有名なDDoS攻撃|史上最大のDDoS攻撃

分散型サービス妨害(DDoS)攻撃は、複数デバイスを使用して対象となるサーバーに大量のリクエストを送信して、Webアプリケーションをダウンさせます。大規模なDDoS攻撃は技術ニュースの大見出しになることもあります。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 最も強力なDDoS攻撃の規模に関する説明
  • 一部重罪サイバー攻撃の背景にある動機の理解
  • 最も重要な歴史的DDoS攻撃について解説します

記事のリンクをコピーする

史上最大のDDoS攻撃とは?

最大のDDoS攻撃が発生したのは2017年9月でした。この攻撃ではGoogleサービスが標的となり、2.54 Tbpsの規模に達しました。Google Cloudは2020年10月に攻撃を受けました

攻撃者は、なりすましパケットを18万件のWebサーバーに送信し、そうしたサーバーがGoogleに応答を送信しました。この攻撃は単発的な事件ではなく、攻撃者は、過去6か月間にGoogleのインフラストラクチャで複数のDDoS攻撃を実行していました。

他に有名なDDoS攻撃としてどのようなものがあるでしょうか?

2020年2月のAWSへの攻撃

AWSは2020年2月に大規模なDDoS攻撃を軽減したことを報告しました。ピーク時には、この攻撃により着信トラフィックが2.3TB/秒(Tbps)に達しました。AWSではどの顧客が攻撃の対象になったかを開示しませんでした。

攻撃者はハイジャックされたコネクションレスのLDAP(CLDAP)Webサーバーを使用しました。CLDAPはユーザーディレクトリのプロトコルです。これは、プロトコルの旧バージョンであるLDAPの代替手段です。CLDAPは近年、複数のDDoS攻撃で使用されています。

2018年2月のGitHubへのDDoS攻撃

過去に起きた最大の立証可能なDDoS攻撃の標的となった企業のひとつは、何百万人もの開発者に利用されている人気のオンラインコード管理サービス、GitHubです。この攻撃は毎秒1億2,690万の速さでパケットが送信され、1.3 Tbpsに達しました。

GitHubへの攻撃はMemcached DDoS攻撃であり、ボットネットは関与していませんでした。攻撃者は代わりに人気のデータベースキャッシュシステム、Memcachedの増幅効果を利用したのです。Memcachedサーバーをなりすましのリクエストで溢れさせることで、攻撃者はその攻撃規模をおよそ50,000倍にも増幅させることに成功したのです。

幸運にもGitHubはDDoS保護サービスを利用しており、このサービスが攻撃開始から10分以内に自動でアラートを発しました。このアラートが対策プロセスのトリガーとなり、GitHubは迅速に攻撃を阻止することができたのです。世界最大のDDoS攻撃は、約20分間しか続きませんでした。

2016年のDynへの攻撃

もう1つの最規模DDoS攻撃では、2016年10月に、主要なDNSプロバイダーであるDynが標的になりました。この攻撃は多数の大手サイトを壊滅させ混乱を引き起こしましたが、これにはAirbnb、Netflix、PayPal、Visa、Amazon、New York Times、Reddit、GitHubなどが含まれていました。この攻撃に使用されたのはMiraiと呼ばれるマルウェアです。Miraiは侵害を受けたカメラ、スマートテレビ、ラジオ、プリンター、さらには乳幼児用のモニターなどの安全性が損なわれたモノのインターネット(IoT)デバイスからボットネットを作り出します。攻撃トラフィックを作るため、こういった侵害を受けたデバイスは1つの被害対象にリクエストを送信するようプログラムされます。

幸運なことにDynは1日で攻撃を解決できましたが、攻撃の意図はわからず仕舞いでした。ハクティビスト団体は、ウィキリークス創設者、Julian Assange氏がエクアドルでインターネットへのアクセスを拒否されたことに対する抗議だとしてこの攻撃の責任を主張しましたが、この主張を裏付ける証拠は何もありませんでした。また、この攻撃は不満を抱いたゲーマーによるものだという説もあります。

2015年のGitHubへの攻撃

当時最大規模のDDoS攻撃で標的となったのは、またもやGitHubでした。政治的動機を持つこの攻撃は数日間にわたり、実装済みのDDoS対策戦略にも適応していました。このDDoSトラフィックは中国から発信され、特に、国家検閲回避を目的とした2つのGitHubプロジェクトが標的となりました。そのため、攻撃の意図はこれらのプロジェクトを廃止するようGitHubに圧力をかけようとしたのではないかと疑われています。

