Akamai Diversity

Akamai Japan ブログ

アカマイ 巧妙な1.44Tbps, 385MppsのDDoS攻撃を緩和

※ このBlog 記事は2020.6.22に執筆されたLorenz Jakober 執筆の記事を翻訳した内容を元に作成しています。

コミュニティが、新しい状況や現実にするりと適応できうることには常に驚きを隠せません。かつては異常で想像もできない状況と見なされていたものが、すぐに私たちの新しい日常(ニューノーマル)になってしまいます。

企業を脅威から保護することに重点を置いている私たちにとっても、それはかつてないほどあてはまることです。特に、Security Operations Command Center(SOCC)でProlexicプラットフォームを担当するAkamaiのチームは、1日にいくつもの分散型サービス拒否(DDoS)攻撃の緩和に取り組んでいますが、その結果、ツールによる自動化とエキスパートレベルのノウハウは、絶え間ない攻撃への対処を通して、日々磨かれています。

一方で攻撃者もまた、あぐらをかいて休んでいるわけではありません。攻撃側、防衛側双方で、日常は常に進展しているのです。

ボリューム型攻撃の緩和に携わる人はすでにご存知かと思いますが、DDoS攻撃は、データ窃取目的の攻撃の目くらましとしての役割から、DDoS自体を最終的な手段とする攻撃にいたるまで、複数の目的に利用できるため、多層的な攻撃戦略の一部として利用されることがよくあります。2020年5月の終わりには、Akamaiプラットフォームで記録的な、312Mpps (パケット/秒)の攻撃が発生しました。このときは、金融サービスのお客様に対する攻撃を、Akamai Prolexicプラットフォームの予防的緩和策を利用してゼロ秒で緩和しました。この攻撃では、悪意のある攻撃者は最小限のサイズのUDPパケットを大量に送り付け、顧客のデータセンターのネットワーキング機器を圧倒しようとしました。(ppsの飽和攻撃の主な標的は、パケットの単位でインターネットトラフィックを中継するルータやファイアウォールといったネットワーク機器とその処理可能量の上限値です。)

しかし、先ほど述べたように、攻撃はますます高度化し、巧妙になっています。 2020年6月の第1週に、Akamaiは、Akamai Prolexicプラットフォームで、これまでにAkamaiが経験した最大サイズのDDoS攻撃を緩和しました。今回は、あるインターネットホスティングプロバイダーのお客様に対する攻撃で、グローバルに分散された攻撃トラフィックにより、1.44テラビット/秒(Tbps)と385 Mppsの攻撃が2時間近く続きました。

DDoSblog.png

サイズ以外でこの攻撃の興味深い点は、9つの異なる攻撃ベクトル(ACK Flood、CLDAP Reflection、NTP Flood、RESET Flood、SSDP Flood、SYN Flood、TCP Anomaly、UDP Flood、UDP Fragment)と、複数のボットネットを攻撃のツールとして使用したことです。現在、このようなマルチベクトル攻撃はとても一般的な手法です。2020年までに、Prolexicプラットフォームによって軽減されたDDoS攻撃の約33%に、3つ以上の攻撃ベクトルが用いられました。これまでの中では、最大14の異なる攻撃ベクトルが用いられたDDoSを観測しています。

この大きく複雑な攻撃を緩和するために、大規模で高度なDDoS攻撃を軽減する唯一の実行可能なアプローチであると、我々Akamaiが信じている方法を使用しました。それは、「自動化された緩和」と「人間による緩和」の組み合わせです。

業界の中で我々Akamaiが、対処しているDDoS攻撃の頻度、規模、洗練度の点で最高の水準を維持していることは明らかですが、これらの攻撃を緩和する最善の方法が、技術、人、プロセスの組み合わせであることもまた明らかです。

DDoS攻撃はより大きく、より洗練し続けています。それらが最終的に起こす事象に対して、いわば、「これまで実証されたDDoS緩和戦略にのみ頼らないこと」が、この攻撃に対処するひとつのレシピです。Akamai、特にSOCCチームの視点から見れば、大規模で洗練された新たな攻撃が起き、それに対処することは、日常的な職場の光景です。ー 日々、果敢に戦っています。

Akamaiのリソースを使って、どう貴社を支援できるか?また、脅威リサーチャー、インシデントマネージャー、セキュリティアーキテクトと最先端のテクノロジーを組み合わせたDDoSに対するアカマイのアプローチの独自性について、ご興味をもたれましたら、ぜひこちらをご覧ください