海の向こうの“セキュリティ”
リフレクション攻撃が増加し、DDoS攻撃は小型化/2015年のセキュリティを振り返る
2016年1月4日 06:00
リフレクション攻撃が増加し、DDoS攻撃は小型化~Akamaiの四半期レポート
Akamaiは、DDoS攻撃などに関する調査結果を四半期ごとにまとめた「インターネットの現状」報告書の2015年第3四半期版を公開しました。以前は、Akamaiにおいて主にDDoS攻撃などに対応していた専門チーム「PLXsert(Prolexic Security Engineering and Response Team)」による調査報告書でしたが、今回はAkamaiのCSIRTとPLXsertを統合して2015年9月に正式に立ち上げられた「Akamai SIRT(Security Intelligence Response Team)」による初めての報告書となっています。
サマリによれば、第3四半期のDDoSの傾向を2014年第3四半期および2015年第2四半期とそれぞれ比較した結果で注目すべきポイントは以下のようになっています。
2014年第3四半期との比較
- DDoS攻撃全体は179.66%の増加
- アプリケーション層(第7層)のDDoS攻撃は25.74%の増加
- インフラ層(第3、4層)のDDoS攻撃は198.1%の増加
- 攻撃の平均継続時間は15.65%(22.36時間→18.86時間)の減少
- ピークの攻撃帯域幅の平均値は65.58%の減少
- ピークの攻撃量の平均値は88.72%の減少
- リフレクション攻撃は462.44%の増加
- 100Gbpsを超える攻撃は52.94%(17→8件)の減少
2015年第2四半期との比較
- DDoS攻撃全体は22.79%の増加
- アプリケーション層(第7層)のDDoS攻撃は42.27%の減少
- インフラ層(第3、4層)のDDoS攻撃は30.21%の増加
- 攻撃の平均継続時間は8.87%(20.64時間→18.86時間)の減少(※8.62%の減少の間違い)
- ピークの攻撃帯域幅の平均値は25.13%の減少
- ピークの攻撃量の平均値は42.67%の減少
- リフレクション攻撃は40.14%の増加
- 100Gbpsを超える攻撃は33.33%(12→8件)の減少
DDoS攻撃の件数全体としては増えていますが、100Gbpsを超える大規模な攻撃は減っていることが分かります。また、継続時間も短くなっていることから、攻撃の頻度は増している一方で、攻撃は小型化、短時間化しているようです。
ウェブアプリケーションへの攻撃を2015年第2四半期と比較した結果は以下のようになっています。
- HTTPウェブアプリケーション攻撃は96.36%の増加
- HTTPSウェブアプリケーション攻撃は79.02%の減少
- SQLインジェクション攻撃は21.64%の増加
- LFI(Local File Inclusion)攻撃は204.73%の増加
- RFI(Remote File Inclusion)攻撃は57.55%の増加
- PHPインジェクション攻撃は238.98%の増加
上記トピックの他に注目(注意)すべきポイントとして、DDoS攻撃の内訳の変遷を四半期ごとにまとめたのが以下の図です。
一昨年来、ネットワーク内のUPnP(Universal Plug and Play)機器の探索に使われる「SSDP(Simple Service Discovery Protocol)」を利用したリフレクション攻撃が注目されていますが、攻撃全体に占める割合は、第1四半期をピークに減少傾向にあることが分かります。逆に、DNSやNTPなどは増加傾向にあります。ただし、これらのリフレクション攻撃自体は全体として大きく増加している(2014年第3四半期からは462.44%の増加、2015年第2四半期からは40.14%の増加)ことから、SSDPの攻撃自体が減っているわけではなく、むしろ増加していることに注意が必要です。
なお、リフレクション攻撃が増加している理由について、Akamaiは、ボットを使った攻撃よりも、手軽であり、かつ攻撃元を特定されにくいためとしており、これにより、DDoS攻撃全般が小型化しているのではないかとしています。
中でもSSDPは、一般家庭で導入されている安価なネットワーク対応機器でも使われており、技術に詳しくない一般利用者が不適切な設定のまま放置したり、ソフトウェアを更新せずに脆弱性を放置したりしているケースが多々あるため、攻撃の踏み台として手軽に悪用できてしまうというわけです。
次に、DDoS攻撃の対象を業種別にまとめたのが以下の図です。
「ゲーム」が増加し、半分を占めているのが目を引きます。これは、DDoS攻撃全体に占めるリフレクション攻撃の割合が増加している状況をそのまま反映しているそうです。なお、リフレクション攻撃の占める割合の変遷を示したのが以下の図です。
DDoS攻撃は基本的に防ぎようがありませんし、多くの場合、技術的な対策は利用しているISPやホスティング事業者にお願いするしかありません。それでも、いざという時(攻撃発生時だけでなく、予兆検知や攻撃予告を含む)に経営層などの関係者に速やかに連絡が取れる体制は自組織内に必要です。また、直接の対策ではありませんが、自社の公式ウェブサイトが攻撃を受けてアクセスしづらくなってしまった際に状況を外部に説明できるように、他の媒体、例えば、公式のSNSアカウントなどをあらかじめ用意しておくことをお勧めします。
