分散型サービス妨害(DDoS)攻撃は、複数デバイスを使用して対象となるサーバーに大量のトラフィックを送信して、オンラインサービスをダウンさせます。大規模なDDoS攻撃は技術ニュースの大見出しになることもあります。大規模なDDoS攻撃は技術ニュースの大見出しになることもあります。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
2024年、Cloudflareは、史上最大の分散サービス妨害(DDoS)攻撃を軽減(ピーク時に毎秒5.6テラビットTbps、毎秒6億6600万パケットに到達)しました。大規模な進行中の超帯域幅消費DDoS攻撃キャンペーンの一部であったこの攻撃は、約80秒続きました。Cloudflareネットワークは、キャンペーンでの他のCloudflareのお客様への5.6Tbps規模およびその他のすべての攻撃を自動的に軽減しました。
2023年10月、Googleはピーク時に毎秒3億9800万リクエスト(RPS)となったHTTP/2「Rapid Reset」攻撃である過去最大の分散サービス妨害(DDoS)攻撃を軽減したと主張しました。
HTTP/2 Rapid Resetは、HTTP/2プロトコルの欠陥を悪用し、DDoS攻撃を仕掛けるものです。HTTP/2プロトコルは、ブラウザとWebサイトとの対話にとって極めて重要で、ブラウザはテキスト、画像、その他のコンテンツをサイトから要求することができます。HTTP/2 Rapid Reset攻撃では、攻撃者は大量のリクエストをサイトに送信し、その後すぐに取り消します。リクエストしては取り消すというプロセスを繰り返し、Webサイトを過負荷状態にしてオフラインに貶めることを狙うものです。
Cloudflareはこのタイプの脅威の検出を支援し、ピーク時に201rpsを超える攻撃(下記参照)などの記録的な攻撃を軽減してきました。
2023年8月、Cloudflareは数千件の超帯域幅消費型HTTP DDoS攻撃を軽減し、そのうち89件が1億rpsを超えるものでした。最大のものはピーク時で2億100万rpsに達しました。これは、2023年2月に記録されこれまでの記録的な攻撃であった7100万rpsの3倍の数字となっています。
Googleによると、Google Cloudのお客様が、ピーク時に4,600万RPSを記録したHTTPS DDoS攻撃の標的となったと報告しています。この攻撃は、130か国以上、5,000以上のソースから発信されました。
2021年11月、Azureは当時最大規模だったDDoS攻撃を受けました。この攻撃は、3.47テラビット/秒(Tbps)のスループットに達しました。Microsoftによれば、少なくとも10カ国にある約10,000か所のソースから発信されています。同社は、同年のほかに2件の攻撃が2.5Tbpsを超えるスループットで軽減したことにも言及しています。
2017年、Google Cloudサービスを標的とした攻撃は2.54 Tbpsの規模に達しました。Googleは2020年10月に攻撃を開示しました。
攻撃者は、なりすましパケットを18万件のWebサーバーに送信し、そうしたサーバーがGoogleに応答を送信しました。この攻撃は単発的な事件ではなく、攻撃者は、過去6か月間にGoogleのインフラストラクチャで複数のDDoS攻撃を実行していました。
AWSは2020年2月に大規模なDDoS攻撃を軽減したことを報告しました。ピーク時には、この攻撃により着信トラフィックが2.3TB/秒(Tbps)に達しました。AWSではどの顧客が攻撃の対象になったかを開示しませんでした。
攻撃者はハイジャックされたコネクションレスのLDAP(CLDAP)Webサーバーを使用しました。CLDAPはユーザーディレクトリのプロトコルです。これは、プロトコルの旧バージョンであるLDAPの代替手段です。CLDAPは近年、複数のDDoS攻撃で使用されています。
過去に起きた最大の立証可能なDDoS攻撃では、何百万人もの開発者に利用されている人気のオンラインコード管理サービス、であるGitHubが標的となりました。この攻撃は毎秒1億2,690万の速さでパケットが送信され、1.3 Tbpsに達しました。
GitHubへの攻撃には、ボットネットは使われませんでした。代わりに、これはmemcachedを利用したDDoS攻撃でした。攻撃者は、memcachedとして知られる人気のデータベースキャッシュシステムの増幅効果を悪用しました。Memcachedサーバーをスプーフィングしたリクエストで溢れさせることで、攻撃者はその攻撃規模をおよそ50,000倍にも増幅させたのです。
幸運にもGitHubはDDoS保護サービスを利用しており、このサービスが攻撃開始から10分以内に自動でアラートを発しました。このアラートが対策プロセスのトリガーとなり、GitHubは迅速に攻撃を阻止することができたのです。世界最大のDDoS攻撃は、約20分間しか続きませんでした。
もう1つの最規模DDoS攻撃では、2016年10月に、主要なDNSプロバイダーであるDynが標的になりました。この攻撃は多数の大手サイトを壊滅させ混乱を引き起こしましたが、これにはAirbnb、Netflix、PayPal、Visa、Amazon、New York Times、Reddit、GitHubなどが含まれていました。この攻撃に使用されたのは、Miraiと呼ばれるマルウェアです。Miraiは侵害を受けたカメラ、スマートテレビ、ラジオ、プリンター、さらには乳幼児用のモニターなどの安全性が損なわれたモノのインターネット(IoT)デバイスからボットネットを作り出します。攻撃トラフィックを作るため、こういった侵害を受けたデバイスは1つの被害対象にリクエストを送信するようプログラムされます。
