攻撃の「悪化」傾向は変わらず～Akamaiの第2四半期レポート

　Akamaiは、DDoS攻撃などに関する調査結果を四半期ごとにまとめた「インターネットの現状」報告書の2016年第2四半期版を公開しました。ポイントは以下の通りです。

2015年第2四半期との比較

• DDoS攻撃全体は129％の増加
• インフラ層（第3、4層）の攻撃が151％の増加
• NTPリフレクション攻撃が276％の増加
• UDPフラッド攻撃が70％の増加

2016年第1四半期との比較

• DDoS攻撃全体は9％の増加
• インフラ層（第3、4層）の攻撃が10％の増加
• UDPフラッド攻撃が47％の増加
• 100Gbpsを超える攻撃は37％の減少（19件から12件に）

ウェブアプリに対する攻撃の2016年第1四半期との比較

• ウェブアプリに対する攻撃全体は14％の増加
• ブラジルを発信元とする攻撃が197％の増加
• 米国を発信元とする攻撃が13％の減少
• SQLインジェクション攻撃が7％の増加

　まず、第2四半期のDDoS攻撃の内容を見てみます。前四半期同様「UDP Fragment」が他を圧倒していますが、前四半期の27.35％から23.30％に減っています。また、NTPが11.70％から15.51％に、SNMPが0.71％から1.40％にそれぞれ増加している点も注目すべきでしょう。

第2四半期のDDoS攻撃の内容

参考：前四半期のDDoS攻撃の内容

　DDoS攻撃の内容の推移を示したのが以下の図です。2016年5月に見られるピークはゲーム業界を対象とした攻撃によるものとのことです。

　昨年以降、単一の攻撃ではなく、複数の攻撃の組み合わせが増えてきていましたが、第2四半期では逆に単一の攻撃が増え、全体の51％を占めています。これはNTPの攻撃が増えたことに関係しており、DDoS攻撃全体に占めるNTPの割合は15.51％ですが、さらに細かく見ると、NTPのみの攻撃が全体の10％を占めているそうです。

　DDoS攻撃の発信元を国や地域別でまとめたのが以下の図です。中国と米国がトップ2を占めている結果は前四半期と変わりありませんが、中国の占める割合が27.24％から56.09％に大きく増えている点は注目すべきでしょう。

　DDoS攻撃の対象を業種別にまとめたのが以下の図です。半数以上がオンラインゲーム、次いで「ソフトウエアおよびテクノロジー」となっていますが、両者は無関係ではなく、例えば、ゲームのプラットフォームとして使われているSaaSが狙われるケースもあります。そのため、両者で攻撃のタイプには同じものが見られます。

　DDoS攻撃のうち、リフレクション攻撃に限定してまとめたのが以下の図です。NTPが前四半期と比べて27.70％増加し、リフレクション攻撃全体の59％を占めて他を圧倒しています。また、RPC以外のリフレクション攻撃が増加していることも分かります。

　次に、ウェブアプリに対する攻撃の内容を見てみます。「SQL Injection（SQLi）」と「Local File Inclusion（LFI）」が圧倒的多数で上位を占めている結果はこれまでと同様です。

　ただし、ここで注意しなければならないのは、今回はShellshockの脆弱性を狙った攻撃を抜いているため、過去の調査結果とそのままでは比較できないという点です。Shellshockを抜いた理由について報告書では、攻撃とスキャン（弱点探索、脆弱性診断など）の区別がつかないためと説明しています。これはすなわち、これまでの報告書でもShellshockを狙った攻撃とされたものの中には脆弱性診断などの攻撃を意図したものではないものが少なからず含まれていたことを意味しており、特に前回の報告書で「Shellshockの脆弱性を狙った攻撃が未だに続いている」としていた内容に「誤り」とまでは言えないまでも不正確な部分が含まれているということになります。しかし、今となってはその正確性を判断・評価するのは難しいでしょう。なお、Shellshockを狙った攻撃については、9月18日以降、世界的に増加しているとの観測結果をIBMが発表しています。

　ウェブアプリに対する攻撃の発信元を国や地域別にまとめたのが以下の図です。これまでは米国がトップでしたが、今回はブラジルが初めてトップとなっています。ブラジルが増加したのは、4月に起きたホテル業界に対する一連の攻撃によるものとのことです。

　攻撃先を国や地域別にまとめたのが以下の図です。今回も米国が他を大きく引き離してトップとなっています。

　攻撃先を業種別でまとめたのが以下の図です。前四半期に引き続き、小売業界が他を引き離してトップとなっていますが、割合は46％から40％に減っています。逆にホテルおよび旅行業界の割合が7％から21％に大きく増えています。

　ウェブアプリに対する攻撃の発信元がプロキシサーバーやVPNによって匿名化されているか否かを調べた結果が以下の図です。発信元IPアドレスの2割弱、攻撃の3割強が何らかの匿名化サービスを使っています。

　攻撃のタイプ別にプロキシサーバーが使われている割合を示したのが以下の図です。XSSの攻撃のほとんどでプロキシサーバーが使われていることが分かります。

　このような攻撃に使われたプロキシサーバーやVPNサービスの物理的な場所をまとめたのが以下の図です。7割近くが米国内あることが分かります。米国外、特にサイバー攻撃のリスクの高い国や地域からのアクセスを遮断（制限）したウェブサイトを攻撃するために、攻撃者が米国内にあるプロキシサーバーやVPNサービスを使うのは当然のことで、それだけ米国のサイトが狙われていることを示していると言えます。

　DDoS攻撃に関しては1年前と比べて大幅に悪化している状況が見えるものの、本連載の7月5日付記事（Akamaiの第1四半期レポート、減少傾向に見えたShellshockへの攻撃が増加）で紹介した前四半期の報告書の内容と比較すると、全体の傾向として大きく変わる結果ではありません。そのため、今回の報告書に対するメディアの注目度は世界的に見てもいつもより低いようです。

　それでも、このような定期的に出される報告書を継続して確認することで、点ではなく線で傾向を捉えることは脅威分析においては重要なポイントです。Akamaiの報告書は図を見るだけでも（概ね）分かるように工夫されていますので、じっくり読む時間がない場合は図だけでも目を通しておくことをお勧めします。

　ちなみにDDoSに関しては、米国の有名セキュリティ情報サイト「Krebs on Security」が600Gbpsを超える大規模な攻撃を受けたことから、これまで無料でホスティングしていたAkamaiが同サイトへのサービスを取りやめた（その後、Googleが引き継いだ）ことが話題になりました。Akamaiが経験した過去最大の攻撃が、今年に入ってから起きたピーク時363Gbpsの攻撃だったことからも、今回の攻撃の大きさが尋常ではなかったことが分かります。また、今回の報告書にもあるような近年主流となっているリフレクション攻撃ではなく、巨大ボットネットのみを使って仕掛けられた攻撃で、しかも、攻略されたIoT機器（ルーター、ネットワークカメラ、デジタルビデオ録画機）などで構成されているボットネットとの見方もあり、この点でも注目を集めています。