アカマイ、2015年第4四半期の「インターネットの現状」セキュリティレポートを発表

DDoS、Web攻撃が急増、反復攻撃が当たり前に
クラウドセキュリティに関する最新の統計とトレンドを公開

コンテンツ・デリバリー・ネットワーク(CDN)サービスのグローバルリーダー、アカマイ・テクノロジーズ・インク(NASDAQ：AKAM、以下アカマイ)は、本日、2015年第4四半期の「インターネットの現状」セキュリティレポートを発表しました。この四半期レポートでは、Akamai Intelligent Platform[TM]で観察された悪意のある活動に関する分析と知見、さらには、グローバルなクラウドセキュリティへの脅威の現状の詳細をお読みいただけます。同レポートは、下記URLよりダウンロードできます。

https://www.stateoftheinternet.com/resources-cloud-security-2015-Q4-web-security-report.html

「DDoSおよびウェブアプリケーション攻撃の脅威は去っていません。各四半期におけるアカマイの顧客に対する攻撃の数は急増し続けています。本第4四半期では、第3四半期と比較して、ウェブアプリケーション攻撃の数は28%増加、DDoS攻撃は40%増加しています」とアカマイのクラウド・セキュリティ・ソリューション担当シニア・バイス・プレジデント兼ゼネラルマネージャーを務めるスチュアート・スコリー(Stuart Scholly)は述べています。「悪意のある攻撃者の数も減っていません。悪意のある攻撃者は、防御システムがダウンするときを狙って、同じターゲットを何度も繰り返し攻撃します」

第4四半期では、DDoS攻撃が繰り返し行われるのが当たり前になりました。第4四半期においてターゲットとなった顧客1人あたりへの平均攻撃回数は24回に上っています。3つのターゲットが、それぞれ100回を超す攻撃を受け、ある顧客は188回の攻撃にさらされました。平均すると、1日あたり2回を超す攻撃を受けたことになります。

▼DDoS攻撃の概況
第4四半期において、アカマイは、ルーテッドソリューションにおいて3,600件以上のDDoS攻撃を緩和しました。これは1年前に発生した攻撃数の2倍を超す数です。これらの攻撃の大半は、ストレッサー/ブーターベースのボットネットを利用したものでした。DDoS-for-hire(DDoS攻撃請負)攻撃は、そのトラフィックを増大するためにリフレクション手法に大きく依存しており、大規模な攻撃を生成する能力はありません。実際、大規模攻撃の数は1年前と比較して減少しました。また、通常、ストレッサー/ブーターサイトには利用する時間に制限があります。これが、平均攻撃期間がわずか15時間未満に減少した一因となっています。

▼リフレクション DDoS攻撃、2014年第4四半期-2015年第4四半期

↓画像はこちら
https://dl.nxlk.jp/673b1203-70bb-4113-9d18-0e66b4813f83

上記画像の左の軸に見られるように、SSDP、NTP、DNS、CHARGENは、最も一般的なリフレクション攻撃ベクトルとして常に利用されてきました。右の軸に示すとおり、リフレクション攻撃の利用は、2014年第4四半期以来、劇的に増加しています。

複数の四半期にわたって、インフラストラクチャレイヤー(レイヤー3および4)に対する攻撃が最も多くなっており、第4四半期に観察された攻撃の97% を占めています。2015年第4四半期におけるDDoS攻撃の21%には、UDPフラグメントが含まれています。この攻撃の一部は、結果としてリフレクションベースの攻撃における増幅の直接要因となっています。リフレクションベースの攻撃は、主にCHARGEN、DNS、およびSNMPプロトコルの悪用から発生し、そのすべてが大きなペイロードを持つ可能性があります。

NTP攻撃とDNS攻撃の数が、第3四半期と比較して劇的に増加しています。DNSリフレクション攻撃は92%増加し、悪意のある攻撃者がセキュリティ(DNSSEC)が組み込まれたドメインを悪用しようとする傾向が見られました。通常、これらのレスポンスデータは比較的大きいものだからです。NTP(約57%増加)は、NTPリフレクションリソースが徐々に枯渇してきているという事実にも関わらず、前四半期と比べよく利用されました。

その他の傾向としては、マルチベクトル攻撃の利用が増加していることが挙げられます。2014年第2四半期には、DDoS攻撃のうちマルチベクトルだったのは42%でしたが、2015年第4四半期には、DDoS攻撃の56%がマルチベクトル攻撃でした。大半のマルチベクトル攻撃で使用されているベクトルの数は2種類だけでしたが(すべての攻撃の35%)、第4四半期に見られた攻撃のうち、3%は5～8種類のベクトルを使用しています。

第4四半期における最大規模の攻撃では、最大309ギガビット/秒(Gbps)および2億200万パケット/秒(202Mpps)のピークを記録しました。この攻撃は、ソフトウェアおよびテクノロジー業界の顧客を標的としたもので、XORおよびBillGatesボットネットを発生源とするSYN、UDP、およびNTP攻撃の、通常では見られない組み合わせが使用されました。同攻撃は、執拗に繰り返された攻撃の一部であり、被害者は、8日間にわたって19回も標的とされました。さらに、1月初めにも再び攻撃が行われました。

第4四半期における攻撃の半数以上(54%)は、ゲーム会社を対象としたものであり、23%が、ソフトウェアおよびテクノロジー業界を攻撃対象としたものでした。

▼DDoS攻撃に関する統計
2014年第4四半期との比較
・DDoS攻撃の総数が148.85%増加
・インフラストラクチャレイヤー(レイヤー3および4)に対する攻撃が168.82%増加
・平均攻撃時間が49.03%減少：14.95時間対29.33時間
・100Gbpsを超える攻撃数が44.44%減少：5件対9件

