出典:Shutterstock提供 Tomasz Makowski
NoName057(16)として知られる親ロシア派のハクティビスト集団が、ボランティアに配布される分散型サービス妨害(DDoS)ツールを用いて、ウクライナおよび西側の政治的利害に結び付く政府、メディア、機関のWebサイトを混乱させている。
同グループは少なくとも2022年以降活動しており、DDoSiaと呼ばれる独自のサービス妨害プラットフォームに依存している。これは最小限の技術スキルしか持たない個人でも、標的組織に対する協調攻撃に参加できるようにするものだ。NoName057(16)の多くのキャンペーンは、西側の制裁、外交措置、軍事支援の発表といった主要な地政学的出来事としばしば同時期に発生しており、同グループはそれらを報復的なサイバー攻撃に値する挑発として素早く位置付ける。こうした動きは他のイデオロギー主導のサイバー作戦とも類似している。
持続的で政治的動機に基づくキャンペーン
「NoName057(16)は、古典的な秘匿型ボットネットというより、組織化された『コミュニティ運用』に近い、持続的で政治主導のDDoSプログラムを運用している」と、今週この作戦の詳細分析を公表したSOCRadarの脅威リサーチャー、アーロン・ジョルネ氏は述べる。「DDoSiaは目的特化型のツールで、参加者がクライアントを自覚的にインストールし、C2(コマンド&コントロール)基盤から標的と設定を受け取り、プロパガンダやゲーム化されたインセンティブによって関与を維持するというボランティアモデルで配布されている」と同氏は言う。
SOCRadarの分析によれば、NoName057(16)は周到に計画した攻撃を実行する際に、再現可能な手順書(プレイブック)を用いている。標的を特定した後、ハクティビスト集団は通信ネットワークを通じて今後のキャンペーンを告知し、政治的レトリックやプロパガンダを展開して、計画された作戦への支持者動員を図る。SOCRadarは、NoName057(16)がTelegramやXなどのチャネルを通じて、支持者とキャンペーンの詳細を頻繁にやり取りしていることを確認した。
次の段階では、システム上でDDoSiaクライアントを稼働させることに同意した全ての支持者へ攻撃パラメータが配布される。NoName057(16)が管理するC2サーバーが参加者に標的情報と技術設定を提供し、数百から数千のボランティア運用ノードにまたがって攻撃を協調させることを可能にする。SOCRadarによれば、アフィリエイト(ボットネットの一部であるボランティア)には、それぞれのシステム能力に基づいて特定の攻撃タイプが割り当てられ、標的サービスに対する圧力を数時間、場合によっては数日間にわたり維持できるという。
「NoName057(16)は、極端な帯域幅よりも効率と持続性を重視している」とジョルネ氏は言う。「同グループは、HTTPおよびHTTP/2の悪用、HTTP HEADフラッド、低速接続手法、キャッシュバスティングといったアプリケーション層の手法を用い、[コンテンツ配信ネットワーク(CDN)]を迂回してオリジンサーバーに負荷をかけるようトラフィックを通過させる。」
他の多くのDDoS運用者と同様に、同グループはマルチベクターのキャンペーンも実施しており、TCP/UDPベースのフラッドとアプリケーション層攻撃を組み合わせることで、標的への圧力を高め、DDoSトラフィック量自体が中程度であっても復旧を困難にしている。
混乱は招くが破壊的ではない
ジョルネ氏によれば、SOCRadarは、NoName057(16)がボランティア主導の攻撃で通常どの程度のDDoSトラフィック量を生成しているのかを特定できていない。というのも、そのデータを保有しているのは通常、CDN、ISP、各国のCERT組織だからだ。「その代わり、SOCRadarは攻撃頻度と範囲を通じて規模を測定している。2025年11月24日〜30日を対象とした当社の週次DDoS脅威インテリジェンスの一つでは、147のユニークホストと173のユニークIPアドレスを標的とする7,939件のDDoS攻撃コマンドをSOCRadarが観測した」と同氏は述べる。
攻撃の大半は混乱を引き起こすものの破壊的ではなく、技術的な高度さや高ボリュームでインフラを破壊する攻撃というより、持続性、反復性、協調性が同グループの主な強みであることを示しているとジョルネ氏は言う。「しかし、NoName057(16)はこれまで、特にDDoS対策が限定的な政府および公共部門のWebサイトに対して、短期的なサービス停止を引き起こすうえで効果を上げてきた。」
各キャンペーンの後、NoName057(16)の関係者は可視性と強化に注力する。運用者はスクリーンショット、停止の確認情報、パフォーマンス統計をソーシャルプラットフォーム上に公開し、各攻撃の結果について支持者に周知する。参加者の関与を維持するため、内部のランキングボードと報酬制度も用意されている。その後、同グループは作戦の有効性を見直し、必要に応じてインフラやツールを調整し、次のキャンペーンの準備を開始する――選定、実行、改善の継続的なサイクルを作り出している。
DDoSiaという攻撃ツール自体も、年々着実に進化してきた。最初のバージョンは概念実証に近いもので、Windowsシステムでのみ動作した。機能は限定的で、単純で容易にブロックされるトラフィックフラッド手法に依存し、防御回避能力はほとんどなかった。時間の経過とともに、NoName057(16)はツールの進化を続け、Linux、ARMベースデバイス、Windows、Androidで動作可能な、比較的高度でモジュール化されたマルチプラットフォームの武器へと変貌させた。現在のツールには複数の攻撃手法と、より堅牢で暗号化されたC2メカニズムが組み込まれている。近年のDDoSiaバージョンにおける検知回避機能には、トラフィックのランダム化や、セキュリティツールを混乱させて見逃させることを狙った現実的なクライアント署名の使用が含まれる。
「DDoSiaの最も重要な側面の一つは、ノードと標的の能力に応じて異なる攻撃を実行できる点であることは間違いない。これにより、キャンペーンや攻撃を仕掛けるデバイスに応じて適応し、効率を維持できる」とSOCRadarは報告書で述べた。ジョルネ氏は、技術知識が乏しい参加者でも、このツールを使って標的に対するDDoSトラフィックを容易に生成できるよう設計されていると付け加える。