URL
- Akamai Q3 2015 State of the Internet - Security Report
- https://www.stateoftheinternet.com/resources-cloud-security-2015-q3-web-security-report.html
- Akamai(2015年12月8日付プレスリリース)
Akamai Releases Q3 2015 State Of The Internet - Security Report - https://www.akamai.com/us/en/about/news/press/2015-press/akamai-releases-third-quarter-2015-state-of-the-internet-security-report.jsp
- Akamai Blog(2015年9月23日付記事)
Meet Akamai's Security Intelligence Response Team - https://blogs.akamai.com/2015/09/test-post.html
- @IT(2015年12月17日付記事)
DDoS攻撃の頻度は増加、大きな要因はネット機器用いたリフレクション攻撃 - http://www.atmarkit.co.jp/ait/articles/1512/17/news072.html
- 海の向こうの“セキュリティ”(2015年3月3日付記事)
Akamai、DDoS攻撃に関する2014年第4四半期レポート - http://internet.watch.impress.co.jp/docs/column/security/20150303_690826.html
- 海の向こうの“セキュリティ”(2015年6月2日付記事)
Akamai、DDoS攻撃等に関する2015年第1四半期レポート - http://internet.watch.impress.co.jp/docs/column/security/20150602_704889.html
2015年のセキュリティを振り返る
2015年はセキュリティに関する話題が尽きることのない1年で、あまりの多さに情報を拾うだけで手一杯でした。そんな莫大な数のセキュリティ関連の話題の中から、特に印象に残ったものを選んで紹介します。ほぼ「趣味」で選んだものばかりなので、網羅性や公平性がないことはあらかじめご容赦ください。何かの報告書などを作成する際の「参考」に使っていただければ幸いですが、「そんなこともあったなぁ」と懐かしんでいただくだけでも宜しいかと思います。
まず、2015年の1年間を通して挙げられるポイントとしては以下のものがあります(順不同)。
- Adobe Flash Playerの脆弱性
- CMS(およびそのプラグイン)の脆弱性
- ルーターやウェブカメラ等の脆弱性(≒IoT機器の脆弱性)
- マルバタイジング
- ランサムウェア
- 政府機関の関与が疑われるサイバー攻撃、諜報活動
これらは残念ながら2016年には一層「悪化」するのは間違いないでしょう。おそらく1年後にも同じように「年間のトピック」として取り上げられることになると思われます。
次に、各月に報道された話題の中から「厳選」したトピックを以下に紹介します。
1月
- INTERNET Watch(2015年1月28日付記事)
Linuxに広く影響するglibcの脆弱性「GHOST」が発見される、最新版へのアップデートを - http://internet.watch.impress.co.jp/docs/news/20150128_685840.html
2月
- PC Watch(2015年2月20日付記事)
Lenovo製品にマルウェア搭載で同社が対策を開示 - http://pc.watch.impress.co.jp/docs/news/20150220_689306.html
3月
- ITmedia(2015年3月4日付記事)
米輸出規制に起因するTLS/SSLの脆弱性「FREAK」が発覚 - http://www.itmedia.co.jp/enterprise/articles/1503/04/news054.html
4月
- ITmedia(2015年4月10日付記事)
仏テレビ局にサイバー攻撃、放送不能の事態に - http://www.itmedia.co.jp/enterprise/articles/1504/10/news047.html
- ITmedia(2015年4月13日付記事)
YouTubeパスワードを張り紙で共有していた様子が映る サイバー攻撃受けた仏テレビ局 - http://www.itmedia.co.jp/news/articles/1504/13/news116.html
5月
- CNN(2015年5月18日付記事)
