JALの自動チェックイン機が停止　銀行システム障害との“奇妙な関係”

　日本では2024年の年末に、サイバー空間で発生した不穏なニュースが続いた。「DDoS（ディードス）攻撃」によって、日本のインフラの一部が一時的に停止してしまう事態になったのである。

【その他の画像】

　まずは12月26日、日本航空（JAL）がDDoS攻撃を受けてシステム障害に陥った。年末で混雑する中、例えば東京の羽田空港では、手荷物の自動チェックイン機が障害で使えなくなった。システムが完全復旧したのは約6時間後だった。

　DDoS攻撃とは、サーバに過負荷をかけてシステムの機能をダウンさせるシンプルな攻撃である。

　その同日、三菱UFJ銀行もDDoS攻撃を受け、1000万人が利用するインターネットバンキングでログインしにくい状況に陥った。さらに12月30日にはりそな銀行が、31日にはみずほ銀行が、被害は限定的だったがDDoS攻撃を受けたと発表した。

　加えて1月2日にはNTTドコモも攻撃を受け、一時的にサイトなどにアクセスしづらくなったという。

　ただこうしたDDoS攻撃は、大手企業などにとっては珍しくない。ほとんど無傷で済んでいるだけだ。ある大手IT企業の幹部は筆者に「DDoS攻撃にはきちんと対策をしているので、攻撃が来てもかすり傷にすぎない」と豪語したことがあるくらいだ。

　しかし、攻撃が起きて被害が報じられると、ネガティブな影響を及ぼす可能性がある。

●企業の信頼に傷が付く

　まずはレピュテーション（評判）低下のリスクがある。日本企業がDDoS攻撃で機能不全に陥るというのは企業の信頼に傷が付く。上場企業なら株価にも影響を及ぼす。

　もちろん、実害が出ることもある。例えば、ECサイトが同様の攻撃を受けて、JALのように6時間もサイトが動かなくなったら、その損失は計り知れない。また年末の移動で使われる飛行機のシステムや、出入金が必要な銀行のシステムが脆弱（ぜいじゃく）であると、利用者の心情としては、別の航空会社や銀行を使おうかという気持ちになっても仕方がない。

　もっとも、海外に目を向けても、日本で年末年始に攻撃を受けたような規模の企業が、DDoS攻撃によってサービス停止してしまうケースは最近あまり聞かない。特に社会を支えるインフラ事業者となればなおさらだ。

　そもそもDDoS攻撃というのは一時的な攻撃だ。攻撃を止めるためにシステムを遮断するなどの措置を取る必要があり、その結果「システム障害」としてサービスが一時停止する。企業のサーバなどを勝手に暗号化して使えなくした上で内部データを盗み、身代金を要求するランサムウェア攻撃のように、システムを破壊してしまうようなものではない。

　もちろん、まれに甚大な攻撃が確認されることもある。例えばグーグルのクラウドは、2022年までに1秒間に4600万件のリクエストが殺到するDDoS攻撃を受けている。これは歴史上最大級の攻撃とされ、世界130カ国で乗っ取られた5000以上のデバイスから一斉に攻撃が来た。それほどの攻撃が、仮に年末年始に被害を受けたような日本のインフラ事業者を単体で襲うことになれば対処は難しく、日本社会はパニックに陥るだろう。

　ちなみに、それほどの攻撃を仕掛けるには、それ相応のコストや準備が必要になるので頻繁に起きるようなものではない。ただ一方で、今では5ドルでDDoS攻撃を代行してくれるサービスが国外に存在するので、誰でも攻撃ができる環境がある。そうした代行攻撃の規模は小さいが、中小企業の営業妨害をするくらいのことはできなくはない。

　事実、2024年には京都で中国人夫婦が仕事の契約を断られた腹いせに、中国の代行業者に約750元（約1万5000円）を支払ってDDoS攻撃をして逮捕されている。被害に遭った会社は、Webサイトが6時間ダウンした。

●誰が何のために攻撃しているのか

　年末年始に起きたような一般的なDDoS攻撃も、嫌がらせの域を出ないといえる。事実、攻撃者からは金銭の要求もなければ、マルウェア（ウイルスなど悪意あるプログラム）を感染させられたという話もない。要するに目的は「営業妨害」に過ぎないのだ。