幸運なことにDynは1日で攻撃を解決できましたが、攻撃の意図はわからず仕舞いでした。ハクティビスト団体は、ウィキリークス創設者、Julian Assange氏がエクアドルでインターネットへのアクセスを拒否されたことに対する抗議だとしてこの攻撃の責任を主張しましたが、この主張を裏付ける証拠は何もありませんでした。また、この攻撃は不満を抱いたゲーマーによるものだという説もあります。
当時最大規模のDDoS攻撃では、GitHubが標的となりました。政治的動機を持つこの攻撃は数日間にわたり、実装済みのDDoS対策戦略にも適応していました。このDDoSトラフィックは中国から発信され、特に、国家検閲回避を目的とした2つのGitHubプロジェクトが標的となりました。そのため、攻撃の意図はこれらのプロジェクトを廃止するようGitHubに圧力をかけようとしたのではないかと疑われています。
攻撃トラフィックは、中国の人気検索エンジンサイト、バイドゥを訪問した人全てのブラウザにJavaScriptコードを挿入することで作成されました。また、バイドゥの分析サービスを利用していた他のサイトにも悪意のあるコードが挿入されました。このコードは、感染したブラウザにターゲットとなるGitHubページに向けてHTTPリクエストを送信させるものです。攻撃直後、この悪意のあるコードはバイドゥから発生したものではなく仲介サービスにより付与されたものだと判断されました。
2013年、スパムメールやスパム関連のアクティビティとの闘いを支援する組織であるSpamhausに対し大規模な攻撃がありました。Spamhausは全スパムの80%をフィルタリングするという役割を担っていたため、スパムメールを目的の人に送信しようとする者たちの格好の的となっていました。
攻撃は300 GbpsのレートでSpamhausにトラフィックを流し込みました。攻撃が始まるとSpamhausはCloudflareにサインアップしました。CloudflareのDDoS攻撃対策が、攻撃の軽減に成功したのです。攻撃者たちはこれにすぐさま反応し、Cloudflareをダウンさせるため、特定のインターネットエクスチェンジプロバイダーや帯域幅のプロバイダーをつけ狙うようになりました。この攻撃は目標を達成するには至りませんでしたが、ロンドンのインターネットエクスチェンジプロバイダーであるLINXにとって大きな問題の原因となりました。この攻撃の主犯は、このDDoS攻撃を開始するための報酬を受け取っていた、イギリスの10代のハッカーだったことが判明しました。
この攻撃について、また、この攻撃がどのように軽減されたかについての詳しい情報はCloudflareのブログをご覧ください。
2000年、「マフィアボーイ」として知られる攻撃者が、CNN、Dell、E-Trade、eBay、そしてYahoo!などの複数の大手ウェブサイトを乗っ取りました。当時、Yahoo!は世界で最も人気のあった検索エンジンでした。この攻撃は、株式市場の混乱を引き起こしさえし、壊滅的な結果をもたらしました。
Mafiaboyは、後にMichael Calceという15歳の高校生であることが明らかになりましたが、いくつかの大学のネットワークをハッキングし、そのサーバーを利用してDDoS攻撃を行うことで攻撃全体を実現させました。この攻撃以降、今日のサイバー犯罪法の多くが作成されるに至っています。
2007年4月、エストニアは、政府機関や金融機関、メディアを標的とした大規模なDDoS攻撃に見舞われました。エストニア政府はオンライン政府を早期に採用しており、当時は事実上ペーパーレス状態(国政選挙でさえオンライン実施)だったため、この攻撃には圧倒的な効果がありました。
サイバー戦争の最初の行為であると多くの人が考えているこの攻撃は、第二次世界大戦の記念碑である「タリン解放者の記念碑」の移転をめぐるロシアとの政治的対立に対応して生じました。ロシア政府に関与の疑いが持たれたため結果としてロシア出身のエストニア国民が逮捕されましたが、ロシア政府は、ロシアでのさらなる調査をエストニアの法執行機関に許可していません。この苦々しい経験が、サイバー犯罪に関する国際法の創設に繋がりました。
DDoS攻撃対策ベンダーがこうしたタイプの大規模な攻撃を軽減できるかどうかは、ネットワーク容量に依存します。一部のベンダーでは、サービスを提供しながら、問題のDDoS攻撃により生成されるトラフィックの量を吸収するのに十分なネットワーク容量を持っています。Cloudflareのネットワーク容量は、これまで記録されている最大のDDoS攻撃よりもはるかに大きい321 Tbpsとなっています。
Cloudflareはまた、非常に高いパケットレートとHTTPリクエストレートを特徴とするDDoS攻撃も軽減しました。たとえば、2020年6月にはCloudflareは毎秒7億5400万パケットのDDoS攻撃を軽減しました。そして、2023年8月、Cloudflareは2億100万RPSを超える攻撃を軽減しました。特筆すべきは、CloudflareではHTTP/2 Rapid Reset攻撃からも保護している点です。
DDoS攻撃の大部分は、上記の攻撃ほど大きくありません。実際、ほとんどのDDoS攻撃は1Gbpsを超えることはありません。ただし、DDoSの軽減策がなかった場合、これらの小規模なDDoS攻撃でさえ、Webサイトやアプリケーションを長時間オフラインに陥れる可能性があります。DDoS攻撃は進化し続けるため、より多くの組織がリスクにさらされる可能性があります。
新時代のDDoS攻撃について、詳細をご覧ください。また、Cloudflareの巨大なグローバルネットワークを活用し、トラフィックを減速させることなく、DDoS攻撃から外部のサブネットを保護するCloudflare Magic Transitについてもご覧ください。