2022年2月15日、ウクライナ政府は軍や金融機関に対してDDoS攻撃が行われシステム障害が発生したことを公表しました。ここでは関連する情報をまとめます。
DDoS攻撃で銀行サービス一時使えず
- 2022年2月15日午後からウクライナ関係の複数のWebサイトに対してDDoS攻撃が行われた。攻撃を受けたサイトは数時間から半日程度の間接続ができない状態となった。金融機関(PrivatBank)ではPrivat24の利用者において残高や直近の取引が表示できないなど支払いやアプリの利用に問題が生じてしまった。軍関係の通信状況や金融機関の預金者への影響は発生していない。*1
- 米国をはじめDDoS攻撃の実行者に関して特定の国を名指しにした公式の声明は出ていないがウクライナ当局関係者は「1つの国家」が攻撃の背後関係からうかがえることを述べている。*2 *3 過去の経緯からロシア関与を示唆する声明が出ていることが報じられている。*4 *5 ロシア側は今回の件について、いかなるDDoS攻撃にも関与はしていないとのコメントを行っている。*6
PrivatBank app error message translated pic.twitter.com/qpeYx5sqvp
— Anton (@YourWorldMyCity) 2022年2月15日
ウクライナ史上最大のDDoS攻撃
- ウクライナ情報安全保障センターは今回のDDoS攻撃の規模は比較的小さいとの見解を示しており、本格的な攻撃目標を果たせずに嫌がらせの行為に及んだ可能性があるとした。*13 一方でデジタル移行省大臣はウクライナ史上最大のDDoS攻撃と評価を行っている。*14 NETSCOUTのDoSアラートが上がっている画面が掲載されていたが、画像からはDIIAに対して行われたDoS攻撃の規模は680Kpps程度だったとみられる。*15
- 2022年2月15日時点でDoS攻撃は継続中と当局関係者が述べている。DDoS攻撃の平均規模は数十Gbpsとしつつスクラビングセンターで対処しており、DoS攻撃の影響は緩和されているとした。*16
- Netscoutは観測した情報からDDoSの攻撃規模についてこれまで観測した最大規模のものではないと評価を行っている。同社の観測では5.2Gbps程度とみられ、2021年の最大規模のDDoS攻撃である3.5Tbpsと比較すると数百分の一としている。またCloudFlareもウクライナのデータセンターや顧客に対して大規模なDDoS攻撃の活動は観測されていないとしている。*17
- NetBlocksはDDoS攻撃渦中の接続状況を公表。接続状況のグラフから2月15日14時頃前(ウクライナ時間)から接続が不安定になっている様子が伺える。*18 *19 KentikはPrivatBankに対するトラフィック急増(DDoS攻撃)の状況を公表。ウクライナ軍に対しては2月15日中に数度にわたり、PrivatBankに対してはトラフィック量が2月15日16時頃から急増していた。 *20 *21 *22 360 NetlabはDoS攻撃に関係するものとしてMiraiの名前を挙げた。同社の観測ではオランダのC2サーバーが利用されていた。*23 IIJのハニーポットでも同日のウクライナへの複数サイトからのバックスキャッターを観測している。また同時にMirai亜種による攻撃活動も確認された。*24
- BackScatterの観測状況からDDoS攻撃は2月15日以降も継続して発生している模様。*25
その他の関連情報
- ウクライナ国家警察は国営銀行の1社から依頼を受け捜査に入ったことを明らかにした。*26
- DDoS対策のためか、PrivatBankは2022年2月16日21時点で国外からアクセスを行った場合接続がブロックされWAF監視中といったメッセージのみ表示される。
- ウクライナのサイバー警察はSMSを通じてATMの技術的な誤動作に関するデマが送られたとして、スパムに関与した人物の特定作業を進めていることを明らかにしている。*27
- 米国、英国は今回のDDoS攻撃の帰属について、GRUの名前を挙げている。*28GRUのインフラからウクライナのIPアドレスやドメインに対して大量に接続が行われていたためとしている。*29
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2022年2月15日17時過ぎ | ウクライナ軍関係や金融機関に対しDoS攻撃。接続障害やオンラインバンキングサービスで障害が発生。 |
| 同日 19時半 | 障害が起きていたオンラインバンキングサービスが復旧。 |
| 2022年2月16日 3時 | ウクライナ当局は軍事関連施設や国営銀行に対してサイバー攻撃が行われたと公表。*30 |
更新履歴
- 2022年2月16日 PM 新規作成
- 2022年2月17日 PM 続報追記(報道された攻撃規模、IIJの観測等)
- 2022年2月18日 PM 続報追記(攻撃規模に対しての評価)
- 2022年2月21日 PM 続報追記(攻撃帰属に関する米英の発表)
*1:Користувачі скаржаться на несправність онлайн-сервісів ПриватБанку. Банк визнає проблему,dev.ua,2022年2月15日
*2:米、犯行グループの特定まだ ウクライナへのサイバー攻撃,Reuters,2022年2月17日
*3:ウクライナ当局者、今週のDDoS攻撃は国内史上最悪-混乱が狙い,Reuters,2022年2月17日
*4:ウクライナ、前日のサイバー攻撃の背後にロシアとの見解,Reuters,2022年2月17日
*5:ウクライナ国防省にサイバー攻撃、ウェブサイトにアクセスできず,Reuters,2022年2月16日
*6:「サイバー攻撃、関与なし」 ロシア否定も残る疑惑 ウクライナ危機,朝日新聞,2022年2月16日
*7:https://www.facebook.com/StratcomCentreUA/posts/290808713119116
*8:Cyberattacks knock out sites of Ukrainian army, major banks,AP,2022年2月16日
*9: ❗️Сайт МОУ зазнав, ймовірно, DDoS-атаки: фіксувалася надмірна кількість звернень на секунду.
