ニュース

DDoS攻撃が1年で倍増、ルーターやファイアウォールに対する214Mpps規模の攻撃も観測

 コンテンツデリバリーネットワーク(CDN)やインターネット上の攻撃に対するセキュリティなどのサービスを提供するAkamai Technologiesは8月、2015年第2四半期の「インターネットの現状」セキュリティレポートを発表した。この内容について、日本法人のアカマイ・テクノロジーズ合同会社が9月2日、プレスやアナリストを対象に解説するグループセッション「2015年第2四半期のグローバルサイバー攻撃の現状と傾向」を開いた。

 アカマイ・テクノロジーズ最高技術責任者の新村信氏は、まず前提として、Akamaiの観測対象と手法(および同社のビジネス)として異なる2種類を紹介した。HTTPレイヤーを常時観測する「ウェブトラフィック」と、DDoSなどの攻撃があったときにIPレイヤーを観測する「Prolexicでの観測」だ。

アカマイ・テクノロジーズ合同会社最高技術責任者の新村信氏
ウェブトラフィックの観測と、攻撃時のIPレイヤーの観測

DDoS攻撃は年々増加、100Gbps超の攻撃やネットワーク機器への攻撃も

 新村氏は最初のデータとして、DDoS攻撃発生状況を1年前である2014年第2四半期および1期前である2015年第1四半期と比べたデータを示し、「総件数も種類別の数字も、1年前に比べてだいたい倍になっている」とコメントした。

 DDoSのピーク時の規模を2005年から年ごとに見てみると、2014年の最大320Gbpsという数字が突出しているが、それを除くと年々増加傾向にあるという。一方、規模と発生件数を2013年から見てみると、平均規模は大きく変わっていないが、発生件数は年々増大している。

DDoS攻撃発生状況。各数字とも1年前に比べてだいたい倍に
DDoSピーク時の規模。2014年を除けば年々増加

 サイトを対象とした100Gbps超のDDoS攻撃は、2015年第2四半期に12件あった。攻撃対象はいずれも、ゲーム会社と、それをホスティングしている通信事業者だったという。

 一方、最近はルーターやファイアウォールを対象にしたDDoS攻撃も増えているとのことで、50Mpps超の攻撃が5件あったという。「(サイトへの攻撃に比べて)帯域はたいしたことがないが、ISP全体に影響が生じ、さらに周辺のISPのルーターにも影響する」(新村氏)。

 なお、新村氏によると、今期観測された100Gbps超攻撃では、TCP SYNパケットに同一の896バイトのデータが付加されたものが目立ったという。「同一の犯人か、あるいは同一のボットネットからの攻撃だと考えられる。また、そのファイルはP2Pファイル交換で入手されたものである形跡があり、攻撃元を特定する一助となりうる」(新村氏)。

サイトへの100Gbps超DDoS攻撃。いずれもゲーム会社関連
ネットワーク機器への50Mpps超DDoS攻撃
複数の100Gbps超DDoS攻撃で共通するデータが使われている

【お詫びと訂正 17:05】
 記事初出時、ネットワーク機器への攻撃の規模について「214Mbps」「50Mbps」と記載しておりましたが、正しくは「214Mpps」「50Mpps」です。お詫びして訂正いたします。

SSDPによるDDoSが増加、対象はゲーム会社とソフトウェア会社

 DDoSの攻撃手法について見たとき、まずアプリケーション層(HTTP)のものとインフラ層(TCP/UDP)のものに分けると、9割がインフラ層のものだったという。また、インフラ層のDDoS攻撃の中では、かつて多かったTCPのSYNによるものが減り、UDPの攻撃が増えているという。「UDPは簡単で、かつ身元がばれにくいので使われるのだろう」と新村氏。

 「UDPの攻撃の中でも、家庭のUPnP対応機器を踏み台としたSSDPリフレクター攻撃が多くなっている。推定で、世界で410万台のデバイスが踏み台となっているといわれている。ネットワークに応じて設定すれば防げるが、家庭の機器なので実行は困難だ」(新村氏)。

DDoSの攻撃手法。UDPの攻撃、特にSSDPリフレクター攻撃が増えている
SSDPとリフレクター攻撃

 DDoS攻撃の対象となる業界は、ゲーム業界(オンラインゲーム)とソフトウェア会社(MicrosoftやAppleなど)が圧倒的に多く、金融などは少ないという特徴があるという。

 攻撃発信元としては、中国が37.01%と最大。推移を見ると、2014年第2四半期には米国と日本が中国が中国より多くなっているが、「このときは香港の学生デモがあり、そのサイトを潰そうとする攻撃で、日本の家庭用機器が多数踏み台になった」(新村氏)。

DDoS攻撃の発信元。中国が37.01%と最大
攻撃元の推移。2014年第2四半期には、日本の家庭用機器が多数踏み台になった

ShellShockが一時的に急増、WordPressプラグインの調査も

 一方、アプリケーション層への攻撃については、ShellShock脆弱性の攻撃が非常に多く、49%を占めたという。これにより、HTTPS攻撃の件数がHTTP攻撃の件数を上回るという珍しい事態となった。

 ウェブアプリケーションへの攻撃の対象となる業界は、DDoS攻撃とは異なり、金融や小売などが多かった。サイトを潰す目的のDDoSと異なり、ウェブアプリケーションへの攻撃は乗っ取りが目的だと新村氏は説明する。

ShellShock脆弱性によりHTTPS攻撃がHTTP攻撃より多かった
ウェブアプリケーションへの攻撃では金融業界や小売業界へのものが多い

 CMSのWordPressプラグインの問題についても新村氏は説明した。WordPress本体はセキュリティが強固だが、サードパーティで作成されたプラグインに多くの脆弱性が報告されるという。「プラグインは最初の登録では審査されるが、バージョンアップでは審査がないので、そこで脆弱性が入ることがある」と新村氏。「プラグインを利用している場合は、脆弱性情報やセキュリティアップデートに注意する必要がある」。

 Akamaiのレポートでは、コードの静的解析、人手のコードレビュー、動作確認の3つを、600のプラグインと722のテーマに適用。25のプラグインと49のテーマに脆弱性を新たに発見して公表したという。

WordPressプラグインの脆弱性の調査

Torとインターネット攻撃の関係の調査

 匿名通信システム「Tor(The Onion Router)」とインターネット攻撃の関係についての調査も報告された。

 まず、サイトに来た通信のうち、99.96%がTorを使わないもの(非Tor)で、0.04%がTorを使ったものだった。それぞれのうち、攻撃トラフィックの比率を見ると、非Torが1万15001分の1、Torが380分の1と、Torの方が攻撃トラフィックの比率が高い。

 一方、コマースサイトでのコンバージョンレート(購入に結び付いた率)を見ると、非Torが834分の1、Torが895分の1と、比率はほぼ変わらない。

 Torと非Torでの攻撃手法を比較してみると、Tor経由だからといって攻撃手法に特徴はないという。また、攻撃対象は、金融や小売が多く、これらの業界ではセキュリティ対策や認証などが厳重なためTorを通しているのだろうと推測されている。

Torと非Torでの攻撃トラフィックの比率
Torと非Torでのコマースサイトのコンバージョンレート
Torと非Torでの攻撃手法の分布。攻撃手法に特徴はないという
Tor経由の攻撃対象となる業界

(高橋 正和)