アカマイ、2015年第2四半期の「インターネットの現状」セキュリティレポート発表

●DDoS 攻撃件数は昨年同期（2014年第2四半期）と比べて2倍以上となり、大規模な攻撃も増加傾向にある

●2015年第2四半期中に発生したウェブアプリケーション攻撃アラートのうち、49％は数週間に及ぶShellshockアプリケーション攻撃で、単一の顧客を標的としたものであった

●アカマイのリサーチ担当者は、WordPress向けのプラグインとテーマに新たに49個の脆弱性を発見した

コンテンツ・デリバリー・ネットワーク（CDN）サービスのグローバルリーダーであるアカマイ・テクノロジーズ・インク（NASDAQ：AKAM、以下アカマイ）は本日、2015年第2 四半期の「インターネットの現状」セキュリティレポートを発表しました。グローバルクラウドに対するセキュリティ脅威に関する分析や展望を提供する今四半期のレポートは、www.stateoftheinternet.com/security-report よりダウンロードすることができます。

「分散型サービス妨害（DDoS）やウェブアプリケーション攻撃によって引き起こされる脅威は四半期ごとに増大しています」とアカマイのクラウドセキュリティビジネス部門バイス プレジデントであるジョン・サマーズ（John Summers）は語っています。「悪意ある者が作戦を変え、新たな脆弱性を探し出し、さらには時代遅れになったと思われていた古いテクニックを復活させる等、手口を絶えず変えています。当社のネットワーク上で観測された攻撃を解析することで、私たちは新たな脅威やトレンドを見極め、お客様がネットワーク、ウェブサイト、アプリケーションを強化したり、クラウドのセキュリティプロファイルを向上させたりするのに必要な情報を提供しています」。

またジョン・サマーズは「例えば、今回のレポートのために、私たちは2つのウェブアプリケーション攻撃のベクトルを分析に加えただけでなく、Tor（トーア、The Onion Router）トラフィックによりもたらされると予測される脅威についても調べ、サードパーティ製のWordPress向けプラグインの新たな脆弱性を発見しCVE（共通脆弱性識別子）として公表しました」と述べています。「サイバーセキュリティの脅威を理解すればするほど、よりうまく企業を守ることができるのです」。

▼DDoS攻撃活動について
直近3四半期において、DDoS攻撃件数は前年同期比で倍増しています。今四半期は規模よりも長期間に及ぶ攻撃を好む傾向が攻撃者に見られたものの、危険な大規模攻撃の件数は増加の一途をたどっています。2015年第2四半期では最大値100Gbps（Gigabits per second）を超える攻撃が12件、50Mpps（Million packets per second）を超える攻撃が5件ありました。自社でこのような攻撃に耐えられる組織はごくわずかです。

2015年第2四半期における最大のDDoS攻撃は240Gbps超えが、13時間以上続きました。ピーク帯域幅は一般に1～2時間の枠に限定されます。2015年第2四半期では、パケットレートで最大214Mppsと、Prolexic Routedネットワーク上でこれまで記録された中でも過去最大となる攻撃が観測されました。この攻撃規模は、インターネットサービスプロバイダ（ISP）が使用するようなTier1ルータを動作不能にできるほどのものです。

2015年第2四半期のDDoS攻撃件数は、2014年第2四半期比132％の増加、また2015年第1四半期比7％の増加となりました。2015年第2四半期の攻撃の平均ピーク帯域幅およびボリュームは、2015年第1四半期と比べ若干の増加となりましたが、2014年第2四半期に観測されたピーク平均と比べると、引き続き低い水準となりました。

今四半期で最も一般的なDDoS攻撃ベクトルは、SYNおよびSSDP（Simple Service Discovery Protocol）であり、それぞれDDoS攻撃トラフィックのおよそ16％を占めていました。セキュリティが確保されていない家庭用のインターネットに接続された、ユニバーサルプラグ アンド プレイ（UPnP）プロトコルを利用する機器が増えており、SSDPリフレクターとして悪用され続けています。1年前にはほとんど確認されていませんでしたが、SSDP攻撃は、ここ3四半期で最も多く用いられた攻撃ベクトルの一つとなっています。ボリューム型攻撃の中では、SYNフラッドが2011年第3四半期に発行されたセキュリティレポートの初版以降ずっと、最も一般的なベクトルの一つであり続けています。

オンラインゲーム業界は2014年第2四半期以降、最大の標的となっており、一貫してDDoS攻撃の約35パーセントを受けています。中国は過去2四半期において、偽装されていない攻撃トラフィックの発信国の第1位であり、レポートの初版が2011年第3四半期に発行されて以降、継続して発信国の上位3か国に入っています。

■概要：
2014年第2四半期との比較
・ DDoS攻撃の総件数は132.43%増加
・ アプリケーション層（第7層）へのDDoS攻撃は122.22%増加
・ インフラ層（第3、4層）へのDDoS攻撃は133.66%増加
・ 平均攻撃時間は17.35時間から20.64時間へ、18.99%増加
・ 平均ピーク帯域幅は11.47%減少
・ 平均ピークボリュームは77.26%減少
・ 100 Gbpsを超える攻撃は6件から12件へ、100%増加

■2015年第1四半期との比較
・ DDoS攻撃の総件数は7.13%増加
・ アプリケーション層（第7層）へのDDoS攻撃は17.65%増加
・ インフラ層（第3、4層）へのDDoS攻撃は6.04%増加
・ 平均攻撃時間は24.82時間から20.64時間へ、16.85%減少
・ 平均ピーク帯域幅は15.46%増加
・ 平均ピークボリュームは23.98%増加
・ 100 Gbpsを超える攻撃は8件から12件へ、50%増加
・ 2015年第1四半期と同様に、今四半期のDDoS攻撃発信国の第1位は中国

