NSFOCUS: 2014 年 DDoS 脅威レポート

サイバーセキュリティの脅威はますます複雑化しています。さまざまな攻撃の標的、方法、ソースは絶えず変化しています。そのため、企業や組織は、将来起こりうる悪意のある攻撃を理解して予測し、複雑な変化によってもたらされる課題に対応するために、これらの動向に細心の注意を払う必要があります。

DDoS（分散型サービス拒否）は、ネットワークセキュリティ脅威の代表的な攻撃手法として、その誕生以来、止むことなく続いています。本レポートは、2014年通期のDDoSレポートです。 2014 年、DDoS 攻撃において、新しいタイプの DDoS リフレクション増幅攻撃が登場しました。この攻撃は SSDP プロトコルに基づいており、一部のスマート デバイスを使用してリフレクション攻撃を実行します。攻撃帯域幅の増幅係数は最大 75 倍になります。同国では、オンラインゲームがDDoS攻撃の標的のトップ3にランクインしている。 2014年のDDoS攻撃では、1回の攻撃のトラフィック量が100Gbpsを超えました。

主な調査結果

1. スマートデバイスによるDDoS攻撃の件数が大幅に増加

2. 広東省は依然として最も被害が大きい地域

3. 18:00～23:00はDDoS攻撃の主な時間帯

4. UDPフラッドが主なDDoS攻撃方法になる

5. オンラインゲームは現在、DDoS攻撃の標的のトップ3に入っています

6. DDoS攻撃の93%は30分以内に発生する

2015年の予測

1. DDoS攻撃のピークトラフィックが過去最高を記録する

2. 反射型DDoS攻撃技術は進化し続ける

3. DNSサービスはより多くのDDoS攻撃に直面する

4. 産業に対するDDoS攻撃は続く

視点1: スマートデバイスによるDDoS攻撃の件数が大幅に増加

近年、スマートデバイスを起点としたDDoS攻撃が多数検出されており、その数は徐々に増加傾向にあります。 一部のスマート デバイス (ネットワーク カメラなど) には、比較的高い帯域幅、長いアップグレード サイクル、導入以来一度もアップグレードされていない可能性、通常は 24 時間 365 日オンラインであるなどの特性があります。

これらのデバイスのパスワードが弱かったり脆弱性があったりすると、攻撃者に簡単に悪用され、DDoS 攻撃の元となる可能性があります。 NSFOCUS は最近、世界中のスマート デバイスを監視し、約 80 万台のスマート デバイスが DDoS 攻撃に悪用される可能性があることを発見しました。次の図は、それらの分布を示しています。

イベント1：2014年に中国で発生した最大のDDoS攻撃：攻撃の3分の1はスマートデバイスによるもの

2014年12月10日以来、世界中でDNSトラフィックが異常な状態になっています。グリーンアライアンステクノロジーセキュリティチームは、この事件を迅速に分析し、処理しました。DNS攻撃は国内のほとんどの省に影響を及ぼし、10日早朝から14日まで、全国で攻撃が頻繁に発生し続けました。予備統計によると、今回の事件における攻撃トラフィックは全国で少なくとも100Gに達し、単一ノードのピークトラフィックは70Gbpsに達した。事件の継続時間と攻撃トラフィック量は近年最大であった。サンプルを分析した結果、攻撃者は a***k.org や n***c.com など 3 つのドメイン名のランダムな第 2 レベル ドメイン名を継続的にクエリすることで DNS フラッド攻撃を実行していたことが判明しました。

この DDoS 攻撃の基本的な手法は、ボットネットを使用してゲーム Web サイトのランダムな第 2 レベル ドメイン名を照会し、ゲーム Web サイトの権威ドメイン ネーム サーバーを攻撃することです (つまり、DNS Slow Drip DDoS 攻撃)。国内のブロードバンドユーザーは通常、自分のコンピュータのDNSオプションを各省の再帰サーバーに設定しているため、大量のゾンビコンピュータが攻撃（リクエスト）を開始すると、再帰サーバーはゲームウェブサイトのランダムな第2レベルドメイン名を再帰的に照会する必要があり、これらのサーバーのシステムリソースが大幅に消費され、オペレーターのコア解決ビジネスに深刻な影響を及ぼします。このDDoS攻撃について注目すべき点は、攻撃元の約1/3がスマートデバイスであること、国内のDNS再帰サーバーが関与により深刻な影響を受けていること、攻撃されたドメイン名がすべてオンラインゲームのWebサイトであることです。

