小規模なDDoS攻撃がネットワークインフラストラクチャにもたらすリスク

最新のDDoSレポートからのデータ

2020年を通じて、Cloudflareは膨大な数に上るネットワークインフラストラクチャに対するDDoS攻撃を観察し、軽減しました。こうした攻撃の中にはかなり大規模なものもありましたが、大多数が小規模で短時間の攻撃でした。攻撃総数の増減や、攻撃者たちが好んで使用するネットワーク層プロトコルが変わることはありましたが、年間を通じてこの傾向は続きました。

小規模で短期間のDDoS攻撃と聞くと少し安心するかもしれませんが、このような攻撃でも、保護されていないネットワークや保護機能が十分ではないネットワークに危害を与えることがあります。また、この種の攻撃手法を用いて攻撃者が組織の防衛システムに対してプレッシャーテストを行い、別のより深刻な脅威からセキュリティチームの気をそらすこともできます。

小規模なDDoS攻撃が一般的になっている、その背景にある傾向は、その手法は?そして、その対処方法は?

小規模なDDoS攻撃が増加傾向にある

DDoS攻撃は、企業のITインフラストラクチャ内にあるボトルネックとトラフィックを受け取るアプリケーションを悪用するようにデザインされています。DDoS攻撃には多くの種類がありますが、最もよく使われているのは次の2つのテクニックのどちらかです。

  • 大量のパケット:サーバーまたはアプリケーションには、同時に処理できるリクエスト数に限りがあります。この限度を超えると、正当なリクエストを処理するアプリケーション機能が低下または破壊されることがあります。

  • 大量のデータ:ネットワークリンク、サーバー、アプリケーションにも、データ送信や処理できる量には限度があります。帯域幅の限度を超えると、システムダウンの原因になります。

次の画像は、2020年第4四半期のCloudflareネットワークデータに基づいており、攻撃の大部分が1つ目のテクニックを使おうとしていなかったことを示しています。この3か月間、DDoS攻撃の半数以上が毎秒100万パケット(ppt)以下で、これは四半期の調査結果から一貫している傾向です。

なお、2018年にGitHubを狙った大規模DDoS攻撃は毎秒1億2960万パケットに達しました。2020年第4四半期にこの規模の10分の1に達したDDoS攻撃はわずか13.4%で、攻撃者のほとんどが小規模なパケット量でDDoS攻撃を仕掛けていたことを示しています。

次のグラフは、第4四半期に発生したレイヤー3/4 DDoS攻撃のほとんどが大量のデータで攻撃の標的を圧倒しようとしなかったことを示しています。実際に、全攻撃の半分が1秒あたり500メガバイト未満で送られました。

DDoS攻撃者は、かつてよく使われた方法をもう使っていません。その理由は、短期間で小規模な攻撃にはいくつかの利点があるからです。

攻撃が短期間で小規模なものになっている理由


DDoS攻撃者が全能力を使わなかったということが示されており、小規模な攻撃の頻発は珍しく思えるかもしれません。しかし、短期間で小規模なDDoS攻撃が増加している理由はたくさんあるのです。

理由1:DDoS-for-hire(DDoS請負)の台頭

近年、DDoS-for-hireのプラットフォームの人気がこれまで以上に高まっています。こうしたプラットフォームは、ストレッサーとしても知られていますが、既存のDDoSボットネットを借りて、顧客が選んだ企業を標的として攻撃を仕掛けることを可能にします。

DDoS-for-hireのサイトでは、短期間で比較的小規模の攻撃を、5分あたり$5から丸一日$400までの価格帯で、かなり安価に請け負っています。こうした小規模の攻撃が簡単に始められるため、発生頻度は上がり続けるでしょう。

理由2:脆弱なネットワークインフラストラクチャが増加傾向にある

サイバー犯罪者は、最大限の影響を与えられるところに労力を集中させる傾向があります。その方法の1つが、すでに大量のトラフィックを管理するのに苦労しているネットワークインフラストラクチャを攻撃することです。

VPNやRDPなどのリモートアクセスソリューションがその一例です。新型コロナウイルスの大流行により、多くの企業で在宅勤務となった従業員によるサービスの使用量が大幅に増加しました。ネットワークの障害を防ぐためにVPNの使用を制限せざるを得ない大手の一流企業の例から分かるように、こうした増加はすぐにサービスに過度な負担をかける可能性があります。

