ウクライナへのDDoS攻撃、日本でも兆候見えていた 観測のカギは「Backscatter」

情報セキュリティの専門家であるIIJの根岸征史さんが、IIJのハニーポットでウクライナに対するDDoS攻撃の兆候を観測したと報告している。なぜDDoS攻撃を観測できるのか、IIJの堂前清隆副部長が解説した。

[谷井将人，ITmedia]

　ロシアの侵攻により2月24日に始まったウクライナ危機に先立ち、15日と16日にあったウクライナの銀行などへのDDoS（分散サービス拒否）攻撃について、日本でも兆候が観測できていた。情報セキュリティリサーチャーであるIIJの根岸征史さんが、自身のTwitterアカウントで2月25日に明らかにした。

　根岸征史さんによると、IIJのハニーポット（おとりサーバ）で、15日には銀行「PrivatBank」から、16日には金融基盤を手掛ける「Ukrainian Processing Center」（UPC）から、「Backscatter」（バックスキャッター）と呼ばれるパケットを多く受信していたという。

　なぜ、被害を受けているサーバからのパケットでDDoS攻撃を観測できるのか。同社の堂前清隆副部長（広報部 技術広報担当）がYouTubeで解説動画を公開している。

　「DDoS攻撃では、大量のアクセスを複数箇所から送りつける場合がある。このとき攻撃者は、IPアドレスを偽装して攻撃を仕掛ける。被害を受けるサーバが、偽装されたIPアドレス先へ応答するパケットをBackscatterという」（堂前副部長）

　つまり、ハニーポットのIPアドレスと攻撃者の偽装先IPアドレスが一致すれば、DDoS攻撃により起きたBackscatterを観測できるというわけだ。堂前副部長によれば、この観測で、攻撃を受けたシステムや攻撃時間、規模の推移を外部から間接的に調べられるという。

　IIJの報告によると、15日にはPrivatBank、16日にはUPC、24日にはメディアや通信会社などの機関をターゲットにした攻撃があったという。この観測により調べられるのは一部のDDoS攻撃のみで、実際にはより多くの攻撃が起きていると考えられるという。