プロジェクトGalileo8周年にあたり、このプロジェクトで保護される団体が経験したサイバー攻撃のタイプをご覧いただきたいと思います。多くの団体が新たな困難に次々と見舞われた一年でしたが、当社では、それらの脆弱者グループに対する攻撃の分析が、標的になりやすい分野で活動する人々のより良い保護方法を研究者や市民社会、標的団体が考える際の手掛かりになればと考えています。
このブログでは、紛争開始後に急増したDDoS攻撃など、ウクライナの団体に対する攻撃に焦点を当てたいと思います。関連するRadarダッシュボードで、人権団体、報道機関、コミュニティ主導の非営利団体など幅広い分野のプロジェクトGalileo参加者に対する攻撃を詳しく見ていきます。
完全版レポートをお読みになりたい方は、プロジェクトGalileo8周年Radarダッシュボードをご覧ください。
データを理解する
このダッシュボードでは、2021年7月1日から2022年5月5日の間に、世界各地のプロジェクト保護対象1900団体から集められたデータを分析しました。
DDoS攻撃は、当社でレイヤー7(アプリケーション増)DDoS攻撃の一環と判定したトラフィックとして分類しています。そのような攻撃ではたいてい、サイトを過負荷にしてオフライン状態に陥れるという悪意を以て大量のリクエストが送りつけられます。当社は、攻撃に関わるリクエストをブロックして、正当なリクエストがサイトに届き、サイトがオンライン状態を保つようにします。
Webアプリケーションファイアウォール(WAF)で軽減されたトラフィックとは、悪意ありと判定されてCloudflareのファイアウォールでブロックされたトラフィックです。当社はプロジェクトGalileoでBusinessレベルのサービスを無償提供しており、WAFは、団体のオンラインアプリに無許可でアクセスしようと脆弱性を悪用する試みの軽減に役立つ有用なツールです。
プロジェクトGalileoの対象トラフィックや対象ドメインの変化を表すグラフでは、2021年7月の最初の2週間の1日平均トラフィック(リクエスト件数)をベースラインとして使用しています。
昨年の要点
サイバー攻撃は増え続け、2021年7月から2022年5月までに180億件近くの攻撃がありました。ここ9か月のサイバー攻撃は1日平均5790万件近くに上り、前年から10%近く増加しています。
4月の1件の大規模攻撃では、ウクライナの団体を標的とし軽減されたDDoSトラフィックが、全トラフィックの90%にも上りました。
ウクライナで戦争が始まった後の2022年3月、プロジェクトへの参加申し込みが177%急増しました。
欧米の報道機関やメディア団体のトラフィックは、昨年最高150%増大しました。
人権団体と報道機関に対しては、幅広い低度サイバー攻撃がありました。WAFで軽減したリクエストの40%までもが、HTTP異常と分類されました。WAFルールタイプの中でも最大で、保護されていない団体には打撃となりかねない攻撃タイプですが、Cloudflareが自動的にブロックしています。
2021年7月から2022年5月まで、欧州を本拠とする団体は、プロジェクトの全対象地域から発されるリクエストトラフィックの半分から3分の2を一貫して占めていました。
プロジェクトGalileoのグローバルなカバレッジ
ウクライナの団体を保護
ウクライナで戦争が始まり、支援を求める団体からのプロジェクトGalileo参加申し込みが増えました。多くはDDoS攻撃を受けている最中の申し込みでしたが、ロシアの侵攻が続く中で情報を得ようとするウクライナ国内の人々からのトラフィックが大量に発生しているサイトもありました。ウクライナの団体からのトラフィックは開戦当初は概ね横ばいでしたが、それ以降の増大は、主として報道機関やメディアのトラフィックでした。
