、数分間から、攻撃者が十分な資金とインフラを持っている場合は数時間から数日間続く可能性があります。このような攻撃とダウンタイムの影響として、ビジネスと生産性の損失が何百万ドルにも及ぶ可能性、そして最も必要とされる時に重要な医療やその他のインフラが利用できなり、人々への影響が発生してしまいます。

DDoS 攻撃は残念ながら珍しいものではありませんが、アノニマス・スーダンによる攻撃の規模と大胆さは、AWS のセキュリティチームにとっても想定外でした。

「彼らの大胆さと、知名度の高いターゲットへ簡単に影響を与えていたことに少し驚きました」と AWS の Vice President 兼 Distinguished Engineer の Tom Scholl 氏は述べています。「彼らは DDoS 攻撃を DDoS-as-a-Service の提供して、この攻撃事例をマーケティングに活用して、DDoS サービスを購入するために料金プランや連絡方法など、すべてを揃えていました。」

アノニマス・スーダンは、1 日 100 ドル、1 週間 600 ドル、1 ヶ月 1,700 ドルで DDoS 攻撃を提供し、多数の顧客がいました。しかし、高度なセキュリティチームを持ち、クラウドベースのツールを利用できる企業にとって、DDoS 攻撃は一般的に簡単に防御できます。例えば AWS は、脅威を事前に特定するために、グローバルインフラストラクチャ全体で幅広いセキュリティ監視ツールを運用しています。そのため、大手クラウドプロバイダーを含む多くのターゲットに対して、これらの従来型の攻撃がこれほど効果的だったことは、やや驚きでした。

凶悪な犯罪集団

Scholl 氏によると、アノニマス・スーダンのような犯罪グループは攻撃を実行するために、ホスティング企業からサーバーをレンタルし「プロキシドライバー」と呼ばれる小規模なサーバー群を構成し、そこから攻撃を開始するとのことです。これは一般的な手法です。彼らが本当に大きな影響を与える可能性があるのは、その後、他の何千台ものマシン（通常は設定ミスのある Web サーバー）へのアクセスを獲得し、誰もがそこを経由して攻撃トラフィックを流せるようにした時です。この追加のマシン層は、通常、攻撃の真の発信源を標的から隠します。しかし、攻撃者は、Scholl 氏と彼のチームから隠れることはできませんでした。

Scholl 氏のグループは、2023 年 6 月から AWS の社内脅威インテリジェンスツールである MadPot を使用して アノニマス・スーダンの監視を始めました。それ以前は、アノニマス・スーダンは攻撃を公にしておらず、短期間活動してはすぐ停止する、ということを繰り返していました。MadPot のような脅威インテリジェンスツールの活用して、Scholl 氏と彼のチームは、アノニマス・スーダンが攻撃を仕掛けるためのプロキシサーバーのインフラをホストしていたホスティングプロバイダーを特定することができました。Scholl 氏と彼のチームは、これらのプロキシサーバーがネットワーク上で攻撃を仕掛けているのを観察し、様々なホスティングプロバイダーにプロキシドライバーとして悪用されていることの通知を行いました。司法省も並行して動いていました。

デジタル傭兵

アノニマス・スーダンはしばしば自らをハクティビストと称していましたが、彼らの Telegram チャンネルに投稿された自慢げなメッセージを見ると、単なるデジタル傭兵であることがわかります。犯罪集団やその他の悪意のあるグループは、アノニマス・スーダンのようなグループからサービスを購入して、ウェブサイトやインフラを停止させています。実際、このマーケットは非常に成熟しており、アノニマス・スーダンのようなグループは時として「顧客」に料金プランを提示し、攻撃が思うような効果がなかった場合には返金さえ行うこともあります。

残念ながら、これらの攻撃は特殊なものでも珍しいものでもないため、スケーラブルに対処する必要があります。AWS は MadPot のような脅威インテリジェンス機能により、AWS は アノニマス・スーダンのような DDoS 攻撃を仕掛けるグループを阻止するために、ホスティングプロバイダーやドメインレジストラに対して自動的に停止要請を生成することができます。過去 12 ヶ月間で、AWS チームは 2,500 以上のホスティングプロバイダーとドメインレジストラに対して、8 万以上の個別のホストとドメインの停止要請を行ってきました。

アノニマス・スーダンに対する刑事起訴の詳細についてはカリフォルニア州中部地区連邦地方検事局が公開したプレスリリースをご確認ください。

AWS のセキュリティ脅威の追跡と阻止する方法の詳細については、「AWS によるクラウドの大規模なセキュリティ脅威の追跡と阻止の支援」を確認ください。

本ブログは Security Solutions Architect の 中島 章博 が翻訳しました。