Akamai Diversity

Akamai Japan ブログ

2018 年夏季 SOTI/Security Report -数値で見るDDoSの動向

※ このBlog 記事は2018.6.19に公開されたMartin McKeayのBlog記事を翻訳した内容を元に作成しています。

変化のとき

「インターネットの現状/セキュリティレポート (SOTI/Secyurity Report)」は、3年以上にわたり、AkamaiのDDoS、攻撃トラフィック、インターネット脅威に関する調査の根幹となっています。時の経過とともにレポートも進化し、その対象範囲も大幅に拡大した半面、内容の提示のしかたはあまり変わっていませんでした。しかし、今回の 2018 年夏季 SOTI/Security Report Web Attaks から、コンテンツの提示形態が大きく変わったことにお気づきかと思います。

最大の変化は、統計グラフの一部をレポートからブログに移動させた点です。最終的には静的なグラフから、APIにより最新情報に自動更新するグラフィックに移行する予定です。この記事では、弊社のDDoSデータに基づいて、攻撃ベクトル、攻撃サイズ、攻撃対象の情報など、提供する統計データの前半部分について説明します。 なお、次回の記事ではWebアプリケーション攻撃についてご紹介します。

2018 年夏季 SOTI/Security Report の全文翻訳版のダウンロードはこちらから

DDoS の動向

データレポートにおける最も重要な変化の1つが、これまでの四半期から半期レポートに変わった点です。新しい攻撃タイプが検出された場合など稀に例外はあるものの、攻撃の統計情報は時の経過と共に『緩やか』に変化します。これまでは多くのグラフで週や月の単位で目盛りを設定したデータを提供していましたが、今後はデータレポートの頻度も穏やかにする(少なくする)予定です。

以下に挙げる図は、2017年11月1日から2018年4月30日までの統計に基づき、いくつかはデータの長期的見通しの提供を目的としています。攻撃ごとのレポートからデータを収集し、Akamai Prolexicチームの専門知識を反映しています。 Akamaiがこの期間に観測したDDoS攻撃は、7,822件でした。

Akamaiが観測したDDoS攻撃では、レイヤー3とレイヤー4の攻撃が引き続き大部分(99.1%)を占めていました。リフレクターまたはボットネットを利用してこの種のDDoSを仕掛けるのは、アプリケーション層へのDDoSを仕掛けるよりも経済的(低コスト)なので、この結果に特に驚きはありません。また、UDP フラグメントフラッドが引き続き、Akamaiで観測した全DDoS攻撃のほぼ3分の1を占めています。フラグメントによるトラフィックの断片化は大きなサイズのパケットがDDoSの攻撃として送られた場合に、副次的によく起きる現象であり、UDPベースのリフレクション攻撃や増幅攻撃の結果として観測されています。(従って、もともとUDPフラグメントを狙ったDDoSではないと判断してもよいでしょう。)

UDP フラグメントフラッドを除くと、DNSフラッド(17%)とConnection-less Lightweight Directory Access Protocol (CLDAP)リフレクション(13%) が、観測期間に記録された全攻撃数のほぼ3分の1を占めています。CLDAPは多くのDDoSに含まれる一般的なコンポーネントとなっていて、しばらくこの攻撃ベクトルは無くならないと思われます。

Screen Shot 2018-06-19 at 9.13.25 AM.png

DNS、NTP、CharGEN、SSDPなどのリフレクターは、インターネット上に公開されているシステムの数が多いため、今後も攻撃トラフィックの大きな要素であり続けると考えられます。2018年夏季レポートの「攻撃の注目点」ではmemcachedをDDoSのリフレクターおよび増幅装置としてご紹介していますが、2月末に世間を大きく騒がせた後は、このベクトルを重大な脅威と認識して封じ込めようとした防御側の努力が、今のところ功を奏しているように見えます。

2-x_DDoS-reflectorsSankey.png

次の攻撃ベクトルの図から攻撃総数の推移を見ると、2017年の6月と8月に攻撃が急増していることが分かります。2018年は2017年に比べて攻撃がわずかに増加しているように見えますが、時の経過につれて今後攻撃数が全体的に増加していくかどうかはまだ分かりません。

DDoSFigTop10VectorByWeek.png

比較的長期にわたる攻撃サイズの中央値を示した次表における最も重要なポイントは、2017年以降、1年近く減少した後、2018年初めには2017年の初めの値にほぼ戻った、という点です。memcachedの攻撃サイズの膨大さ注目を注ぎがちですが、まさにこれが、私達が平均値ではなく、中央値を指標として使用する理由なのです。 私達の慎重な分析をひとつの大規模攻撃によって歪曲されることを避けたいからです。

ddosMedianSize.png

Akamaiがこれまで防御している中でDDoS攻撃の最大標的にされているのがゲーム業界です。攻撃の大部分は、攻撃されたシステムを普段利用している人々に由来しているように見えます。言い換えれば、多くは何らかの不満からサイトを攻撃しているか、競争している他者より優位に立ちたいと思っているゲーマーです。攻撃対象となった業界のDDoS数のランキングでは1位から大きく離れて、2番目と通信、3番目に金融サービスが続いています。

一度DDoSで攻撃された組織が再度攻撃される可能性は非常に高くなります。直近の6カ月間では、攻撃を受けた企業では平均して41回のDDoSを受けています。同期間に884回のDDoS攻撃を受けた組織もありました。

貴社のウェブサイトでは毎日平均して5回のDDoS攻撃に耐えられる準備をされているでしょうか?DDoS攻撃が1回で終わることはまれです。もし一度でも攻撃を受けた経験をお持ちなら、その後繰り返される攻撃に備えておく必要があります。

DDOSFig 6 DDoS-Avg-Attacks.jpg

それでは、これらのDDoSはどこから来たのでしょうか? その答は少々複雑です。Akamaiの観測では攻撃トラフィックの30%が米国からの発信でした。その次に中国と英国が続いていますが、これは必ずしも攻撃者が実際に米国や中国、英国に住んでいるという意味ではありません。リフレクション攻撃やボットネット、UDPによって真の攻撃元を偽装することは簡単にできます。防御する側が見ることができるトラフィックだけを見て攻撃者の所在を特定することは難しいと言えます。DDoSトラフィックから攻撃者を追跡することは、難しく、費用も時間もかかります。そのうえ、この試みは収益にはつながりません。

DDoS 攻撃元国トップ10: 2017年11月 ~ 2018年4月

DDOSAttacksSrc.png

このほか、今回の(全文)レポートではDDoSについて以下のトピックスを取り上げています。

• Memcashed によるDDoSの攻撃規模の推移
• 特に特徴的な手法を用いた2つのDDoS 攻撃について
• 欧州における大手DDoS請負業者解体作戦「Operation Power Off」について

なお2018 年夏季 SOTI/Security Report に関する第2弾のブログでは、SQLインジェクション、クロスサイトスクリプティングなどのWebアプリケーション層の攻撃の動向についてお伝えします。

Leave a comment