DDoS攻撃が1年で倍増、ルーターやファイアウォールに対する214Mpps規模の攻撃も観測

　コンテンツデリバリーネットワーク（CDN）やインターネット上の攻撃に対するセキュリティなどのサービスを提供するAkamai Technologiesは8月、2015年第2四半期の「インターネットの現状」セキュリティレポートを発表した。この内容について、日本法人のアカマイ・テクノロジーズ合同会社が9月2日、プレスやアナリストを対象に解説するグループセッション「2015年第2四半期のグローバルサイバー攻撃の現状と傾向」を開いた。

　アカマイ・テクノロジーズ最高技術責任者の新村信氏は、まず前提として、Akamaiの観測対象と手法（および同社のビジネス）として異なる2種類を紹介した。HTTPレイヤーを常時観測する「ウェブトラフィック」と、DDoSなどの攻撃があったときにIPレイヤーを観測する「Prolexicでの観測」だ。

アカマイ・テクノロジーズ合同会社最高技術責任者の新村信氏

ウェブトラフィックの観測と、攻撃時のIPレイヤーの観測

DDoS攻撃は年々増加、100Gbps超の攻撃やネットワーク機器への攻撃も

　新村氏は最初のデータとして、DDoS攻撃発生状況を1年前である2014年第2四半期および1期前である2015年第1四半期と比べたデータを示し、「総件数も種類別の数字も、1年前に比べてだいたい倍になっている」とコメントした。

　DDoSのピーク時の規模を2005年から年ごとに見てみると、2014年の最大320Gbpsという数字が突出しているが、それを除くと年々増加傾向にあるという。一方、規模と発生件数を2013年から見てみると、平均規模は大きく変わっていないが、発生件数は年々増大している。

DDoS攻撃発生状況。各数字とも1年前に比べてだいたい倍に

DDoSピーク時の規模。2014年を除けば年々増加

　サイトを対象とした100Gbps超のDDoS攻撃は、2015年第2四半期に12件あった。攻撃対象はいずれも、ゲーム会社と、それをホスティングしている通信事業者だったという。

　一方、最近はルーターやファイアウォールを対象にしたDDoS攻撃も増えているとのことで、50Mpps超の攻撃が5件あったという。「（サイトへの攻撃に比べて）帯域はたいしたことがないが、ISP全体に影響が生じ、さらに周辺のISPのルーターにも影響する」（新村氏）。

　なお、新村氏によると、今期観測された100Gbps超攻撃では、TCP SYNパケットに同一の896バイトのデータが付加されたものが目立ったという。「同一の犯人か、あるいは同一のボットネットからの攻撃だと考えられる。また、そのファイルはP2Pファイル交換で入手されたものである形跡があり、攻撃元を特定する一助となりうる」（新村氏）。

サイトへの100Gbps超DDoS攻撃。いずれもゲーム会社関連

ネットワーク機器への50Mpps超DDoS攻撃

複数の100Gbps超DDoS攻撃で共通するデータが使われている

【お詫びと訂正 17:05】
　記事初出時、ネットワーク機器への攻撃の規模について「214Mbps」「50Mbps」と記載しておりましたが、正しくは「214Mpps」「50Mpps」です。お詫びして訂正いたします。

SSDPによるDDoSが増加、対象はゲーム会社とソフトウェア会社

　DDoSの攻撃手法について見たとき、まずアプリケーション層（HTTP）のものとインフラ層（TCP/UDP）のものに分けると、9割がインフラ層のものだったという。また、インフラ層のDDoS攻撃の中では、かつて多かったTCPのSYNによるものが減り、UDPの攻撃が増えているという。「UDPは簡単で、かつ身元がばれにくいので使われるのだろう」と新村氏。

　「UDPの攻撃の中でも、家庭のUPnP対応機器を踏み台としたSSDPリフレクター攻撃が多くなっている。推定で、世界で410万台のデバイスが踏み台となっているといわれている。ネットワークに応じて設定すれば防げるが、家庭の機器なので実行は困難だ」（新村氏）。

DDoSの攻撃手法。UDPの攻撃、特にSSDPリフレクター攻撃が増えている

SSDPとリフレクター攻撃

　DDoS攻撃の対象となる業界は、ゲーム業界（オンラインゲーム）とソフトウェア会社（MicrosoftやAppleなど）が圧倒的に多く、金融などは少ないという特徴があるという。

　攻撃発信元としては、中国が37.01％と最大。推移を見ると、2014年第2四半期には米国と日本が中国が中国より多くなっているが、「このときは香港の学生デモがあり、そのサイトを潰そうとする攻撃で、日本の家庭用機器が多数踏み台になった」（新村氏）。

DDoS攻撃の発信元。中国が37.01％と最大

攻撃元の推移。2014年第2四半期には、日本の家庭用機器が多数踏み台になった

ShellShockが一時的に急増、WordPressプラグインの調査も

　一方、アプリケーション層への攻撃については、ShellShock脆弱性の攻撃が非常に多く、49％を占めたという。これにより、HTTPS攻撃の件数がHTTP攻撃の件数を上回るという珍しい事態となった。

　ウェブアプリケーションへの攻撃の対象となる業界は、DDoS攻撃とは異なり、金融や小売などが多かった。サイトを潰す目的のDDoSと異なり、ウェブアプリケーションへの攻撃は乗っ取りが目的だと新村氏は説明する。

ShellShock脆弱性によりHTTPS攻撃がHTTP攻撃より多かった

ウェブアプリケーションへの攻撃では金融業界や小売業界へのものが多い

　CMSのWordPressプラグインの問題についても新村氏は説明した。WordPress本体はセキュリティが強固だが、サードパーティで作成されたプラグインに多くの脆弱性が報告されるという。「プラグインは最初の登録では審査されるが、バージョンアップでは審査がないので、そこで脆弱性が入ることがある」と新村氏。「プラグインを利用している場合は、脆弱性情報やセキュリティアップデートに注意する必要がある」。

　Akamaiのレポートでは、コードの静的解析、人手のコードレビュー、動作確認の3つを、600のプラグインと722のテーマに適用。25のプラグインと49のテーマに脆弱性を新たに発見して公表したという。

WordPressプラグインの脆弱性の調査

Torとインターネット攻撃の関係の調査

　匿名通信システム「Tor（The Onion Router）」とインターネット攻撃の関係についての調査も報告された。

　まず、サイトに来た通信のうち、99.96％がTorを使わないもの（非Tor）で、0.04％がTorを使ったものだった。それぞれのうち、攻撃トラフィックの比率を見ると、非Torが1万15001分の1、Torが380分の1と、Torの方が攻撃トラフィックの比率が高い。

　一方、コマースサイトでのコンバージョンレート（購入に結び付いた率）を見ると、非Torが834分の1、Torが895分の1と、比率はほぼ変わらない。

　Torと非Torでの攻撃手法を比較してみると、Tor経由だからといって攻撃手法に特徴はないという。また、攻撃対象は、金融や小売が多く、これらの業界ではセキュリティ対策や認証などが厳重なためTorを通しているのだろうと推測されている。

Torと非Torでの攻撃トラフィックの比率

Torと非Torでのコマースサイトのコンバージョンレート

Torと非Torでの攻撃手法の分布。攻撃手法に特徴はないという

Tor経由の攻撃対象となる業界