AzureにDDoS攻撃を仕掛けたハクティビスト、Stripeらへの侵害にも関与をほのめかす：Cybersecurity Dive

「Microsoft Azure」や「Microsoft OneDrive」のDDoS攻撃への関与が疑われるハクティビストAnonymous Sudanは、StripeやRedditに対する侵害についても自分たちの仕業であると主張している。

[David Jones，Cybersecurity Dive]

　ロシアに関連すると疑われるハクティビストが「Microsoft Azure」や「Microsoft OneDrive」などのMicrosoftの主要サービスを停止させてから数週間が経過し（注1）、米国当局は企業に対して、DDoS攻撃を含む潜在的な脅威について警告している。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2023年6月下旬に（注2）、各企業に対して障害がメンテナンスに関連したものなのかどうか、あるいは意図的なサイバー攻撃の可能性があるのかどうかを判断するためにシステムを監視するよう促した。

脅威グループAnonymous Sudanが関与を主張

　セキュリティ専門家が「Cybersecurity Dive」に語ったところによると、脅威グループの「Anonymous Sudan」が、Microsoftに対するサイバー攻撃を自らの仕業だとし、大手金融サービス企業と米国政府のシステムを混乱させたと主張しているという。

　セキュリティ企業Emsisoftの脅威アナリストであるブレット・カロウ氏が提供した文書によると、ハッカーたちは「決済に関連する事業を営むStripeと財務省の納税システムを標的にした」と述べているという。

　また、Stripeのソーシャルメディアへの投稿には同社の顧客は2023年6月30日（現地時間、以下同）にダッシュボードにアクセスできなくなったという。この問題は、Stripe APIのレート制限エラーに関係していた（注3）。

　セキュリティ企業Cyberintの研究者は2023年7月10日、「Anonymous Sudanが、ニュースサイトである『Reddit』のサブページを2時間にわたりダウンさせた旨を主張している」と述べている（注4）。

　CISAの関係者はCybersecurity Diveに対して「多くの組織に影響を及ぼしているこれらの事態を考慮し、CISAは今後もDDoS攻撃のリスクに関する注意喚起や勧告を出し、意識を高めていく」と語っている。

検出が難しいレイヤー7に対するサイバー攻撃

　Microsoftのセキュリティ研究者によると、DDoS攻撃は複数の仮想プライベートサーバやクラウドインフラストラクチャ、オープンプロキシ、そしてDDoS攻撃ツールを使用して実行された。

　Microsoftに対する最近のDDoS攻撃は、レイヤー3（ネットワーク層）やレイヤー4（トランスポート層）ではなく、アプリケーションのサーバやインフラストラクチャといったレイヤー7（アプリケーション層）を標的としており、よりステルス性が高く、検出が難しい。

　セキュリティ企業Truesecの研究者によると、ロシアに関連するハクティビストの一部は、イスラム系のオンライン活動家で構成されたグループに接触し、反NATOの姿勢を強めるよう働きかけているという。

　Truesecにおいて脅威インテリジェンスを担当する専門家のマティアス・ヴォーレン氏は「この混乱を起こすために、誰かが資金援助をしているはずだ。なぜならDDoS攻撃を実行するためには金銭的なコストが必要だからだ。多くのDDoS攻撃は攻撃に使うインフラを準備し、他の犯罪者やオンライン活動家にそれらを貸し出す。そして、彼らに金を支払って好きなターゲットを狙わせるのだ」と語っている。

　本件についてRedditやStripe、財務省関係者からのコメントは得られていない。

（注1）Microsoft confirms DDoS attacks caused Azure, OneDrive outages（Cybersecurity Dive）

（注2）DoS and DDoS Attacks against Multiple Sectors（cisa）
（注3）Stripe Status（twitter）
（注4）Cyberint（twitter）