さらに、2014 年 12 月に発生した DNS サービスに対する DDoS 攻撃事件 (DNS FLOOD) を例にとると、これらの攻撃が頻繁に成功したという事実は、攻撃者の観点から見ると、DNS サービスへの攻撃が攻撃目的を達成するための強力で効果的な手段であることを十分に証明しています。この選択は、DNS の現在のセキュリティ保護状況を間接的に反映しています。結局のところ、DDoS 攻撃の目的はリソース枯渇を引き起こすことであるため、攻撃の被害者の「弱点」を見つける必要があります。

視点2：沿岸の省や都市が最も攻撃を受けており、広東省は依然として最も深刻な影響を受けている地域である

2014年後半、広東省は依然として最も被害の大きい地域であった。 2014年上半期と比較すると、広東省での攻撃の割合は減少しているものの、下半期の攻撃数は上半期の2倍以上となっており、現在のDDoS攻撃活動の活発さを十分に反映しています。 2013年下半期と比べ、最も変化が顕著だったのは、犠牲者数が増加し続けた天津市だ。2013年にはトップ10圏外だったが、2014年下半期には福建省を抜いて4位にランクインした。被害の大きい上位10地域のうち、陝西省と四川省などの内陸部を除き、その他の被害地域はすべて沿岸部の省と都市である。

視点3: 18:00～23:00がDDoS攻撃の主な時間帯

次の図は、2014 年の 6 か月ごとの DDoS 攻撃対象別の DDoS 攻撃の開始時間を示しています。 2014 年後半には、18:00 ～ 23:00 (北京時間、GMT+8) が DDoS 攻撃の主な時間帯 (47.5%) であり、次いで 12:00 ～ 17:00 (26.2%) となっていることがわかります。攻撃者は主に 18:00 から 23:00 の間に攻撃を開始することを選択します。この時間帯はネットワーク トラフィックが比較的多く、攻撃がより効果的になるためです。

視点4: UDPフラッドがDDoS攻撃の主流になる

監視データによると、2014 年後半には、UDP FLOOD が DNS FLOOD を上回り、最も一般的な DDoS 攻撃方法となり、全体の 51.9% を占めました。 DDoS 攻撃方法の変化は、ネットワーク攻撃と防御の対決における攻撃および防御技術の動的な進化を反映しています。たとえば、攻撃者は、データ パケットがターゲット サイトに到達するまで通過する各ノードをテストし、ネットワーク リンクの弱いリンクを発見してから攻撃を開始します。 UDP FLOOD が重要な DDoS 攻撃方法となった理由の 1 つは、近年攻撃者がリフレクション DDoS 攻撃を継続的に使用していることに深く関係しています。

イベント2: SSDPリフレクションDDoS攻撃例の分析

2014 年後半には、SSDP リフレクション DDoS 攻撃の数が大幅に増加しました。この攻撃の基本的なプロセスを下の図に示します。まず、攻撃者は偽造された IP アドレスを持つ M-SEARCH UDP パケットを多数の UPnP デバイスに送信します。次に、これらの UPnP デバイスは応答パケットを被害者の IP に「返します」。最後に、被害者がこれらの UPnP デバイスによって生成された反射攻撃トラフィックを処理できない場合、攻撃対象はサービス拒否状態に陥ります。監視された SSDP リフレクション DDoS 攻撃データによると、攻撃帯域幅増幅係数 (BAF、つまり UDP ペイロード比) は約 30 です。

ご覧のとおり、攻撃者は UPnP デバイスに M-SEARCH 要求を送信し、ST (検索ターゲット) を ssdp:all (つまり、すべてのデバイスとサービスを検索する) に設定します。世界中で悪用可能な UPnP デバイスの数を考慮すると、このタイプの反射型 DDoS 攻撃がインターネットに非常に大きな影響を与える可能性があることは容易にわかります。 NSFOCUS が最近、世界中の SSDP サービスを監視したところ、700 万台を超える SSDP デバイス (制御デバイス) が悪用され、SSDP リフレクション DDoS 攻撃が開始される可能性があることを発見しました。