2015年第3四半期との比較
・DDoS攻撃の総数が39.89%増加
・インフラストラクチャレイヤー(レイヤー3および4)に対する攻撃が42.38%増加
・平均攻撃時間が20.74%減少：14.95時間対18.86時間
・100Gbpsを超える攻撃数が37.5%減少：5件対8件

▼ウェブアプリケーション攻撃
前四半期ではウェブアプリケーション攻撃の数が28%増加しましたが、HTTPとHTTPSを介して実行されたウェブアプリケーション攻撃の割合は、第2四半期にわたって比較的安定しており、HTTPを介した攻撃は、第3四半期の88%に対し第4四半期は89%となっています。

第4四半期に最も見られた攻撃ベクトルは、LFI(41%)、SQLi(28%)、および PHPi(22%)であり、XSS(5%)とShellshock(2%)が続きます。また、残り2%は、RFI、MFU、CMDi、およびJAVAi攻撃が占めます。HTTPとHTTPSを介した攻撃ベクトルの相対分布は、PHPiを除いてほぼ同じでした。PHPiはHTTPSを介した攻撃のうちわずか1%でした。

第4四半期におけるウェブアプリケーション攻撃の59%は小売業者を対象としたものでした。それに対して、第3四半期は55%でした。次に多かった攻撃対象は、メディア&エンターテインメント業界とホテル&旅行業界で、それぞれ10%でした。これは、第3四半期からの変化を示しています。第3四半期には、金融サービス業界が2番目に多く標的にされた業界でしたが(攻撃の15%)、第4四半期にはわずか7%でした。

前四半期からの変わらぬ傾向として、米国が、ウェブアプリケーション攻撃の主要な攻撃元(56%)であり、かつ最大の攻撃対象(77%)でした。ブラジルは、その次に大きい攻撃元(6%)であり、かつ攻撃対象(7%)でした。これは、大規模なクラウドInfrastructure-as-a-Service(IaaS)プロバイダーがブラジルで新しいデータセンターを開設したことに関連していると思われます。アカマイは、同データセンターの開設以来、ブラジルから、特に当該データセンターから送信される悪意のあるトラフィックの量が大幅に増加したことを検知しています。これらの攻撃の大半は、あるブラジルの小売業の顧客を攻撃対象としていました。

アカマイは、第4四半期レポートのために、ウェブアプリケーション攻撃トラフィックの攻撃元トップ10をASN(AS番号)によって特定し、それぞれの攻撃タイプ、ペイロード、頻度を分析しました。その他興味深い攻撃のトップ10、およびそれらのペイロードについての説明は、セクション3.6に記載しています。

▼ウェブアプリケーション攻撃に関する統計
2015年第3四半期との比較
・ウェブアプリケーション攻撃の総数が28.10%増加
・HTTPを介したウェブアプリケーション攻撃が28.65%増加
・HTTPSを介したウェブアプリケーション攻撃が24.05%増加
・SQLi攻撃が12.19%増加

▼スキャニングとプロービング活動
悪意のある攻撃者は、スキャナーとプロービングによって攻撃対象を調査してから、攻撃を開始します。Akamai Intelligent Platformの防御線から取得したファイアウォールデータを利用した分析によれば、最も調査に利用されることが多いポートは、Telnet(24%)、NetBIOS(5%)、MS-DS(7%)、SSH(6%)、SIP(4%)でした。スキャニング元のトップ3はすべてアジアにあることが、ASNによって判明しました。また、悪用しようとするリフレクター(NTP、SNMP、SSDPなど)のスキャニングが活発に行われていることも確認できました。

ASNによって主要リフレクションソースに注目することにより、最も悪用されたネットワークリフレクターは、中国およびその他アジア諸国にあることが分かりました。ほとんどのSSDP攻撃は、家庭の接続から行われる傾向にありますが、一般的に言って、NTP、CHARGEN、およびQOTDは、それらのサービスが実行されるクラウド・ホスティング・プロバイダーからのものです。最も悪用されたリフレクターは、SSDPおよびNTPでした(それぞれ 41%)。CHARGEN(6%)とRPC(5%）がそれに続きます。その次が、SENTINELとQOTDでした(それぞれ 4%)。

レポートのダウンロード：
2015年第4四半期「インターネットの現状」セキュリティレポートのPDFファイルは http://www.stateoftheinternet.com/security-report から無料でダウンロードできます。

■stateoftheinternet.com について
アカマイのstateoftheinternet.comでは、オンライン接続とサイバーセキュリティの動向に対する詳細な見解の提示を目的とするコンテンツと情報、ならびにインターネット接続速度、ブロードバンド普及率、モバイル利用状況、サービス停止、およびサイバー攻撃と脅威を含む関連データを提供しています。stateoftheinternet.comにアクセスすると、アカマイの「インターネットの現状(接続性とセキュリティ)」レポートの最新版とアーカイブ、視覚化されたアカマイのデータ、および常に変化するインターネットの状況の理解に役立つよう設計されたその他のリソースを閲覧できます。

■アカマイについて：
コンテンツ・デリバリー・ネットワーク(CDN： http://www.akamai.com/cdn/index.html) サービスのグローバルリーダーとして、アカマイは、インターネットを高速、安全、信頼できるものとしてお客様がご利用いただけるようにします。アカマイの先進的なウェブパフォーマンス、モバイルパフォーマンス、クラウドセキュリティおよびメディア配信の各ソリューションは、デバイスと場所を問わず、コンシューマ体験、エンタープライズ体験、およびエンターテイメント体験を企業が最適化する方法を大きく変化させています。アカマイのソリューションとそのインターネット専門家チームが、企業のより速い進歩にいかに貢献しているかについて、＜www.akamai.com＞または＜blogs.akamai.com＞およびTwitterの@Akamaiで詳細をご紹介しています。