飛行中の旅客機制御システムに不正侵入か FBIが捜査 - http://www.cnn.co.jp/usa/35064629.html
6月
- INTERNET Watch(2015年6月1日付記事)
日本年金機構、ウイルス感染で個人情報125万件流出、該当者は基礎年金番号変更へ - http://internet.watch.impress.co.jp/docs/news/20150601_704831.html
- 窓の杜(2015年6月1日付記事)
米SourceForgeが開発者に無断で「GIMP for Windows」へソフトをバンドル - http://www.forest.impress.co.jp/docs/news/20150601_704846.html
- INTERNET Watch(2015年6月16日付記事)
パスワード管理サービスの「LastPass」に攻撃、ユーザーには予防的措置としてマスターパスワードの変更を勧告 - http://internet.watch.impress.co.jp/docs/news/20150616_707288.html
7月
- ITmedia(2015年7月1日付記事)
セキュリティ事故対応力はどのくらい? 診断ツールが公開 - http://www.itmedia.co.jp/enterprise/articles/1507/01/news159.html
- ITpro(2015年7月7日付記事)
政府に監視ソフトを販売するイタリア企業がハッキング被害に - http://itpro.nikkeibp.co.jp/atcl/news/15/070702251/
- ITmedia(2015年7月8日付記事)
FlashやWindowsに未解決の脆弱性、Hacking Teamの情報流出で発覚 - http://www.itmedia.co.jp/enterprise/articles/1507/08/news054.html
- ITmedia(2015年7月21日付記事)
不倫サイトから情報流出、「会員情報をばらす」と脅迫(※AshleyMadisonの件) - http://www.itmedia.co.jp/enterprise/articles/1507/21/news101.html
8月
- INTERNET Watch(2015年8月6日付記事)
Google、Nexusシリーズ向けに“月例セキュリティパッチ”提供開始、Samsungも同様の動き - http://internet.watch.impress.co.jp/docs/news/20150806_715405.html
- ZDNet Japan(2015年8月3日付記事)
テキストメッセージだけで感染の恐れ--Androidユーザーの95%が影響(※Stagefrightの脆弱性) - http://japan.zdnet.com/article/35068317/
9月
- ITmedia(2015年9月24日付記事)
iOSアプリがマルウェア感染、App Storeで4000本流通か(※XcodeGhostの件) - http://www.itmedia.co.jp/enterprise/articles/1509/24/news060.html
10月
- ITmedia(2015年10月2日付記事)
Androidに「Stagefright 2.0」の脆弱性、また10億台に影響 - http://www.itmedia.co.jp/enterprise/articles/1510/02/news043.html
11月
- The Wall Street Journal(2015年11月6日付記事)
ソフトウエアのバグ発見者は企業の敵? - http://jp.wsj.com/articles/SB12643407901087673891804581338551663847110
- INTERNET Watch(2015年11月26日付記事)
Dell製PCで見つかった危険なルート証明書、出荷・配布時期が明らかに、入っていないか確認を - http://internet.watch.impress.co.jp/docs/news/20151126_732437.html
12月
- INTERNET Watch(2015年12月7日付記事)
話題の“vvvウイルス”、「日本で被害が急増した形跡は見当たらない」とトレンドマイクロ、とにかくパッチ適用など基本的なセキュリティ対策をしっかりと - http://internet.watch.impress.co.jp/docs/news/20151207_734143.html
セキュリティに関する話題が尽きることのない状況は、2016年も変わることはないでしょうし、情報過多によって不正確なものや誤報が増えることも避けられないでしょう。このような中、情報の収集分析は片手間にできるものではなく、より一層の専門性が求められるようになって来ています。2016年はその重要性が今以上に広く認識されるようになることを期待しています。
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。