攻撃トラフィックは、中国の人気検索エンジンサイト、バイドゥを訪問した人全てのブラウザにJavaScriptコードを挿入することで作成されました。また、バイドゥの分析サービスを利用していた他のサイトにも悪意のあるコードが挿入されました。このコードは感染したブラウザに、ターゲットとなるGitHubページに向けてHTTPリクエストを送信させるものです。攻撃直後、この悪意のあるコードはバイドゥから発生したものではなく仲介サービスにより付与されたものだと判断されました。

2013年のSpamhausへの攻撃

当時最大級の攻撃としては、2013年にSpamhausを標的としたものもありました。Spamhausはスパムメールやスパムに関連する挙動への対策をサポートする組織です。Spamhausは全スパムの80%をフィルタリングするという役割を担っていたため、スパムメールを目的の人に送信しようとする者たちの格好の的となっていました。

攻撃は300 GbpsのレートでSpamhausにトラフィックを流し込みました。攻撃が始まるとSpamhausはCloudflareにサインアップしました。CloudflareのDDoS攻撃対策が、攻撃の軽減に成功したのです。攻撃者たちはこれにすぐさま反応し、Cloudflareをダウンさせるため、特定のインターネットエクスチェンジプロバイダーや帯域幅のプロバイダーをつけ狙うようになりました。この攻撃は目標を達成するには至りませんでしたが、ロンドンのインターネットエクスチェンジプロバイダーであるLINXにとって大きな問題の原因となりました。この攻撃の主犯は、このDDoS攻撃を開始するための報酬を受け取っていた、イギリスの10代の雇われハッカーだということが判明しました。

この攻撃について、また、この攻撃がどのように軽減されたかについての詳しい情報はCloudflareのブログをご覧ください。

2000年のMafiaboyによる攻撃

2000年、「Mafiaboy」の名で知られる15歳のハッカーが、CNN、Dell、E-Trade、eBay、Yahoo(当時世界で最も人気のあった検索エンジン)といった複数の大手Webサイトをダウンさせました。この攻撃は株式市場に混乱をもたらすほどの衝撃的な影響を引き起こしました。

Mafiaboyは、後にMichael Calceという高校生であることが明らかになりましたが、いくつかの大学のネットワークをハッキングし、そのサーバーを利用してDDoS攻撃を行うことで攻撃全体を実現させました。この攻撃以降、今日のサイバー犯罪法の多くが作成されるに至っています。

2007年のエストニアへの攻撃

2007年4月、エストニアは、政府機関や金融機関、メディアを標的とした大規模なDDoS攻撃に見舞われました。エストニア政府はオンライン政府を早期に採用しており、当時は事実上ペーパーレス状態(国政選挙でさえオンライン実施)だったため、この攻撃には圧倒的な効果がありました。

サイバー戦争の最初の行為であると多くの人が考えているこの攻撃は、第二次世界大戦の記念碑である「タリン解放者の記念碑」の移転をめぐるロシアとの政治的対立に対応して生じました。ロシア政府に関与の疑いが持たれたため結果としてロシア出身のエストニア国民が逮捕されましたが、ロシア政府は、ロシアでのさらなる調査をエストニアの法執行機関に許可していません。この苦々しい経験が、サイバー犯罪に関する国際法の創設に繋がりました。

DDoS攻撃対策ベンダーは、この規模の攻撃を軽減できますか?

これは、ネットワーク容量によって異なります。問題のDDoS攻撃により生成されるトラフィックの量を吸収できるかどうか、それでもサービスを提供できるかどうかにかかってきます。現在、多くのDDoS攻撃対策および緩和ベンダーは、それを実行するのに十分なネットワーク容量を持っています。

Cloudflareでは最大のDDoS攻撃を緩和したもののボリューム面では942 Gbps、ネットワーク容量のCloudflare機能の67 Tbpsと、これまでに記録された最大のDDoS攻撃よりもはるかに大きいものでした。Cloudflareはまた、非常に高いパケットレートを特徴とするDDoS攻撃も軽減しました。2020年6月、Cloudflareは7億5,400万パケット/秒のDDoS攻撃を緩和しました

DDoS攻撃の大部分は、この記事に記載されている攻撃ほど大きくないことに留意することが重要です。Cloudflareの研究では、ほとんどのDDoS攻撃は10Gbpsを超えないことが示されています 。ただし、DDoSの軽減策がなかったとしたら、これらの小規模なDDoS攻撃でさえ、Webサイトやアプリケーションを長時間オフラインに陥れる可能性があります。