案の定、パンデミックの開始以降、リモートアクセスソリューションはDDoS攻撃の標的となってしまいました。このような攻撃では、攻撃者は比較的規模の小さい攻撃のトラフィックを引き起こし、そのトラフィックを処理しようとする標的となった企業を妨害する可能性があります。

理由3:身代金要求に備える

DDoS軽減ソリューションを導入している企業の場合、小規模な攻撃は正当なユーザーへのサービスの可用性にはほとんど、もしくは全く影響を与えません。しかし、このような小規模攻撃は、攻撃者の最終的な目的ではない可能性があります。

近年、身代金要求に応えないとDDoS攻撃を仕掛けると脅すランサムDDoS攻撃が発生しています。多くの場合、身代金を要求する脅迫グループはFancy BearやCozy Bear、Lazarus Groupなどよく知られた脅威アクターになりすまして、被害者に支払わせようとします。

小規模のDDoS攻撃が、身代金DDoS要求につながることもあります。小規模であっても、DDoS攻撃が実行できるということを示すことで、攻撃者は標的とする企業が大規模DDoS攻撃のリスクを回避するために身代金を支払う可能性を高めるているのです。

理由4:従来型のDDoS軽減システムの回避

初期のDDoS 軽減ソリューションは大量のトラフィックを特定し、ブロックするようにデザインされていました。こうしたシステムは、トラフィックのボリュームが設定したしきい値を超えた場合のみ、オンとなります。

小規模なDDoS攻撃は、潜在的な攻撃を特定するために、しきい値に依存する、従来型のDDoS軽減ソリューションの保護策をくぐり抜けることができます。防御機能がトリガーされるしきい値をわずかに下回る状態を維持することで、こうした攻撃は企業が使っている防御機能を圧倒することなく、標的とするネットワークの運用を中断できます。

理由5:ネットワーク防御の偵察

大規模なDDoS攻撃は高価で、実行するために多大なリソースを必要とします。攻撃者は、その後に続く攻撃のための偵察として小規模な攻撃を仕掛ける場合もあります。

ある企業がDDoS軽減ソリューションを導入している場合、小規模DDoS攻撃は攻撃を受けているアプリケーションのパフォーマンスに影響を与えません。その反対に、保護されていないアプリケーションは、たとえ小規模なDDoS攻撃でも、測定可能な遅延を経験することになるかもしれません。規模が小さい攻撃を使うことで、防御機能を持っている企業と持っていない企業を見極め、その後の攻撃を計画するために有益な情報を得ているのです。

理由6:その他の攻撃の隠ぺい

DDoS攻撃の多くは、目立つようにデザインされています。成功すると、DDoS攻撃は標的とする企業のセキュリティチームに明確な問題を提示し、解決せざるを得ない状況をつくった上で、攻撃を受けているネットワークアプリケーションをダウンさせます。顧客との通信やサービス提供で使われるネットワークインフラストラクチャは重要なため、攻撃への対応が優先されることになるのです。

以上の理由から、DDoS攻撃はアラートセキュリティチームが検出してブロックする可能性がある他の攻撃の「目くらまし」として使われることがあります。組織がDDoS攻撃からの修復に重点を置いている場合、注意がそちらに向けられているため、データ漏えい、またはマルウェアのネットワーク侵入が企てられたことに気づくことができないかもしれません。小規模なDDoS攻撃は組織のシステムをダウンさせるのに十分ではないかもしれませんが、本格的な脅威から目をそらすのには十分である可能性があります。

小規模な攻撃はどのようなリスクをもたらすか

小規模なDDoS 攻撃は大規模な攻撃ほどは直接的な脅威ではないように感じるかもしれませんが、それでも、組織に数多くのリスクをもたらします。場合によっては、小規模な攻撃であってもインフラストラクチャがダウンしたり、少なくともパフォーマンスが低下する可能性があります。さらに、小規模なDDoS攻撃は攻撃者がセキュリティの抜け穴を見つけたり、様々な攻撃方法を組み合わせることで他の攻撃から標的とする企業の注意をそらすのに役立ちます。

