　一方で、逆の事態が起きている可能性もある。アカマイでは、反ロシア側のハクティビスト（ハッカー＋活動家を意味する造語）が、ロシアで事業展開する日系企業やロシア語ページを持つ日本の企業のサイトに抗議する意図で仕掛けた疑いのあるDDoSも緩和している。このように、サイバー空間では戦争の当事国ではない第三国の企業が、活動家から突然思わぬ攻撃を受け、サービスの提供に支障をきたす可能性もある。

　幸い、ハクティビストや国家の関与が疑われるハッカーグループによるDDoSの手法やこれまでに観測された攻撃の規模は、他の目的の大規模DDoSと比べて特別なものではない。しっかりと予防的緩和の措置を講じたサイトでは、深刻な被害を抑止できていた。

攻撃者の狙いは変わりつつある　Web攻撃データから見る変化

　もちろん、Webへの攻撃はDDoSだけではない。アカマイがまとめた分析レポート「Akamai Web Application and API Threat Report 1H 2022」を見ると、WebサーバとWeb APIサーバの脆弱性を狙う攻撃の検知データから、攻撃者の「狙いの変化」が読み取れる。

photoアカマイWAFが検知したWebおよびWeb APIサーバへの攻撃試行数の推移

　まずは左側の図を見てほしい。21年の上半期から22年の上半期にかけて、世界で検知した攻撃試行数が3倍以上に伸びていることが分かる。主な原因は、薄い水色で示した攻撃ベクトル「ローカルファイルインクルージョン」（LFI）の伸びだ。

　LFIの攻撃数は、21年秋から急激に増加しはじめ、22年4月には前年同期比で4倍に達した。右図で示した攻撃全体に占める割合では、これまで長らく主流だったSQLインジェクションを通年で初めて上回った。

　Webアプリケーションの脆弱性を利用して、サイト利用者の個人情報などが入ったデータベース内のデータを直接狙うSQLインジェクションに対して、LFIは本来閲覧権限のないサーバ内のファイルを読み込んだり実行したりできる脆弱性を利用する攻撃だ。

　これが可能になると、攻撃者はWebサーバを乗っ取って、ログの閲覧や新たなプログラムの設置、アプリケーションの改ざんなどを行えるようになる。これにより、Webにアクセスした利用者のPCにマルウェアをダウンロードさせたり、システム管理者の情報など組織内部への侵入に有用な情報を収集したりと、あらゆる攻撃の「踏み台」に悪用できるようになる。

　実際、アカマイが観測したLFIでは、Linuxなどのサーバのユーザーアカウント情報を格納したファイルである「/etc/passwd」にアクセスする例があった。攻撃が有効か確認するためにアクセスしたとみられる。他にも、悪意を含むコンテンツやマルウェアをアップロードしたり、コードの実行を意図したりする試みが多く見られた。

　攻撃者にとって、システム管理者や従業員など、多くの利用者がアクセスする公開Webサーバを乗っ取ることは、さらに大規模な攻撃への足掛かりになる。侵入しようとするシステムやネットワークの構成など、より大掛かりな攻撃につながる情報を収集できるからだ。

　複数の攻撃を組み合わせた多段攻撃が明らかになった最近の国内事例としては、クレジットカード決済を取り扱うメタップスペイメントが挙げられる。総務省によれば、約288万件のクレジットカードなどの情報が漏えいしたという。

　第三者委員会は調査報告書で、外部監査をパスするために脆弱性調査情報の意図的な変更など、同社の人的環境の課題を直接的な原因として指摘している。

　一方で、複数ベクトルの攻撃から得られた情報を組み合わせて、匿名化されたカード番号と照合し、最終的に平文のカード番号を大量に窃取した攻撃者側の手口も明らかにしている。

　メタップスペイメントへの攻撃の場合、（1）クロスサイトスクリプティング（Webサイトの脆弱性を悪用してスクリプトなどを埋め込み、閲覧者のブラウザ内で、情報窃取など悪意のあるスクリプトを実行させる手口）、（2）SQLインジェクションによる管理者アカウント情報の取得、（3）管理者権限を利用したバックドアプログラムのファイルアップロード──などを組み合わせたという。

　複数の手法を組み合わせた多段攻撃の手口。そこには、Web攻撃を足掛かりにして情報を収集し、最終目的を達成しようとする、手慣れた攻撃者の姿が浮かばないだろうか。

流出した情報から明らかに、ランサムウェアグループ「Conti」の手口とは

ランサムウェアグループ、ロシア政府支持を一時表明　ロシアを標的としたサイバー攻撃に「持てるリソースを全て注ぎ込み報復」
ランサムウェア「Conti」を開発する犯罪グループが、ロシアとウクライナの情勢についてロシア政府を支持する声明を発表した。
ウクライナ巡るサイバー空間の攻防、ロシアの「控えめな攻撃」に驚く声も　そのワケは？
ロシアによるウクライナ侵攻に伴い、サイバー空間でも緊迫した状況が続いている。専門家たちはロシア支持とウクライナ支持に分かれて攻防を展開しているが、当初危惧されたほどの破壊的なサイバー攻撃は起きていないことから、ロシアの内情を巡り臆測も飛び交う。
ウクライナ侵攻で、闇社会にも分断　親ロシア派と親ウクライナ派に分かれるサイバー犯罪集団
ロシア軍のウクライナ侵攻が、闇社会にも分断を引き起こしている。サイバー犯罪集団が情報交換や取引の場として利用するロシア語の闇フォーラムでは、犯罪集団が親ロシア派と親ウクライナ派に分かれる「前例のないイデオロギー分断」が生じている。
ロシアの大規模ボットネット「RSocks」、米英独蘭が解体
米司法省はロシアの大規模ボットネット「RSocks」のインフラを解体したと発表した。世界中の何百万ものPC、Android端末、IoT端末が組み込まれていた。FBIが2017年から覆面捜査していた。
Microsoft、ロシアによるウクライナ侵攻に伴うサイバー攻撃について詳解　支援国にも警告
Microsoftは、ロシアとウクライナの「ハイブリッド戦争」におけるロシアのサイバー攻撃についてのレポートを公開した。ウクライナ侵攻直前から数百回の作戦が実行されているとしている。ウクライナ支援国への攻撃の可能性もあると警告している。