「秘密の質問」に嘘の答えを設定する理由／Akamai、DDoS攻撃等に関する2015年第1四半期レポート

「秘密の質問」に嘘の答えを設定する理由

　パスワード再設定時に使われる「秘密の質問」に関するGoogleの研究結果が発表され、いくつかのメディアで報道されました。結論としては、かねてから指摘されていたように「秘密の質問は安全ではない」というもので、その結果自体に驚きはありません。しかし、元のGoogleの論文の中に、あまりメディアでは報道されていませんが、少しだけ興味深い調査結果があったので紹介します。

　「秘密の質問」にあえて嘘の答えを設定する人がいますが、その理由を尋ねた結果をまとめたのが図8です。

図8

　最も多いのは「（第三者に）容易に推測されないように」というもので37.0％を占めています。一方、この理由とは逆と考えられる「（自分が）覚えやすいように」とするものが14.6％となっています。前者はともかく、後者については「正しくない情報だから覚えやすい」という理屈に合点が行きませんが、「そういう考えの人も少なからずいるのか」という驚きがありました。

　また、「本当の答えを共有したくない」というものが31.9％と、比較的高い割合を占めており、報告書では、このようなパスワード再設定時の本人確認におけるプライバシーへの懸念をどのように取り扱うかは未解決の問題であるとしています。

　メディアの報道で紹介されているのは論文の一部だけであり、実際にはかなり細かくいろいろな調査を行った結果がまとめられています。トータルで150ページにも及ぶ論文なのですべてに目を通すことはできないかもしれませんが、個々のグラフや表を見るだけでも「なるほど」「面白い」と思える論文です。興味のある方はぜひ。

Akamai、DDoS攻撃等に関する2015年第1四半期レポート

　本連載の3月の記事でも紹介した、Akamaiにおいて主にDDoS攻撃などに対応する専門家チーム「PLXsert（Prolexic Security Engineering and Response Team）」による調査を四半期ごとにまとめた「インターネットの現状」報告書の2015年第1四半期版が公開されました。

　すでに日本語で公開されているプレスリリースにもまとめられているように、DDoS攻撃について、1年前および前四半期と比較すると、それぞれ以下のようになっています。

2014年第1四半期との比較
・DDoS攻撃の総数は116.5％増加
・アプリケーション層（第7層）へのDDoS攻撃は59.83％増加
・インフラ層（第3、4層）へのDDoS攻撃は124.69％増加
・平均攻撃時間は、17.38時間から24.82時間へ、42.8％増加

2014年第4四半期との比較
・DDoS攻撃の総数は35.24％増加
・アプリケーション層（第7層）へのDDoS攻撃は22.22％増加
・インフラ層（第3、4層）へのDDoS攻撃は36.74％増加
・平均攻撃時間は29.33時間から24.82時間へ15.37％減少

　平均攻撃時間が前四半期と比べると短くなっているものの、DDoS攻撃の数は急増しており、1年前と比べると2倍以上になっています。

　攻撃の内容を具体的に見ていくと、DDoS攻撃をタイプ別にまとめたのが図1-3で、1年前の2014年第1四半期と前四半期（2014年第4四半期）と比較したのが図1-4です。

図1-3

図1-4

　前四半期のレポートでも指摘されていた、2014年夏以降に急増していたSSDP（Simple Service Discovery Protocol）増幅攻撃が、前四半期でトップだったSYN Floodを抜いて、本四半期でついにトップとなりました。しかも全体に占める割合が2割を超えています。1年前には影も形もなかったSSDP増幅攻撃が1年も経たずに最もメジャーなDDoS攻撃の手法になったわけです。ちなみに、SSDP増幅攻撃が急増している理由としては、前回の報告書内で、世界中の一般家庭で使われているUPnPデバイスを悪用できるという数の多さと、ユーザーのリテラシーの低さによって対策されないまま放置されていることが多い（＝NTPやDNSのような基本的に専門家によって管理されているものとは違う）点が挙げられていました。

　また、攻撃対象のインフラ層とアプリケーション層の比率が約9：1となっているのは、この1年以上継続している傾向で、中でも、SSDP増幅攻撃のようなリフレクション攻撃が主たる手法となっている理由として本報告書では、攻撃が容易なだけでなく、攻撃に必要なリソースが少なくて済むからとしています。

　DDoSの攻撃元（発信元）IPアドレスを国や地域別に分類したのが図1-5で、1年前の2014年第1四半期と前四半期（2014年第4四半期）と比較したのが図1-6です。

図1-5

図1-6

　これまで米国と中国がそれぞれ1位と2位を占めていましたが、米国が3位に後退、1位が中国、2位がドイツとなっています。ただし、ここで注意しなければならないのは割合の値そのものが減っているからといって攻撃自体が減っているわけではないという点です。最初に紹介したように攻撃は1年前と比較して倍以上、前四半期と比較しても35％も増えており、前四半期のトップ（米国）が31.54％だったの対し、今四半期のトップ（中国）は23.45％と、割合は減っていますが、実数では66％も増えているそうです。

　攻撃対象を業界ごとに分類したのが図1-7です。今四半期も引き続きゲーム業界が他を圧倒して多い状況になっています。

図1-7

　2014年第1四半期に比べてどれだけDDoS攻撃が増えたかを週ごとに示したのが図1-8です。1月の増加ぶりが目立ちます。

図1-8

　次に、ウェブアプリケーションに対して行なわれた1億7885万件の攻撃について調査・分析した結果を紹介します。

　最も多かったのはローカルファイルインクルード攻撃（LFI）で1億1855万件（66.29％）、次いでSQLインジェクション（SQLi）攻撃が5215万件（29.16％）となっており、この2種類で全体の95％以上を占めています。ただし、LFIに関しては第1四半期の第12週だけで7485万件という偏りがあります（図1-11参照）。

図1-11

　また、HTTPでの攻撃は1億6362万件（91.48％）で、HTTPSとの比はほぼ9：1となっています（図1-12参照）。ただし、これはそもそもHTTPSよりもHTTPを使っているサイトの数が多いからであり、HTTPSを使っていれば攻撃されにくいというわけではないことに注意が必要です。

図1-12

　ウェブアプリケーション攻撃の発信元IPアドレスを国や地域別にまとめたのが図1-14です。米国だけで半数以上を占めており、BRIC（ブラジル、ロシア、インド、中国）と合わせて、ほぼ8割を占めています。

図1-14

　逆に攻撃先をまとめたのが図1-15です。米国だけで8割を超えており、他を圧倒しています。日本は1.8％で4番目に位置しています。

図1-15

　今回紹介した攻撃全体の傾向だけでなく、レポートの中では、より詳細な分析結果やケーススタディ、さらに、IPv6の採用によりもたらされる新たなセキュリティ上のリスクを紹介しているなど、ISP以外の方にも読むべき価値のある情報が掲載されています。ぜひ一読を。