統計によると、SSDP プロトコルの平均帯域幅増幅係数 (BAF) は 37 で、最も一般的な増幅係数は 24 と 32 です。SSDP プロトコルの平均パケット増幅係数 (PAF) は 8.7 です。 SSDP デバイスの増幅係数を昇順に並べると、最初の 10% の SSDP デバイスの平均帯域幅増幅係数は 14 になり、最後の 10% の SSDP デバイスの平均帯域幅増幅係数は 75 になります。

これらの SSDP デバイスの増幅係数の分布は次のとおりです。

SSDP プロトコルに基づくリフレクション攻撃は、長期間にわたって修復が困難です。影響を受けるデバイスの範囲が広く、手段も多様で、攻撃の影響も明らかなため、この攻撃の手段や手法を使用/改良する攻撃者がますます増えることが予想されます。リフレクション攻撃への対応の観点から、このタイプの攻撃は、ユーザーサービスの信頼性を最大限に確保するために、エンドユーザー、オペレーター、セキュリティベンダーが協力してあらゆるレベルでブロックする必要があります。

視点5: オンラインゲームはDDoS攻撃の標的のトップ3にランクイン

NSFOCUS は、2013 年から 2014 年にかけて世界中で発生した主要な DDoS 攻撃に関するデータを収集しました。これらの攻撃のうち、政府のウェブサイトは2014年後半も引き続きDDoS攻撃の主な標的であり、全体のほぼ半分を占め、次いで民間企業に対する攻撃が続きました。 2014 年上半期と比較すると、オペレーターに対する攻撃の割合は減少し、オンライン ゲーム業界と金融業界に対する攻撃の割合は増加しました。 2013 年下半期と比較して、最も明らかな違いは、オンライン ゲームに対する DDoS 攻撃が大幅に増加したことです。ゲーム業界は常に DDoS 攻撃の主なターゲットの 1 つでした。これは、オンライン ゲームがゲーム サーバーに非常に高いサービス品質要件を持っているためです。DDoS 攻撃がゲームの正常な動作に影響を与えると、プレーヤーはゲーム サーバーが「遅すぎて切断されやすい」と非難することがよくあります。このような状況が頻繁に発生すると、プレーヤーが離脱を選択する可能性が高くなり、ゲームのオンライン収益性の低下に直接つながります。攻撃者がオンライン ゲームをターゲットにすることを好む理由は、恐喝によって不法な利益を得ようとしていることに関係している可能性がありますが、不公平な商業競争などの他の理由もある可能性があります。

視点6: DDoS攻撃の93%は30分以内に発生する

2013 年のデータによると、DDoS 攻撃時間の分布は比較的安定しており、30 分以内に完了した攻撃が約 90% を占めています。現在の DDoS 攻撃の重要な特徴は、攻撃時間は短いが攻撃トラフィックが大きいことです。攻撃者がこの攻撃戦略を使用する理由は、少なくとも次のとおりです。

1. ブリッツ: 攻撃の検出からクリーニング サービスの開始までの時間間隔内に攻撃を開始し、ターゲットに対してより効率的に DDoS 攻撃を開始します。

2. 妨害戦争: DDoS 攻撃は、ターゲットの IT スタッフの注意を引き、攻撃者が他の攻撃方法を取るのを隠蔽するためにのみ、ターゲットに対して実行されます。

3. ゲリラ戦: ウェブサイトに対する長期的な DDoS 攻撃を通じて、多くの場合「撃って逃げる」方法で、ウェブサイトへの通常のアクセスを悪意を持って妨害することを目的としています。

DDoS 緩和においては、攻撃の検知からクリーンアップ開始までの応答速度が緩和効果を判断する重要な要素の 1 つになることがわかります。また、長期にわたる継続的な DDoS 攻撃はまれではあるものの、依然として存在します。2014 年後半、Green Alliance Technology のクラウド セキュリティ オペレーション センターは、最大 70 時間続いた DDoS 攻撃を監視しました。