　「じゃあ誰が何のためにやっているのか？」という話になるのだが、攻撃者は日本のインフラ機能の動きを妨害したい何者か、ということなる。そうするとまず考えられるのは、ハクティビストと呼ばれる「サイバー空間の活動家」だ。ハクティビストとは、ハッカーとアクティビスト（活動家）を足した言葉である。つまり、PCを使う活動家だ。

　例えば日本では、かつては政治家が靖国神社を参拝すると、中央省庁のWebサイトが中国の愛国ハッカーなどからDDoS攻撃を受けることが頻繁にあった。

　最近では、2022年にロシアによるウクライナ侵攻が始まった直後、当時の岸田文雄政権が米国などに同調してロシアを非難し、経済制裁に加わるという言動をとった。それを受けて、ロシア系のハクティビスト集団やサイバー攻撃集団から日本は「反ロシア国家」認定され、DDoS攻撃の対象となっている。

　実際にいくつものロシア系集団から攻撃を受けている。例えば「KillNet」「NoName057（16）」といった集団は、日本の数多くの企業や組織に対してDDoS攻撃を仕掛けてきたことで知られている。

　加えて、日本は反ロシア的な言動以外でも、DDoS攻撃のターゲットにされている。例えば、福島第一原発事故の処理水の海洋放出に絡んでも、日本は狙われている。また2023年に入管法（出入国管理及び難民認定法）が改正された際にも、難民申請の制限や、退去命令措置の強化などがなされたことで、有名ハクティビスト集団のアノニマスが「私たちは移民法に対して日本政府を標的にし続ける」と宣言している。

　ただこうした攻撃も、結局は「デモ行為」に近いもので、大々的な破壊工作などとは違うため、大騒ぎするようなものではない。相手はこちらが大騒ぎすることが目的でもある。そうすれば自分たちのメッセージを広く知らせることができるからだ。筆者が以前、ロシア系集団のDDoS攻撃の情報をXで投稿したら、この集団は筆者の投稿のスクリーンショットをうれしそうに自分のブログに掲載して紹介していた。

●DDoS攻撃に対応するために何が必要か

　今回のJALや銀行などに対する攻撃についてはこんな話もある。国外のサイバー専門家に取材すると、「2024年9〜10月の時点で、ロシア系サイバー犯罪グループなどが地下ウェブで日本に対するDDoS攻撃実施のやりとりをしていたことが確認されている」と指摘した。

　インフラ事業者などは、こうした攻撃者らが日本を狙っていることを平時からきちんと認識しておくべきだ。特に攻撃が話題になりやすい年末年始は、攻撃を想定した準備が必要だ。そうしないと、先に述べたように信用を失うといったダメージを受けることになる。

　さらに言えば、常軌を逸するレベルのDDoS攻撃が数日にわたって続くような状況になれば、「武力行使」と言ってもいい事態になる。もちろん、ハクティビスト集団ではそんな攻撃をするのは難しいため、国家などが関与することになる。DDoS攻撃といえども、その規模が常軌を逸すれば、国家をまひさせることができる。実際に、ロシア政府がエストニアにその規模の攻撃を仕掛けたことが過去にある。

　普段から、誰が攻撃を仕掛け、どこから行われるのか、自組織のどこが狙われる可能性があるかを把握するには、脅威インテリジェンス（リスク分析情報）が不可欠だ。これからのサイバー攻撃対策では、細かい脅威情報を把握することが必要だ。

　では、DDoS攻撃に対応するにはどんな準備が必要なのか。外部脅威情勢管理とサイバー脅威インテリジェンスを提供するサイファーマのクマル・リテシュ氏は「リアルタイムのトラフィック分析と識別は、サービスの中断を最小限に抑えるための重要な対策です。さらに、重要なインフラストラクチャを継続的にスキャンして脆弱性を探すことも不可欠です」と述べる。

　「さらに外部脅威の管理を全体的な戦略に組み込むことが重要です。外部脅威管理では、攻撃者、傾向、侵害の兆候などの外部脅威を監視・分析して、潜在的な攻撃に対してプロアクティブに防御できます。外部脅威の情報を常に把握しておくことで、DDoS攻撃やその他のサイバー脅威をより適切に予測して対応できます」

　デジタル化が進んだ現代では、多くの攻撃がサイバー空間で行われる。そこに投資をして対策を組み立てていく戦略がマストになっているようだ。

（山田敏弘）