▼ウェブアプリケーション攻撃の動き
アカマイが最初にウェブアプリケーション攻撃の統計値を報告したのは2015年第1四半期のレポートでした。今四半期にはさらに、ShellshockとXSS（cross-site scripting）という2つの攻撃ベクトルの解析を行いました。

Shellshockという、2014年9月に初めて探知されたBashのバグによる脆弱性は、今四半期のウェブアプリケーション攻撃の49％で利用されていました。Shellshock攻撃の95％は、金融サービス業の単一の顧客を標的にし、今四半期の最初の数週間続いた大々的、持続的な攻撃キャンペーンにおけるものでした。Shellshock攻撃は一般にHTTPSで行われるため、当該キャンペーンはHTTPSとHTTPに攻撃のバランスを変化させていました。2015年第1四半期では攻撃のわずか9%がHTTPSで行われましたが、今四半期では56%がHTTPSチャンネルで行われました。

Shellshock以外では、SQLインジェクション（SQLi）攻撃が全攻撃件数の26%を占めていました。この値は第2四半期だけでSQLiアラートが75%超増加したことを表しています。これに対して、ローカルファイル・インクルージョン（LFI）攻撃は今四半期に激減しています。LFIは2015年第1四半期に最も多いウェブアプリケーション攻撃ベクトルでしたが2015年第2四半期にはアラートの18%を占めるに留まりました。リモートファイル・インクルージョン（RFI）、PHPインジェクション（PHPi）、コマンドインジェクション（CMDi）、OGNL Java Expressing Language（JAVAi）を用いたOGNLインジェクション、悪意あるファイルアップロード（MFU）の各攻撃は、合わせてウェブアプリケーション攻撃の7％でした。

2015年第1四半期と同様に、金融サービス業および小売業が最も頻繁に攻撃の対象となりました。

▼サードパーティ製のWordPress向けプラグインおよびテーマの脅威
WordPressは、世界で最も人気のあるウェブサイト、ブログプラットフォームです。そしてそれは、何百もの既知の脆弱性を利用してボットネットを構築し、マルウェアを撒き散らし、DDoSキャンペーンを仕掛けようとする攻撃者にとって格好の標的となっています。

サードパーティ製のプラグインは、コード審査をほとんど受けていません。脅威をより深く理解するため、アカマイは1,300を超える、よく利用されるプラグインおよびテーマに対し試験を実施しました。その結果、25個のプラグインおよびテーマに1つ以上の新たな脆弱性があることがわかりました。プラグインやテーマに複数の脆弱性があるケースもあり、合計49個のセキュリティ上の弱点が確認されました。新たに確認された脆弱性の全リストをWordPressインストールの強化に関する推奨と併せて、本レポートに記載しています。

▼Torについての賛否
Tor（トーア、The Onion Router）プロジェクトは、ネットワークへの入口となるノードが出口ノードと同じにならないようにしてユーザの匿名化を実現するものです。Torのユーザの多くは合法的なユーザですが、その匿名性によりTorは悪意ある者にとって有力な選択肢となっています。Torトラフィックをウェブサイトで受けることにより生じるリスクを評価するため、アカマイは7日間にわたり、Konaセキュリティカスタマーをベースに横断的にウェブトラフィックを解析しました。

解析により、攻撃の99％は非Tor IPから行われているものであることがわかりました。非Tor IPからのリクエストは11,500件にのぼりましたが、そのうち悪意のあるものは1件のみでした。その一方で、Tor出口ノードからのリクエストは380件のうち悪意のあるものが1件含まれていました。とはいえ、Torトラフィックを遮断することで業務上悪影響を及ぼす可能性があります。しかし、電子商取引関連ページへの正当なHTTPリクエストは、Tor出口ノードには非Tor IPと同等のコンバージョンがあることを示しています。

■レポートのダウンロード：
2015年第2四半期「インターネットの現状」セキュリティレポートのPDFファイルは＜http://www.stateoftheinternet.com/security-report＞から無料でダウンロードできます。

■stateoftheinternet.comについて：
アカマイの stateoftheinternet.com では、オンライン接続とサイバーセキュリティの動向に対する詳細な見解の提示を目的とするコンテンツと情報、ならびにインターネット接続速度、ブロードバンド普及率、モバイル利用状況、サービス停止、およびサイバー攻撃と脅威を含む関連データを提供しています。 stateoftheinternet.com にアクセスすると、アカマイの「インターネットの現状（接続性とセキュリティ）」レポートの最新版とアーカイブ、視覚化されたアカマイのデータ、および常に変化するインターネットの状況の理解に役立つよう設計されたその他のリソースを閲覧できます。

本プレスリリースは下記URLにも掲載しております。
＜http://www.akamai.co.jp/enja/html/about/press/releases/2015/releases_2015.html＞

■アカマイについて：
コンテンツ・デリバリー・ネットワーク（CDN： http://www.akamai.com/cdn/index.html）サービスのグローバル
リーダーとして、アカマイは、インターネットを高速、安全、信頼できるものとしてお客様がご利用いただけるようにします。アカマイの先進的なウェブパフォーマンス、モバイルパフォーマンス、クラウドセキュリティおよびメディア配信の各ソリューションは、デバイスと場所を問わず、コンシューマ体験、エンタープライズ体験、およびエンターテイメント体験を企業が最適化する方法を大きく変化させています。アカマイのソリューションとそのインターネット専門家チームが、企業のより速い進歩にいかに貢献しているかについて、＜www.akamai.com＞または＜blogs.akamai.com＞およびTwitterの@Akamaiで詳細をご紹介しています。