2015年の予測

現在の状況は将来の前兆となるため、分析する価値がある。 2015 年に破壊的な技術的変化や大きな政治的または宗教的紛争が発生しない場合。そうすることで、DDoS の量、方法、ターゲットについていくつかの予測を立てることができます。その中でも、リフレクション型 DDoS 攻撃は特に注目に値するため、このセクションでは、技術的および脅威の観点からより詳細な分析を提供します。

DDoS攻撃のピークトラフィックが過去最高を記録する

DDoS 攻撃のピークトラフィックは年々増加しています。これは、一方では攻撃技術の継続的な発展によるものであり、他方では、ネットワーク帯域幅などの利用可能なリソースが大幅に増加したことによるものです。 そのため、2015 年の DDoS 攻撃のピークトラフィックは 2014 年に比べて大幅に増加し、1Tbps 時代を迎える可能性もあると予想されます。

反射型DDoS攻撃手法は進化し続ける

保護の観点から見ると、リフレクション DDoS 攻撃は、攻撃データ パケットの送信元ポートが比較的固定されているため、検出と軽減が容易です。ただし、攻撃の観点から見ると、このタイプの DDoS 攻撃には、攻撃者の正体を隠蔽できる、攻撃者がボットネットを形成する必要がない、攻撃者のネットワーク帯域幅に対する要件が低いなどの利点があります。 2014 年後半には、SSDP プロトコルに基づく DDoS リフレクション攻撃の数が大幅に増加しました。この効率的で低コストの DDoS 攻撃テクノロジーにより、攻撃者にさらに多くの攻撃オプションが提供されることも期待されます。

DNSサービスはより多くのDDoS攻撃に直面

2014 年後半には、多くの大規模な DDoS 攻撃で DNS FLOOD が使用されました。これは主に、DNS プロトコルの設計におけるセキュリティ上の欠陥と、多くの DNS サーバーの運用と保守におけるセキュリティ上のリスクが原因で、当然のことながら DNS サーバーは攻撃者にとって重要なターゲットとなりました。

業界に対するDDoS攻撃は続く

近年、金融やエネルギーなどの業界に対するDDoS攻撃が多発しており、一部の業界では長年DDoS攻撃の問題に直面しているところもあります。さまざまな DDoS 緩和技術が絶えず開発されていますが、DDoS 攻撃は攻撃者の観点から見ると単純かつ実行しやすいため、効果がある限り存在し続けるでしょう。

結論

サービス拒否攻撃が存在する根本的な原因は、インターネット アーキテクチャ自体の欠陥です。RFC 4732 には、「元のインターネット アーキテクチャではサービス拒否攻撃が考慮されていなかったため、ほぼすべてのインターネット サービスはサービス拒否攻撃に対して脆弱です」と記載されています。過去5年間のDDoS攻撃者と防御者の対決を振り返ると、攻撃者の技術は絶えず進化しており、「大を利用して小をいじめる」（トラフィックベースの攻撃）と「小を利用して大と戦う」（リソース枯渇ベースの攻撃）という2つの攻撃手法を組み合わせ、徐々に増加するネットワーク帯域幅を利用して攻撃力を高めるなどしており、防御側はトラフィッククリーニングデバイスなどのさまざまな手段で対応しています。

Green Alliance Technologyが長年にわたり追跡・分析してきたDDoSデータからは、攻撃者の行動が常に変化し、ネットワーク環境の進化によって攻防の戦場がより複雑になっていることがわかります。このレポートで述べられている見解は、将来の攻撃パターンを予測し、企業や組織向けのソリューションをさらに改善する上で貴重なものであると考えています。

「敵の変化に適応して勝つことを神という。」絶え間ない進化とDDoS攻撃の波に直面して、あなたは準備ができていますか？

出典: 提出物、著者: Zhao Gang、NSFOCUS の脅威対応センターの研究員。主な研究分野は状況認識と情報セキュリティ インシデント分析です。 Ma Lele 氏は、NSFOCUS Technology Co., Ltd. の北京 R&D センターの研究エンジニアであり、主に DDoS 攻撃と防御に関する研究を行っています。

原題: NSFOCUS: 2014 DDoS 脅威レポート

キーワード: