Microsoft confirms Azure, Outlook outages caused by DDoS attacks
2023/06/18 BleepingComputer — Microsoft が発表したのは、先日に Azure/Outlook/OneDrive の Web ポータルで発生した障害が、同社サービスの Layer 7 に対する DDoS 攻撃であったというものだ。この攻撃は、Microsoft が Storm-1359 として追跡している脅威アクター (別名 Anonymous Sudan) に起因するものだと見られている。この障害は 2023年6月初旬に発生し、Outlook.com (7日)/OneDrive (8日)/Microsoft Azure (9日) という順序で、それぞれの Web ポータルが標的となった。
障害が発生した当時、Microsoft は、DDoS 攻撃を受けていることを公開していなかった。しかし、いくつかのインシデントについて、「問題を軽減するためにロード・バランシング処理を適用している」と述べており、攻撃を受けていることが示唆されていた。
同社は、先週に発表されたレポートにおいて、「ネットワーク・トラフィックの急増が、これらのサイトへのトラフィックを管理する能力に影響を与え、顧客が各サイトにアクセスする際に問題が生じていることを確認した」と説明している。
さらに Microsoft は、6月16日に発表した Microsoft Security Response Center の投稿において、これらの障害は、Storm-1359 として追跡されている脅威アクターによる、同社サービスの Layer 7 に対する DDoS 攻撃が原因であると公表している。
さらに Microsoft は、6月16日に発表した Microsoft Security Response Center の投稿において、これらの障害は、Storm-1359 として追跡されている脅威アクターによる自社サービスに対する Layer 7 DDoS 攻撃が原因であると公表している。
同社のブログでは、「我々は 2023年6月上旬から、一部のサービスに対するトラフィックの急増を発見し、一時的に可用性に影響が生じていることを確認した。直ちに調査を開始し、我々が Storm-1359 として追跡している脅威アクターによる、継続的な DDoS 活動に対する追跡を開始した。これらの攻撃は、複数の VPS (Virtual Private Servers) へのアクセス/レンタル・クラウド・インフラ/オープン・プロキシ/DDoS ツールに依存していると思われる。我々は、顧客データへの不正アクセスおよび漏洩については証拠を確認していない」と説明されている。
Layer 7 DDoS 攻撃とは、脅威アクターがアプリケーション・レベルをターゲットに、大量のリクエストでサービスを圧倒し、処理しきれずにサービスをハングアップさせるものだ。
Microsoft によると Anonymous Sudan は、HTTP(S) フラッド攻撃/キャッシュ・バイパス/スローロリスなどの、3種類の Layer 7 DDoS 攻撃を使用しているとのことだ。
それぞれの DDoS 攻撃は、 Web サービスを圧倒し、利用可能な接続をすべて使い果たし、新しいリクエストを受け付けられなくする。
Anonymous Sudan とは
この脅威アクターを、Microsoft は Storm-1359 として追跡しているが、このグループは一般的に Anonymous Sudan として知られている。Anonymous Sudan は 2023年1月に発足し、スーダンに干渉する国々に対して攻撃を行うと警告している。それ以来、同グループは、世界中の組織や政府機関を標的にして、DDoS 攻撃を仕掛けてダウンさせ、また、盗み出したデータを流出させるなどしている。
5月からは、大規模な組織を標的にして、攻撃を止めるためと言い、金銭の支払いを要求している。この攻撃では、まずスカンジナビア航空 (SAS) が標的とされ、脅威アクターは DDoS 攻撃を止めるための $3,500 を要求した。その後にも、Tinder/Lyft などの米国企業の Web サイトや、米国内の各種の病院を標的としてきた。
Anonymous Sudan は 6月に Microsoft に目を向け、Outlook/Azure/OneDrive の Web アクセスが可能なポータルに DDoS 攻撃を開始し、攻撃を止めるために $1M を要求した。同グループは、「何時間も続く攻撃を撃退できなかったので、$1M を払って、サイバーセキュリティの専門家に攻撃を撃退する方法を教え、私たちからの攻撃を止めるのはどうだろうか? $1M なんて、貴社にとっては微々たるものだ」と要求している。
Anonymous Sudan は Outlook への DDoS 攻撃の際に、「この攻撃は、アメリカの国務長官がスーダン侵攻の可能性に言及したことへ報復であり、米国の企業やインフラに対する継続的なキャンペーンである」とコメントしている。しかし、一部のサイバー・セキュリティ研究者たちは、スーダンとの関連性は偽りであり、このグループはロシアとつながっている可能性があると見ている。
この関連性については、今週に Killnet や Revil といった親ロシアグループからなる、DARKNET Parliament の形成という主張があったことで、さらに明白になったのかもしれない。
Killnet は、ヨーロッパの銀行インフラへの攻撃について、「72時間前に、ロシアとスーダンのハッカーグループの3人のトップが DARKNET Parliament で定例会議を開き、共通の決定に至った。今日、我々はヨーロッパの銀行送金システム SEPA/IBAN/WIRE/SWIFT/WISE への制裁を開始する」と警告している。
欧州の銀行システムに対する攻撃が開始されたという事実はないが、同グループが自由に使える膨大なリソースを有していることが示されており、金融機関は混乱に対して警戒する必要がある。
先ほどポストした 2023/06/17 の「Killnet の主張:REvil/Anonymous Sudan と連携して欧米の金融組織を攻撃する」では、この三連合の話が詳しく述べられています。それにしても、DDoS 耐性が高いはずの Microsoft を、これほど手こずらせるというのは、文中にあるように、膨大なリソースを有しているからなのでしょう。よろしければ、以下の関連記事も、ご参照ください。
2022/03/01:DDoS :反射パターンの調整で 6,533% の増幅率
2021/09/02:DDoS 調査:短時間と高帯域というトレンド
2021/08/16:ファイアウォールやミドルボックスは DDoS の最終ウェポン?
IoT OT Security News 
You must be logged in to post a comment.