分散型サービス妨害攻撃(DDoS)は、企業・組織や官公庁のWebサービスへ大量のトラフィックを送信し、サービスの妨害・停止を行います。あまり労力をかけずに「金銭」と「評判」の2つの側面で攻撃対象の組織に損害をもたらすことができるため、さまざまなサイバー犯罪者が活用しています。

BBCへの攻撃は「嘘」?

DDoS攻撃は2000年代後半からよく見られるようになり、規模も過去数年で大きく拡大しています。新しいプロトコルの悪用や増幅型といった攻撃の多様化も進んでおり、クラウドベースの「DDoSスクラビングサービス(悪質なトラフィックをクラウド上で排除するサービス)」の助けを借りなければ対応できない水準にまで達しています。

例えば2013年には、スパムに荷担しているドメインやIPアドレスをリアルタイムに作成・公開する「SpamHaus」というサービスが300Gbpsというトラフィック攻撃を受け、一時停止に追い込まれました。規模の拡大はさらに続き、2015年に500Gbpsに及ぶ攻撃も問題となりました。

今年1月には、「New World Hacking」と自称する集団がイギリスの公共放送「BBC」のWebサイトへの攻撃として「602GbpsのDDoS攻撃に成功した」と発表しました。ただ、この攻撃には疑問符が付いており、実際にそのような攻撃が行われたことを示す証拠は存在していません。

この集団は「AWSを使ってProxyにリンクしたバイパスを構築した」ため、DDoS監視サービス企業が検出することは「いかなる場合にもあり得ない」と主張しています。ただ、Amazonのシステムや内部プロセスの技術に詳しい人物によると「ハッカーの主張は、AWSの仕組みを考えると整合性が取れない」としています。

始まりから終わりまで、9分間のDDoS攻撃

New World Hackingの存在がこの事件によって知られることになったのと時を同じくして、「ボリュメトリック(増幅型)DDoS攻撃」と呼ばれる攻撃が増加し始めていました。以下はF5の Security Operations Center(SOC)で検知した例で、100Gbps以上のDDoS攻撃のピーク帯域幅(Gbps)となります。

2016年における100Gbps以上のDDoS攻撃のピーク帯域幅(Gbps)

3月までは攻撃回数が多かったものの規模はさほど大きくありませんでした。しかし、4月以降は回数こそ減ったものの、徐々に規模が拡大し、6月には448Gbpsのピークを記録するまでに至りました。攻撃のタイプは四半期ごとに異なっており、当初はUDPを狙っていた攻撃が、第2四半期(4月以降)にはDNSに加えてNTPもターゲットに加えられています。

第1四半期と第2四半期に検出した攻撃のタイプ

これらの攻撃を監視・対応したアナリストによると、448Gbpsに及ぶ大規模なUDP/ICMPフラグメンテーションフラッドは、主に特定の一つのサブネットを対象にしていたとのことです。攻撃は9分間で急速に増加/消失したとのことです。

また、UDPフラッドでよく見られるパターンとして、攻撃側が大規模に分散したIPを発信元にして、高度ななりすまし(スプーフィング)を行ったパケットを、極めて大きな時間あたりパケット数の下で送りつけています。この攻撃に限って言えば10万を超えるIPアドレスが使用されていました。

データセンターごとの攻撃トラフィックの内訳。ピーク時の合計帯域幅は447.7 Gbps

この攻撃は、発信元となった国とASN(Autonomous System Number:各組織が保有・運用する自立したネットワークを識別する番号のこと)が世界中に散らばっていたことを観測しています。こうした分散された攻撃は、取り締まり当局が攻撃者を特定する可能性を減らすために、近年では一般的な手法となりつつあります。

送信元IP別の攻撃トラフィック

攻撃の背後には誰が?

これまでのところ「攻撃した」と名乗り出たサイバー犯罪者はいないようです。

現時点で判明していることは、攻撃対象が「米国の金融機関」であり、これまでもたびたびターゲットとなっていた事実です。著名なハッカー集団は、こうした金融機関をターゲットにすることが多く、関連性を見出した仮説が出ていますが、検挙などの成果には至っていません。

DDoS攻撃はその他攻撃と同様に減少する兆しを見せておらず、むしろ攻撃のボリュームや頻度が高まり、さらに洗練されています。標的型攻撃やバラマキ型メールによる攻撃と同様に「うちには関係ない」という姿勢でいるのではなく、「明日は我が身」として、情報収集や対策の必要性を検討してはいかがでしょうか。

著者プロフィール

伊藤 悠紀夫(いとう ゆきお)
F5ネットワークスジャパン
セールスエンジニアリング本部
プリセールスコンサルタント

UNIXサーバ、ストレージ、シン・クライアントといったインフラエンジニアを経て、F5ネットワークスジャパンへ2012年に入社。
現在はセキュリティ・クラウドをキーワードにイベント講演やハンズオンラボを行い、F5ソリューションの啓蒙活動に奮闘中。
最近はOpenStackやIoTといったキーワードを中心に連携ソリューションを模索している。