アカマイ・テクノロジーズ(Akamai Technologies)は、世界各地に分散するIntelligent Platformから収集したデータを活用し、インターネットの現状プログラムを公開している。その目的は、企業や政府機関がインテリジェントかつ戦略的にセキュリティ対策を行うための支援である。今回は、第3四半期のレポートである。

図1 AkamaiのレポートWebサイト「インターネットの現状」

623Gbpsを記録した大規模なDDoS攻撃が発生

まず、2016年第3四半期と2015年第3四半期の比較を行っている。大きな違いは、以下の通りである。

・DDoS攻撃総数が71%増加
・インフラストラクチャレイヤー(レイヤー3および4)に対する攻撃が77%増加
・100Gbpsを越える攻撃数が8件から19件へ

この四半期では、非常に大規模な攻撃が検知された。サイバーセキュリティ分野のライターでブロガーのBrian Krebs氏を標的としたものである。これまでの最高は、363Gbpsであったが、同氏への攻撃では623Gbps、555Gbpsを記録した。555Gbpsの攻撃は、ACKフラッド攻撃やNTPリフレクションを使用していた。一方、623Gbpsの攻撃では、マルウェアのMiraiが使われた。

ここで、Miraiの仕組みについて、少し説明しておこう。もともとは、Linuxが動作するPCをボット化し、ネットワーク攻撃に使うウイルスであった。今回のDDoS攻撃で特徴的であったのは、Webカメラや家庭用ルータといった、いわゆるIoTデバイスが狙われたことだ。パスワードを工場出荷時のままにしてあるデバイスを探し、感染する。感染したIoTデバイスは、同じようなIoTデバイスを探し、攻撃コマンドを待ち受ける。

感染したIoTデバイスであるが、一時的に通信が遅延したり、ネットワーク使用帯域が増えるといったことがあるが、感染に気が付くレベルには至らない。電源を切っても、パスワードを変更しない限り、また、感染する。こうして、多数のIoTデバイスがMiraiに感染し、攻撃者の指示を待つ。攻撃には、UDP、GRE、ACK、SYN、DNS、Valve Engine、およびHTTPフラッドが使われた。

結果として、623Gbpsというこれまでに類をみない大量の攻撃が行われたのである(当然、同氏のブログは閉鎖された)。また、DoS対策として、特定のIPアドレスから送信される大量の通信から、攻撃パターンを分析し、送信元からの通信をブロックするという手法がある。Miraiの攻撃は、多数のデバイスから攻撃を行うことで、このような防御策が無効となってしまった。

2016年に入ってからの傾向として、100Gbpsを超える攻撃の増加がある。第3四半期には、19件もの大規模攻撃が発生している。大規模攻撃の数、規模とも増加傾向にある。19件のうち、13件はメディアおよびエンターテインメント、4件はゲーム、2件はソフトウェアおよびテクノロジを標的としていた。

図2 四半期別の攻撃ベクトルトップ10(同社資料より)

ルーティングされたネットワークからのDDoS攻撃の総数は、4556件であった。冒頭でふれたように、2015年から71%増加している。しかし、直近の比較では、第2四半期と比較すると、8%の減少となっている。これは一時的な減少で、今後も続く可能性は低いと分析する。年末・年始の休暇時期には、DDoS攻撃が増加する傾向にある。さらに、Miraiは、ハッカーフォーラムにソースコードがすでに掲載されている。今後、同じような手口を使ったDDoS攻撃が、十分に考えらえる。

通年のDDoS攻撃元国の1位は中国となった。第3四半期の攻撃トラフィックの30%を中国が占めた。一方で、中国からのトラフィックの割合が56%減少し、全体として8%の減少に繋がった。中国以外の上位5位までは、米国、英国、フランス、ブラジルとなった。

また、DDoS攻撃の平均数では、1つの標的に対し、30回に増加した。これは、同じ組織が執拗に攻撃を受けることを意味する。上位の攻撃対象では、1日に3~5回の攻撃受けている。当然、1日に数回のシステムダウンが発生し、深刻な悪影響が懸念される。

Webアプリケーション攻撃の動向

Webアプリケーション攻撃であるが、これも2015年第3四半期と比較すると、以下のような傾向がある。

・Webアプリケーション攻撃総数が18%減少
・SQLi攻撃数が21%増加
・米国が攻撃元である攻撃が67%減少

米国からのWebアプリケーション攻撃数が2015年度比67%の減少となった。しかし、米国は攻撃トラフィックの発信元としては、変わらず最上位を占めている。さらに、米国はアプリケーション攻撃の全体の20%の発信元であり、また、すべて攻撃の66%が米国を標的としていた。

図3 Webアプリケーション攻撃の頻度(同社資料より)

SQLi(SQLインジェクション)が、全体のほぼ半数を占める。LFI(ローカルファイルインクルージョン)、XSS(クロスサイトスクリプティング)の2つと合わせると95%を占め、ほぼこの3つによる攻撃が行われている。

アカマイでは、スポーツイベントとの関連を調べたところ、サッカーの欧州選手権開催中は、フランスでは68%、ポルトガルでは95%の攻撃数の減少が見られたとのことだ。同様にリオのオリンピックでは、ブラジルからの攻撃が、730万件から100万件に減少した。理由は明確ではない。スポーツイベント中といって、安心はできないであろう。