海の向こうの“セキュリティ”

リフレクション攻撃が増加し、DDoS攻撃は小型化/2015年のセキュリティを振り返る

リフレクション攻撃が増加し、DDoS攻撃は小型化〜Akamaiの四半期レポート

 Akamaiは、DDoS攻撃などに関する調査結果を四半期ごとにまとめた「インターネットの現状」報告書の2015年第3四半期版を公開しました。以前は、Akamaiにおいて主にDDoS攻撃などに対応していた専門チーム「PLXsert(Prolexic Security Engineering and Response Team)」による調査報告書でしたが、今回はAkamaiのCSIRTとPLXsertを統合して2015年9月に正式に立ち上げられた「Akamai SIRT(Security Intelligence Response Team)」による初めての報告書となっています。

 サマリによれば、第3四半期のDDoSの傾向を2014年第3四半期および2015年第2四半期とそれぞれ比較した結果で注目すべきポイントは以下のようになっています。

2014年第3四半期との比較

  • DDoS攻撃全体は179.66%の増加
  • アプリケーション層(第7層)のDDoS攻撃は25.74%の増加
  • インフラ層(第3、4層)のDDoS攻撃は198.1%の増加
  • 攻撃の平均継続時間は15.65%(22.36時間→18.86時間)の減少
  • ピークの攻撃帯域幅の平均値は65.58%の減少
  • ピークの攻撃量の平均値は88.72%の減少
  • リフレクション攻撃は462.44%の増加
  • 100Gbpsを超える攻撃は52.94%(17→8件)の減少

2015年第2四半期との比較

  • DDoS攻撃全体は22.79%の増加
  • アプリケーション層(第7層)のDDoS攻撃は42.27%の減少
  • インフラ層(第3、4層)のDDoS攻撃は30.21%の増加
  • 攻撃の平均継続時間は8.87%(20.64時間→18.86時間)の減少(※8.62%の減少の間違い)
  • ピークの攻撃帯域幅の平均値は25.13%の減少
  • ピークの攻撃量の平均値は42.67%の減少
  • リフレクション攻撃は40.14%の増加
  • 100Gbpsを超える攻撃は33.33%(12→8件)の減少

 DDoS攻撃の件数全体としては増えていますが、100Gbpsを超える大規模な攻撃は減っていることが分かります。また、継続時間も短くなっていることから、攻撃の頻度は増している一方で、攻撃は小型化、短時間化しているようです。

 ウェブアプリケーションへの攻撃を2015年第2四半期と比較した結果は以下のようになっています。

  • HTTPウェブアプリケーション攻撃は96.36%の増加
  • HTTPSウェブアプリケーション攻撃は79.02%の減少
  • SQLインジェクション攻撃は21.64%の増加
  • LFI(Local File Inclusion)攻撃は204.73%の増加
  • RFI(Remote File Inclusion)攻撃は57.55%の増加
  • PHPインジェクション攻撃は238.98%の増加

 上記トピックの他に注目(注意)すべきポイントとして、DDoS攻撃の内訳の変遷を四半期ごとにまとめたのが以下の図です。

 一昨年来、ネットワーク内のUPnP(Universal Plug and Play)機器の探索に使われる「SSDP(Simple Service Discovery Protocol)」を利用したリフレクション攻撃が注目されていますが、攻撃全体に占める割合は、第1四半期をピークに減少傾向にあることが分かります。逆に、DNSやNTPなどは増加傾向にあります。ただし、これらのリフレクション攻撃自体は全体として大きく増加している(2014年第3四半期からは462.44%の増加、2015年第2四半期からは40.14%の増加)ことから、SSDPの攻撃自体が減っているわけではなく、むしろ増加していることに注意が必要です。

 なお、リフレクション攻撃が増加している理由について、Akamaiは、ボットを使った攻撃よりも、手軽であり、かつ攻撃元を特定されにくいためとしており、これにより、DDoS攻撃全般が小型化しているのではないかとしています。

 中でもSSDPは、一般家庭で導入されている安価なネットワーク対応機器でも使われており、技術に詳しくない一般利用者が不適切な設定のまま放置したり、ソフトウェアを更新せずに脆弱性を放置したりしているケースが多々あるため、攻撃の踏み台として手軽に悪用できてしまうというわけです。

 次に、DDoS攻撃の対象を業種別にまとめたのが以下の図です。

 「ゲーム」が増加し、半分を占めているのが目を引きます。これは、DDoS攻撃全体に占めるリフレクション攻撃の割合が増加している状況をそのまま反映しているそうです。なお、リフレクション攻撃の占める割合の変遷を示したのが以下の図です。

 DDoS攻撃は基本的に防ぎようがありませんし、多くの場合、技術的な対策は利用しているISPやホスティング事業者にお願いするしかありません。それでも、いざという時(攻撃発生時だけでなく、予兆検知や攻撃予告を含む)に経営層などの関係者に速やかに連絡が取れる体制は自組織内に必要です。また、直接の対策ではありませんが、自社の公式ウェブサイトが攻撃を受けてアクセスしづらくなってしまった際に状況を外部に説明できるように、他の媒体、例えば、公式のSNSアカウントなどをあらかじめ用意しておくことをお勧めします。

2015年のセキュリティを振り返る

 2015年はセキュリティに関する話題が尽きることのない1年で、あまりの多さに情報を拾うだけで手一杯でした。そんな莫大な数のセキュリティ関連の話題の中から、特に印象に残ったものを選んで紹介します。ほぼ「趣味」で選んだものばかりなので、網羅性や公平性がないことはあらかじめご容赦ください。何かの報告書などを作成する際の「参考」に使っていただければ幸いですが、「そんなこともあったなぁ」と懐かしんでいただくだけでも宜しいかと思います。

 まず、2015年の1年間を通して挙げられるポイントとしては以下のものがあります(順不同)。

  • Adobe Flash Playerの脆弱性
  • CMS(およびそのプラグイン)の脆弱性
  • ルーターやウェブカメラ等の脆弱性(≒IoT機器の脆弱性)
  • マルバタイジング
  • ランサムウェア
  • 政府機関の関与が疑われるサイバー攻撃、諜報活動

 これらは残念ながら2016年には一層「悪化」するのは間違いないでしょう。おそらく1年後にも同じように「年間のトピック」として取り上げられることになると思われます。

 次に、各月に報道された話題の中から「厳選」したトピックを以下に紹介します。

1月

2月

3月

4月

5月

6月

7月

8月

9月

10月

11月

12月

 セキュリティに関する話題が尽きることのない状況は、2016年も変わることはないでしょうし、情報過多によって不正確なものや誤報が増えることも避けられないでしょう。このような中、情報の収集分析は片手間にできるものではなく、より一層の専門性が求められるようになって来ています。2016年はその重要性が今以上に広く認識されるようになることを期待しています。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。