デジタルセキュリティおよびプライバシー製品のグローバルリーダーであるアバストは、親ロシア派のハッカー集団「NoName057(16)」が2022年6月、ウクライナやその支援国の企業や重要インフラなどのウェブサイトに対してDDoS（分散型サービス妨害）攻撃を実行していることを確認しました。同集団は政治情勢に便乗し、ウクライナやエストニア、リトアニア、ノルウェー、ポーランドといった近隣諸国の親ウクライナ派の企業や重要機関を標的としています。アバストの調査によると、NoName057(16)のサイバー攻撃の成功率は40%ですが、このうち20%は彼らによる攻撃ではない可能性があるほか、インフラが十分に保護されている企業は攻撃を防御することができています。

「NoName057(16)」の標的は？

アバストは2022年6月1日よりNoName057(16)の活動を追跡しています。同集団はDDoS攻撃のみを行い、6月初旬にまずウクライナの報道機関のサーバーを、その後同国の市や地方自治体、公共サービス、武器製造会社、運輸会社、郵便局などのウェブサイトを重点的に攻撃しました。6月中旬にはより政治的な動機で攻撃が行われるようになり、リトアニア、ラトビア、エストニアのバルト三国が特に狙われました。これらの攻撃では、リトアニアの輸送会社、地方鉄道会社、バス会社などが標的となっていることから、自国領土を経由した、欧州連合（EU）の制裁対象貨物のカリーニングラードへの輸送禁止が引き金となっていると考えられます。7月1日には、ロシア政府系炭鉱会社であるArktikugol社の鉱山労働者への物資の輸送がノルウェー当局によって停止されたことにに対し、NoName057(16)はノルウェーの輸送会社であるKystverket社、Helitrans社、Boreal社、郵便局（Posten）、そして金融機関のSbanken社とGjensidige社を攻撃し報復しました。8月初旬、フィンランドがNATOへの加盟を申請した後、NoName057(16)はフィンランド議会（Eduskunta）、国務院、警察などの政府機関を狙いました。

NoName057(16)は、2022年3月11日にTelegramにてチャンネルを作成しており、14,000人以上のフォロワーにDDoS攻撃の成功について積極的に発信しています。しかし、成功したDDoS攻撃のみが報告されており、実際の成功率は40%に届かないと考えられます。 

Bobikマルウェアのボットを利用

NoName057(16)は、Bobikと呼ばれるマルウェアに感染した世界中のコンピュータを制御し、ボットとして操作しています。Bobikは2020年に初めて確認され、過去には遠隔操作ツールとして使用されていました。同集団はBobikを、サイバー犯罪者がマルウェアを拡散するbotnet-as-a-serviceのRedline Stealerを通して広めています。

ボットの操作方法として、同集団はルーマニアにあるC&Cサーバーを経由してボットにコマンドを送信しています。以前は、ルーマニアとロシアにさらに2つのサーバを設置していましたが、現在これらのサーバは稼働していません。ボットは、1日に3回更新されるXML設定ファイルの形式でDDoS攻撃対象のリストを受け取り、ログインページ、パスワード回復サイト、サイト内検索に過負荷をかけようとします。

アバストはこれまで数百台のコンピュータをBobikから保護しましたが、アバストのマルウェア研究者であるマーティン・ チルメッキー（Martin Chlumecky） によると、Bobikによる攻撃の有効性と頻度を考慮すると、まだ数千のBobik ボットが野放しになっていると考えられます。

攻撃による影響は？

同集団の攻撃は数時間から数日間にわたってウェブサイトを停止させることができてしまいます。小規模なウェブサイト運営者は、攻撃に対処するために国外からのクエリを阻止する手段をとることもあり、極端な例では、ドメインの登録を解約したケースもあります。

アバストの研究によると、企業の多くは攻撃された後、受信トラフィックをフィルタリングしてDDoS攻撃を検出できるソリューションを導入していることがわかりました。国際的な大企業の多くは、より重いトラフィックを想定し、DDoS対策ソリューションを備えたクラウド上でウェブサーバーを運用しているため、攻撃への耐性がより高くなっています。例えば同集団は、本年の6月攻撃を仕掛けたデンマークの銀行Danske Bankや、7月に標的となったリトアニアのSEB銀行のサイトをダウンさせることには失敗しています。

そのため、会社概要、経営理念、問い合わせなどのみ記載しているシンプルなウェブサイトを持つ企業が最もNoName057(16)の攻撃の影響を受けています。このようなウェブサイトのサーバーは通常、大きい負担に対応できるように設計されておらず、DDoS対策も導入されていないことが多いため、簡単に被害に遭ってしまいます。

攻撃を防御するには？

アバストのマルウェア研究者であるマーティン・チルメッキー（Martin Chlumecky）は次のように述べています。「NoName057(16)の攻撃の成功率は高いように見えるかもしれません。しかし、C&CサーバーがBobikボットに送信している標的のリストと、同集団がTelegramチャンネルに投稿した攻撃に関する情報を比較したところ、安全性の高いサーバーでホストされているウェブサイトは、攻撃を防御できることがわかりました。さらに、同集団が行ったと主張する攻撃のうち約20％は、設定ファイルに記載されたターゲットと一致していませんでした。」

「また、アバストでは、NoName057(16)が行うDDoS攻撃の威力は議論の余地があると考えています。ボットの設定履歴を見ると、サブドメインを含む約13のURLを一度に攻撃できることがわかります。さらに、1つのXML設定ファイルには、定義されたドメインがサブドメインのセットとして含まれていることが多いため、Bobikは1つのコンフィギュレーション内で5つの異なるドメインを攻撃することができます。ボットはこれ以上のドメインを一度に攻撃することはできず、あまり容量および効率高くない攻撃手法となっています。」

アバスト無料アンチウイルス などの信頼できるアンチウイルスソフトウェアを使用することで、Bobikを含むマルウェアを検出・阻止し、デバイスがボットネットの一部として悪用されるのを防ぐことができます。さらにアバストでは、メールに含まれる疑わしいリンクや添付ファイルはクリックせず、ソフトウェアを定期的にアップデートすることも推奨しています。また、心当たりのない相手に高いネットワークトラフィックが送信されている場合、デバイスがDDoS攻撃に使われているかもしれません。

本件に関する詳細はブログ（英語）をご覧ください：https://decoded.avast.io/martinchlumecky/bobik/