Проводяться техроботи з відновлення штатного функціонування.
Комунікація через сторінки в FB та Twitter, сайти АрміяInform https://t.co/ukMW41irPW та Армія FM https://t.co/IpDnBXoMXw.
*10:https://www.cyberscoop.com/ukraine-banks-defense-ministry-ddos/,CYBERSCOOP,2022年2月16日
*11:https://www.facebook.com/privatbank/posts/5084348768252276
*12:https://www.facebook.com/oschadbank/posts/5245377422152948
*13:ウクライナ国防省などにサイバー攻撃 銀行アプリでは支払いできず,朝日新聞,2022年2月16日
*14:Кібератака за мільйони доларів: за нападом може стояти РФ,Українська правда,2022年2月16日
*15:"Дия" отразила мощные кибератаки из четырех стран, в том числе из России,Українська правда,2022年2月15日
*16:Україна успішно відбила найбільшу DDoS-атаку в своїй історії,Державна служба спеціального зв’язку та захисту інформації України,2022年2月17日
*17:Recent Ukraine outage caused by modest cyberattack, data shows,Reuters,2022年2月18日
*18: ⚠️ Confirmed: Real-time network data show a loss of connectivity to #Ukraine's State Savings Bank, impacting ATM and banking services; disruptions also reported on Ministry of Defence and Armed Forces networks; incident comes amid heightened tensions with Russia 📉 pic.twitter.com/QMbPPpCzaV
*19: ⚠️ Update: #Ukraine has been targeted by a series of DDOS attacks on banking and military services, bringing down PrivatBank and Oschadbank and sending defence sector platforms offline. The incident comes amid heightened tensions with #Russia.
📰 Report: https://t.co/wDrXAUbTdL pic.twitter.com/PM3jG2PToM
*20: In recent hours, Ukraine has been the target of multiple DDoS attacks.
According to @kentikinc data, targets include Mirohost (AS28907) which hosts websites of the Ukraine Army, as well as Privatbank (AS15742), one of UA's largest banks. pic.twitter.com/rgVBnXbTXO
*21: Sudden surge of traffic directed at Ukraine's largest bank, PrivatBank (AS15742) in recent hours. pic.twitter.com/zIjLcguohC
*22: Sharp uptick in traffic to Oschadbank (AS60173) at 10:20 UTC (12:20pm local).
Oschadbank (aka State Savings Bank of Ukraine) was another target of today's DDoS attacks. pic.twitter.com/5bSxr7Fnjd
*23:https://twitter.com/360Netlab/status/1493797519725367302
*24: IIJ のハニーポットでは 2/15 頃からウクライナの複数の Webサイトからの backscatter を多数観測。また同時に Mirai亜種(V3G4) による攻撃活動も確認しており、関連があると考えられます。(攻撃パケットの送信元アドレスが詐称されているため、世界中の観測システムで SYN-ACK パケットが確認される) https://t.co/D630EavT8m
*25: ウクライナからの backscatter のハニーポットでの観測状況はこんな感じ (SYN-ACKのみ)。2/15 は PrivatBank、2/16 は Ukrainian Processing Center (UPC) がほとんどでした。海外報道などを見ると、UDPによる攻撃も行われていたようなので、複数のアタックベクターによる攻撃みたいですね。 pic.twitter.com/D6HvrXz1fW
*26:Нацполіція відкрила кримінальне провадження за фактом DDoS-атак на українські вебресурси,Офіційний сайт Національної поліції,2022年2月15日
*27:Кіберполіція встановлює осіб, причетних до розсилання смс-повідомлень щодо збоїв у роботі банкоматів,КІБЕРПОЛІЦІЇ УКРАЇНИ,2022年2月15日
*28:UK assess Russian involvement in cyber attacks on Ukraine,GOV.UK,2022年2月18日
*29:White House pins Ukraine DDoS attacks on Russian GRU hackers,BleepingComupter,2022年2月18日
*30:Сyberattacks on the sites of military structures and state banks,State Service of Special Communication and Information Protection of Ukraine,2022年2月16日