戦争前は、Webアプリケーションファイアウォール(WAF)で軽減されるトラフィックはわずかでしたが、それらはコミュニティ形成・社会福祉団体(難民への直接支援を提供する団体、ウクライナの人々を支援する寄付プラットフォームを提供する団体など)のトラフィックでした。ところが、戦争が始まってからは、報道機関がWAFで軽減されたトラフィックの大半を占め、3月13日にはトラフィックの69%に上るなど、トラフィックスパイクが頻発しています。WAFで軽減されるリクエストが増えたのは2月下旬からで、以降の攻撃は過半数がSQLインジェクション(SQLi)と分類されています。WAFで軽減された人権団体へのトラフィックは3月中旬に増え、トラフィックの5~10%を占めるまでになりました。
ウクライナの団体へのDDoSトラフィックの軽減は3月中旬から5月に集中し、トラフィックに占める割合が急上昇しています。最初のうちはスパイクは20%前後でしたが、下降する前に急上昇しています。4月19日の攻撃は、その日のトラフィックの90%以上を占めました。
開戦以来、保護対象団体からのトラフィックの増加率は、カテゴリーによってばらつきがあります。医療機関では、3月下旬から4月下旬にかけてトラフィックがベースラインの20~30倍に増えました。攻撃トラフィックの急増を除けば、報道機関からのトラフィックはベースラインのだいたい3~4倍でした。他のカテゴリーでは、概ね3倍以下になっています。
Webアプリケーションファイアウォール(WAF)で軽減されたトラフィックでは、最も適用頻度が高かったルールはHTTP異常で、リクエストの92%に該当しました。Webコンテンツのリクエスト(HTTPリクエスト)には所定の構成、ヘッダー一式、関連する値があります。ヘッダーがない、リクエスト方法がサポートされていない、非標準のポートを使用している、文字のエンコーディングが無効などの異常を含む異形リクエストを送る攻撃者もいます。そのようなリクエストは「HTTP異常」と分類されます。そうした異常なリクエストは低度の攻撃に関わる場合が多く、CloudflareのWAFで自動的にブロックされます。
戦争が続く中、当社は引き続きウクライナと隣国の団体をオンボードして保護を提供し、情報へのアクセスを保証します。ウクライナで攻撃に晒されている団体はすべて、www.cloudflare.com/ja-jp/galileoからプロジェクトGalileoによる無償保護を申し込むことができ、当社で早急に評価と承認を行います。
攻撃手口:地域別
北米・中南米、アジア太平洋、欧州、アフリカ・中東で軽減されたリクエストは、全地域で28%と最も多かったのが「HTTP異常」で、20%がSQLインジェクション攻撃、13%近くが特定の共通脆弱性識別子(CVE)の悪用でした。CVEは、一般公開されているサイバーセキュリティ上の脆弱性です。Cloudflareは新たな脆弱性を監視し、ユーザーを保護するために追加ルールセットが必要なものを速やかに判定します。脆弱性によっては高度な攻撃を受ける可能性があり、深刻度に応じて識別と応答をセキュリティのプロに任せざるを得ない場合があります。
前回のレポートでも同様の攻撃トレンドが見られ、SQLインジェクションとHTTP異常(ユーザーエージェント異常と分類)が、軽減されたリクエストの大部分を占めていました。
攻撃手口:団体タイプ別
当社はプロジェクトGalileoで多様な団体を保護しています。このダッシュボードでは、対象団体を「コミュニティ形成・社会福祉」、「教育」、「環境・災害救援」、「人権」、「ジャーナリズム」の6グループに分類しています。これらのグループに対する脅威を理解しやすいように、Webアプリケーションファイアウォールで軽減された攻撃のタイプを細かく分けました。軽減されたトラフィックの大部分は、HTTP異常とSQLインジェクション(SQLi)によるものです。
SQLiは、SQLデータベースのデータの改ざんや取得を狙った攻撃手法です。攻撃者は、特殊なSQLステートメントをフォームフィールドに挿入し、データベースからのデータ取得、データベース内のデータ改ざん、機密データの破壊、その他の操作を可能にするコマンドを実行しようとします。
8周年Radarダッシュボードについて詳しくは、プロジェクトGalileo保護下のさまざまな団体への攻撃に関して当社が観察したトレンドの 完全版レポートをご覧ください。