リスク1:脆弱なインフラストラクチャのダウン

堅牢なDDoS軽減ソリューションを実装している組織は、最大級のDDoS攻撃からも保護されます。保護されていないネットワークまたは十分に保護されていないネットワークについては同じことが言えません。ネットワークがすでに過負荷になっている場合は、特にそうです。

小規模なDDoS攻撃は1秒あたり、最大500メガバイトに達する悪意のあるデータを使って、組織のネットワークインフラストラクチャを攻撃します。組織のネットワークは、次を含む潜在的なボトルネックを有する可能性があります。

  • ネットワーク帯域幅

  • 開いているTCP接続

  • CPU使用率

攻撃により、こうしたリソースの容量全てが超過した場合、ネットワークは正当なリクエスト処理ができなくなります。

リスク2:ネットワークパフォーマンスの低下

組織のネットワークに向けられたリクエストは、それが正当か正当でないかを問わず、リソースを消費します。正常な状況なら、リクエストのほとんどが正当です。そして悪意のあるリクエストからの影響は小さいか無視できる規模です。

一方、DDoS攻撃中は悪意のあるリクエストが正当なトラフィックに比べて桁違いに多くなることもあります。攻撃が標的のサービスをダウンさせない場合でも、サイトの運用コストが桁違いに増えることで、組織の収益に甚大な影響を与えかねません。スパムリクエストの処理費用は計算リソースを使い果たし、企業が従量課金制のDDoS軽減サービスを使っている場合、保護費用が高額になることもあります。

リスク3:攻撃後の余波

DDoS攻撃の影響は、攻撃終了後も長く続くことがあります。場合によっては、DDoS攻撃中にアプリケーションが正当なリクエストに応答できなくなるだけで、攻撃が終了すると正常に戻ることもあります。その他の場合は、攻撃によってアプリケーションかサーバーがクラッシュする場合もあり、ITチームはマシンやソフトウェアを再起動し、失われたデータ(可能な場合)を復元する必要があります。二番目のシナリオでは、短期間で小規模な攻撃による被害額が比較的少なくても、その影響が広がる可能性があります。

こうしたリスクに備えて組織は何をするべきか

組織がDDoS攻撃に備えるための最善の方法は、DDoS軽減ソリューションのデプロイです。ただし、すべてのDDoS軽減ソリューションが同じように作成されているわけではありません。考慮するべき重要な点は次の通りです。

  • 常時稼働の保護:DDoS軽減ソリューションのなかには、悪意のあるトラフィックが一定のしきい値に達するまでオンにならないものもあります。残念なことに、小規模なDDoS攻撃はこうしたソリューションをすり抜ける可能性があります。常時稼働のDDoS軽減ソリューションは、攻撃から継続的に保護します。

  • セキュリティの統合:DDoS攻撃は他の攻撃の目くらましとして機能するようにデザインされている場合があります。他のセキュリティツールと統合されたDDoSソリューションは、小規模なDDoS攻撃が隠そうとしている攻撃を特定するのに役立ちます。

  • エッジベースのスクラビング:検査とスクラビングのためにすべてのネットワークトラフィックを中央システムに送信すると、ネットワークの遅延は増加します。パフォーマンスへの影響を最小限にするためには、スクラバーをネットワークエッジに分散させる必要があります。

  • 従量課金制のDDoS軽減:一部のベンダーは、攻撃のピーク時に使用されたネットワーク帯域幅に基づいて課金しています。これは大規模攻撃の場合、莫大な金額になることがあります。価格が跳ね上がらないDDoSソリューションを選ぶことをおすすめします。

DDoS攻撃はより一般的になり、攻撃テクニックは、大規模な攻撃から小規模で短期間のDDoSキャンペーンへと変化しています。Webサービスの可用性とパフォーマンスを確保するためには、業界をリードするDDoS軽減ソリューションに投資することが必要です。

この記事は、IT企業の意思決定層のための、最新のトレンドとトピックをお届けするシリーズです。

記事の要点

この記事を読めば、以下が理解できます。

  • 最も頻度の高いDDoS攻撃のタイプ

  • 攻撃激増の6つの理由

  • 関連リスクトップ3

  • 有力なDDoS軽減ソリューション

関連リソース


このトピックを深く掘りさげてみましょう。

Cloudflare Magic TransitがDDoS攻撃からネットワークを保護すると同時にパフォーマンスを改善する仕組みについてお読みください。

Get the whitepaper