有名なDDoS攻撃|史上最大のDDoS攻撃

分散型サービス妨害(DDoS)攻撃では、複数デバイスを使用してターゲットとなるサーバーにリクエストを流入させ、Webアプリケーションをオフラインにさせます。大規模なDDoS攻撃は技術ニュースの大見出しになることもあります。

Share facebook icon linkedin icon twitter icon email icon

有名なDDoS攻撃

学習目的

この記事を読み終えると、以下のことができます。

  • 最も強力なDDoS攻撃の規模に関する説明
  • 一部重罪サイバー攻撃の背景にある動機の理解

史上最大*のDDoS攻撃とは

最大級のDDoS攻撃が発生したのは2018年2月でした。ターゲットとなったのは、数百万の開発者が利用するオンラインの人気コード管理サービスであるGitHubです。この攻撃のピーク時にはレート1.3TB/秒(Tbps)で流入トラフィックがあり、レート1億2,690万/秒でパケットが送信されました。

これはmemcachedを利用したDDoS攻撃だったため、ボットネットは関係ありませんでした。攻撃者は代わりに人気のデータベースキャッシュシステム、memcachedの増幅効果を利用したのです。memcachedサーバーをなりすましのリクエストで溢れさせることで、攻撃者はその攻撃規模をおよそ50,000倍にも増幅させることに成功したのです。

幸運にもGitHubはDDoS保護サービスを利用しており、このサービスが攻撃開始から10分以内に自動でアラートを発しました。このアラートが対策プロセスのトリガーとなり、GitHubは迅速に攻撃を阻止することができたのです。世界最大のDDoS攻撃はたったの20分ほどで終了しました。

*GitHubへの攻撃から5日後には1.7tbpsのDDoS攻撃があったと言われていることも注目すべき点です。しかしこの攻撃の被害者が公に開示しておらず、これに関する情報もほとんどないため確認は難しくなっています。

他にはどんなDDoS攻撃があるでしょうか?

2016年のDynへの攻撃

2番めに規模の大きいDDoS攻撃は2016年10月に発生し、大手DNSプロバイダー、Dynをターゲットとしたものでした。この攻撃は多数の大手サイトを壊滅させ混乱を引き起こしましたが、これにはAirbnb、Netflix、PayPal、Visa、Amazon、New York Times、Reddit、GitHubなどが含まれていました。 この攻撃に使用されたのはMiraiと呼ばれるマルウェアです。Miraiは侵害されたカメラ、スマートテレビ、ラジオ、プリンター、さらには赤ちゃん用のモニターなどのモノのインターネット(IoT)デバイスからボットネットを作り上げます。攻撃トラフィックを作るため、こういった侵害されたデバイスは1つの対象にリクエストを送信するようプログラムされます。

幸運なことにDynはその日中に攻撃を解決できましたが、攻撃の意図は未だわかっていません。ハクティビスト団体はウィキリークス創設者、Julian Assange氏がエクアドルにおけるインターネットへえのアクセスを拒否されたことに対する反応だとしてこの攻撃の責任を主張しましたが、この主張を裏付ける証拠は何もありませんでした。また、この攻撃は不満を抱いたゲーマーによるものだという疑いもあります。

2015年のGitHubへの攻撃

当時最大規模のDDoS攻撃のターゲットは、またもやGitHubでした。政治的動機を持つこの攻撃は数日間におよび、実装済みのDDoS対策戦略にも適応していました。DDoSトラフィックが中国で発生していたため、中国政府が攻撃を監督していたのではないかという強い疑いが持たれました。

このDDoS攻撃は中国の国家検閲回避を目的とした2つのGitHubプロジェクトをターゲットとしたものでした。そのため、攻撃はこれらのプロジェクトを排除するようGitHubに圧力をかけようとしたものではないかと疑われています。

攻撃トラフィックは、中国の人気検索エンジンサイト、バイドゥを訪問した人全てのブラウザにJavaScriptコードを取り込むことで作成されました。また、バイドゥの分析サービスを利用していた他のサイトにも悪意のあるコードが投入されました。このコードは侵害されたブラウザにターゲットとなるGitHubページに向けてHTTPリクエストを送信させるものです。 攻撃直後、この悪意のあるコードはバイドゥから発生したものではなく仲介サービスにより付与されたものだと判断されました。中国には流入トラフィックを「グレートファイアウォール」で監視するという政策があり、アウトバウンドパケットも同様の仲介プロセスで修正しているということも考えられます。

2013年のSpamhausへの攻撃

当時最大級の攻撃には、2013年のSpamhausで起動されたものもありました。Spamhausはスパムメールやスパムに関連する挙動への対策をサポートする組織です。Spamhausが担当するのは全スパムのうち80%のフィルタリングで、スパムメールを目的の人に送信したい人たちに人気のターゲットとなっていました。

攻撃は300gbpsのレートでSpamhausにトラフィックを流し込みました。攻撃が始まるとSpamhausはCloudflareにサインアップしました。CloudflareのDDoS対策が攻撃を軽減したのです。攻撃者はCloudflareをダウンさせるため、特定のインターネットエクスチェンジや帯域幅のプロバイダーを追跡する反応をしました。この攻撃は目標に達しませんでしたが、LINX(ロンドンのインターネットエクスチェンジ)に大きな問題を引き起こしました。この攻撃の主な犯人は、このDDoS攻撃を開始するための報酬を受け取っていた、イギリスの10代の雇われハッカーだということが判明しました。

この攻撃や対策に関する詳しい情報はCloudflareのブログをご覧ください。

2000年のMafiaboyによる攻撃

2000年、「Mafiaboy」の名で知られる15歳のハッカーが、CNN、Dell、E-Trade、eBay、Yahoo(当時世界で最も人気のあった検索エンジン)といった複数の大手Webサイトをダウンさせました。この攻撃は株式市場に混乱をもたらすといった衝撃的な結末でした。

Mafiaboyは、後にMichael Calceという名の高校生であったことが判明しますが、複数の大学ネットワークにハッキングしてそのサーバーを使ってDDoS攻撃を実施することでこの攻撃を起こしました。この攻撃以降、今日のサイバー犯罪法の多くが作成されるに至っています。

2007年のエストニアへの攻撃

2007年4月、エストニア共和国が政府のサービスや金融機関、メディア支局をターゲットとした大規模なDDoS攻撃を受けました。エストニア政府はオンライン政府を早期に採用しており、当時は事実上ペーパーレス状態(国政選挙でさえオンライン実施)だったため、この攻撃には圧倒的な効果がありました。

サイバー戦争の最初の行為であると多くの人が考えているこの攻撃は、第二次世界大戦の記念碑である「タリン解放者の記念碑」の移転をめぐるロシアとの政治的対立に対応して生じました。ロシア政府に関与の疑いが持たれたため結果としてロシア出身のエストニア国民が逮捕されましたが、ロシア政府はエストニアの法執行機関にロシアでのさらなる調査を許可していません。この試練が、サイバー犯罪に関する国際法の創設に繋がりました。