ニュース

ネットを崩壊の瀬戸際に追い込んだ「史上最大のサイバー攻撃」が明るみに

〜早急な対策が望まれるオープンリゾルバーDNS問題

 今週多くの人は何も気がつかなかったが、「インターネットが破壊される瀬戸際」に追い込まれる程の攻撃、史上最大規模のDDoS攻撃が行われていたことが明らかになった。

 スパム対策組織Spamhausと、同組織を支援した米セキュリティ企業Cloudflare社が発表し、発表内容をもとに米ニューヨーク・タイムズや英BBCが27日に大きく取り上げたことで、世間に広く知られるようになった。Cloudflare社は「ネットを崩壊の瀬戸際に追い込んだ」と攻撃を評している。

 この攻撃は、欧州を中心としたインターネットに渋滞を引き起こし、ウェブサイトや動画ストリーミングサービスの使用が難しくなる時期があったが、現時点ではだいたい解決の方向に向かいつつあるという。しかし根本的問題は解決されておらず、様々な企業や組織がこの問題の根本的解決のために立ち上がっている。

 攻撃が始まったのは3月19日。Spamhausのサーバーに対するDDoS攻撃はあまりにも強力だった。そのためSpamhausは米セキュリティ企業Cloudflareに攻撃緩和の支援を求めた。当初は攻撃の規模を別にすれば、攻撃手法は通常とさほど変わったものではなかった。

 Spamhausをダウンさせたものの、Cloudflareが耐えたことを見て取るや、攻撃者たちは攻撃手法を変える。Cloudflareの発表によれば、新たな攻撃の大部分はDNSアンプ攻撃またはDNSリフレクション攻撃と呼ばれるものだ。これは世界各地の何千ものオープンDNSサーバーが、確認もせずにすべてのリクエストに応答してしまうという既知の問題だ。これで攻撃者は攻撃規模を増幅できる。

 なおもCloudflareに対抗できないことを察知した攻撃者たちは戦略を変え、今度はCloudflareが使用する帯域を提供しているプロバイダーに標的を合わせた。CloudflareはロンドンIX、アムステルダムIX、フランクフルトIXなど、欧州で最も強力なIXと接続していた。Cloudflareは100GbpsのDDoS攻撃に耐えたが、その後はこれらの直接のピア接続相手が攻撃を受けた。これらもまた攻撃に耐えると、次はTire1プロバイダーが攻撃を受けた。Cloudflareによれば、「最大で300Gbpsを観測した」とTier1プロバイダー関係者が述べたという。その結果、主に欧州地域でインターネットの渋滞がみられ、何億人もの人々が影響を受けたと考えられている。

 今回の攻撃について、Cloudflareはある「インターネットの巨人」からのメールを披露した。この人物は「わたしが常々言ってきたことだが、最大級の攻撃に備えて準備する必要はない。インターネットが他への大規模な巻き添え被害を発生させずに送信できる最大級の攻撃に向けて準備する必要があるのだ。今回、あなた方が受けた攻撃はそのレベルに達したように見えますので……おめでとうございます!」と述べたという。これはこの攻撃規模の巨大さと、今後起こりうる事態を示唆している。

 Cloudflareは、問題の根幹がこのDNSのオープンリゾルバー問題であると考えている。今回問題を解決するために「Open Resolver Project」が設立され、問題となっているDNSサーバ2170万台すべてのリストが公開された。リストは攻撃者の手に渡ることを恐れ、これまで公開されなかったものだという。今回の事件により、攻撃者たちがこのリストを入手していることが明確になったため、リスト公開に踏み切り、早急に問題を解決する必要があるとの共通認識が生まれたという。

(青木 大我 taiga@scientist.com)