知らぬ間に巻き込まれる可能性がある？ 
キルネットによるDDoS攻撃 

執筆：CISO事業部　瀧田 美香
監修：CISO事業部　吉田 卓史

• ● キルネットはロシア政府を支持するハッカー集団であり政治的な主張をするための手段としてハッキングを行う活動家（ハクティビスト）を指す
• ● キルネットは世界各国の政府機関や社会的影響度の高い重要インフラや金融機関を対象にDDoS攻撃を行い、今後も継続する可能性がある
• ● あなたが知らない間に被害者または加害者となる可能性があるため、以下に示す対策を講じることが重要である：
  • DDoS攻撃に対するリジリエンスを高めるためのCDN構築
  • 不審なアクセスを素早く検知し遮断するためのツール導入
  • また、上記に加えて日頃からの定期的な点検や棚卸のほか、自社サイトが攻撃を受けた際の迅速な被害範囲の特定

「キルネット（Killnet）」とは 
　皆さんはキルネットという言葉を新聞やWebで見たことはありますか。 

　キルネットはロシア政府を支持するハッカー集団であり社会的または政治的な主張をするための手段としてハッキングを行う活動家「ハクティビスト」（hacking＋activist）を指します。［1］ もともとキルネットはサブスクリプション型のDDoS攻撃ツールの名称［2］でしたが、ロシアのウクライナ侵攻が開始した2022年3月頃からDDoS攻撃の実行犯としてキルネットを名乗るようになりました。 

　キルネットは、ロシア発のチャットツール「Telegram」の自身のチャンネル上で賛同者を募りつつ、ロシアによるウクライナ侵攻を支持する集団として現在も政治的な主張を続けています。［3］ 

 「DDoS攻撃」とは 
　キルネットの攻撃手段の一つDDoS攻撃とはどの様な攻撃でしょうか。 攻撃対象のWebサイトやWebサーバーへ大量のトラフィックを送信してサービスを妨害する攻撃を「DoS（Denial of Service）攻撃」と言います。 

また、このDoS攻撃を不特定多数のデバイスを踏み台に分散して攻撃を行うことを「DDoS（Distributed Denial of Service）攻撃」と言います。 
DDoS攻撃は不特定多数のデバイスを用いて同時に対象への攻撃を行うため、遮断すべき攻撃送信元IPの特定が困難といった特徴があります。 

図1. DoS攻撃とDDoS攻撃の概要図 

このDDoS攻撃には複数の攻撃手法があります。 
今回はDDoS攻撃手法のうち、代表的なSYNフラッド攻撃とFINフラッド攻撃について簡単にご紹介します。

• SYNフラッド攻撃とFINフラッド攻撃 

攻撃者が接続元のIPを偽り、ボット*1を用いて接続先に接続要求を大量に送る攻撃をSYNフラッド攻撃、接続先に切断要求を大量に送る攻撃をFINフラッド攻撃と呼びます[4]。SYNフラッド攻撃やFINフラッド攻撃を受けたWebサイトやサーバーは、接続要求や切断要求元となるIPが確認できないため、確認応答を待ち続けることになります。これによりサーバーに大きな負荷がかかり、Webサイトの読み込みが遅くなる、サーバーがダウンするなどの事象が発生します。攻撃者はその隙に脆弱性を突いた不正アクセスを行い、攻撃対象の重要情報を狙います。

図2. SYNフラッド攻撃とFINフラッド攻撃の概要図 

　Cybereason社のCSO、Sam Curry氏は、キルネットは、近年ボットネット2を用いたDDoS攻撃を行っている［5］と述べています。このボットネットを用いたDDoS攻撃では、使用者も気付かない間に自宅で使用するデバイスが悪用されてしまい、自身が被害者になるだけでなく、加害者になり得る可能性があります。 

 キルネットによるDDoS攻撃の被害事例 
　ここまでキルネットの実態や攻撃手法について説明をしてきましたが、キルネットはどの様な対象をターゲットにDDoS攻撃を行っているのでしょうか。 

　具体的に過去の海外や国内の被害事例を見ていきましょう。 

海外 ：
海外では、ウクライナへの武器輸送に関わったとされる、アメリカの空港やイタリア、リトアニア政府機関のウェブサイトなどがDDoS攻撃の標的になったと報じられています。［6］ 

国内 ：
国内では、日本のロシアと中国の軍事行動への対抗姿勢を引き金に日本政府が運営する行政情報ポータルサイト「e-Gov」を含む4省庁23のWebサイト、大手クレジットカード会社「JCB」、東京メトロや大阪メトロなどの民間企業もDDoS攻撃の標的になった可能性があると報じられています。［7］［8］ 

　海外ならびに国内の被害事例を見ると、いずれも政府機関や社会的な影響度の高い重要インフラ、金融機関などが攻撃の対象となっています。サイバーセキュリティーに詳しい大阪大学の猪俣 敦夫教授は、今後もキルネットによる同様のDDoS攻撃が継続する可能性があるとしたうえで、特に社会影響度の高い重要インフラ企業や知名度の高い企業が標的になると指摘しています。［1］ またロシアによるウクライナ侵略の長期化に伴い、今後もキルネットの攻撃は続くと考えられます。先月5月に広島にてG7サミットが開催されましたが、この様な世界的に注目度の高いイベントの前にはサイバー攻撃の数も増える傾向にある[9]ため、国内からの政治的な活動や発信を注意して見守る必要があります。 

今後の対策について
　DDoS攻撃への備えとして我々はどの様な対策を講じるべきでしょうか。 世界中のDDoS攻撃を観測するインターネットイニシアティブ（IIJ）社の堂前氏は、国内で起きた事例とキルネットの攻撃の直接的な関連性は推測できないものの、前段で記載したSam Curry氏の予測と同様に、攻撃者は大量のコンピューターやWi-Fiルーターなどの機器に遠隔操作のマルウェアを感染、悪用してDDoS攻撃を行った可能性がある［1］と述べています。 

　そこで、DDoS攻撃に対するリジリエンスを高めるため、CDN（コンテンツデリバリーネットワーク）を使用したアクセス集中の負荷分散［10］や、IDS/IPSを使用したネットワークへの不審な通信の早期検知、WAFを使用したWebサイトへの不審なアクセス検知など、DDoS攻撃への対策ツール導入が重要となります。［11］ 

　そしてDDoS攻撃への対策ツール導入だけでなく日頃からの備えも重要です。自分自身がキルネットの攻撃によって被害者または加害者とならないように、例えば、個人では家で使用するWi-Fiルーターの初期パスワードの変更や定期的なパスワードの変更、企業では自社サイトが攻撃を受けた際に迅速に被害範囲を把握出来るような連絡体制の整備など、個人や企業でキルネットの脅威を意識して常日頃から準備することが最も重要だと考えます。 

 【プロフィール】

文責：瀧田 美香（たきた みか） 

2020年にアイディルートコンサルティング株式会社（IDR）の前身であるデジタルアーツコンサルティング株式会社に入社。日系大手IT企業や官公庁に向けたセキュリティ規程改訂や要件定義書策定、セキュリティ推進支援において複数のグローバルプロジェクトを経験。 

現在は、国内大手通信事業者に向けたISMS認証取得プロジェクトの案件に参画。 

監修：吉田 卓史（よしだ たくし）  

17年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。 

【参考文献】 

[1] "キルネットとは何者か？," NHK, September 26, 2022, https://www3.nhk.or.jp/news/special/sci_cul/2022/09/special/2022-09-cyber/. 

[2] "Killnet: The Hactivist Group That Started A Global Cyber War," RELIAQUEST, June 8, 2022, https://www.reliaquest.com/blog/killnet-the-hactivist-group-that-started-a-global-cyber-war/. 

[3] Ben, Munroe, and Patrick R. Donahue, "Killnet and AnonymousSudan DDoS attack Australian university websites, and threaten more attacks - here's what to do about it," March 29, 2023, https://blog.cloudflare.com/ddos-attacks-on-australian-universities/. 

[4] "DDoS攻撃の主な攻撃手法8つの特徴をまとめてみた," October 24, 2019, https://www.shadan-kun.com/blog/measure/1426/. 

[5] Alex, Scroxton, "Killnet DDoS attacks disrupt Nato websites," ComuterWeekly.com, February 13, 2023, https://www.computerweekly.com/news/365530999/Killnet-DDoS-attacks-disrupt-Nato-websites. 

[6] "日本政府や日本企業に"サイバー攻撃" 「キルネット」とは," NHK, September 12, 2022, https://www3.nhk.or.jp/news/html/20220912/k10013814111000.html. 

[7] 谷井 将人, "「大量のアクセス」　ロシア支持ハッカー集団「KILLNET」からの攻撃か　e-Gov、mixiなどで障害," ITmedia News, September 7, 2022, https://www.itmedia.co.jp/news/articles/2209/07/news104.html. 

[8] " 2日連続のe-Gov障害、原因は別だった　KILLNETの関与は"言及しない,"" ITmedia News, September 14, 2022, https://www.itmedia.co.jp/news/articles/2209/14/news175.html. [9] "第1部　5Gが促すデジタル変革と新たな日常の構築," 総務省, n.d., https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd134310.html. 

[10] "CDN とは," NTT Communications, n.d., https://www.ntt.com/bizon/glossary/e-c/cdn.html. 

[11] "DDoS攻撃の被害事例とは？攻撃によるリスクや被害への対策を紹介！," NTT東日本, April 26, 2023, https://business.ntt-east.co.jp/service/cybermimamori/column/cybermimamori_ddos_none/index.html#anc-5-3.