外出規制・自宅待機で変化したDDoS攻撃の情勢

ネットワーク層を狙ったDDoS攻撃についてのグローバルなインサイト



2020年第1四半期に急増したトラフィックスパイク。ネットワーク層DDoS攻撃にも同じような急増が見られたか。

2020年第1四半期に、通信量とネットワーク層を狙ったDDoS攻撃が急増した。世界各国で外出規制・自粛が広まる中、インターネットはリモートワークの主軸となり、人間関係の維持、オンライン授業、ネット通販、SNS、出前サービスやオンラインゲームの利用を可能としました。通信量に5割もの増加が見られた国もあります。通信量の増加とともに、ネットワーク層を狙ったDDoS攻撃も同時に増えました。DDoS攻撃者が増加する通信量に釣られて群がってくるのは、通信量が高ければ高いほど、オンラインビジネスの分あたりの収益が高いことをわかっているからです。

企業はピーク時に失うものが多くなるため、DDoS攻撃の標的にされやすくなります。ITI(米国情報技術工業協議会)は、平均的なサービス停止の損害は1分あたり5,600ドルと推定しています。この計算でいくと、1時間あたりのサービス停止で企業は336,000ドルもの損失を被りうるのです。サービス停止に関わるコストが高くなるにつれ、インフラやウェブサイトをいち早く復旧させたいがためにDDoS攻撃者に対して身代金を支払おうとする企業も出てくるでしょう。

2020年第1四半期の攻撃は規模が縮小して高速化した

2020年第1四半期にネットワーク層を狙ったほとんどの攻撃はビットレート的に小規模なものでした。10Gbpsを下回る攻撃は92%で、2019年第4四半期の84%よりも上回りました。パケットレートで言うと、ほとんどの攻撃は1秒あたり100万パケット(pps)を下回っていました。このパケットレートとビットレートは、小規模な攻撃に力を入れていることを示しています。

パケットレートとビットレートに加え、攻撃期間の短縮も見られました。2020年第1四半期に行われた攻撃の79%を占めたのは、数日や数ヶ月に渡る攻撃ではなく、30分から60分までの攻撃でした。朗報に聞こえるかもしれませんが、そうではありません。この傾向の背景には、低コストで安易にDDoS攻撃を行えるようになったことがあるといわれています。実際に、DDoS攻撃がサービスとして売り出されています。カスペルスキーによると、ダークウェブでは5分間の攻撃がたった5ドルから手配できるようです。

依然として大規模な攻撃もまん延

2020年第1四半期に観測した攻撃のほとんどが10Gbps以下でしたが、大規模な攻撃が減少しているわけではありません。3月には550Gbpsを超える、同四半期で最大規模の攻撃が観測されました。Cloudflareは3月の中旬から、大企業を狙った大規模なDDoS攻撃が増加していることを観測しました。これらの攻撃は、リモートワークの従業員が多いビジネスのサービス妨害を狙った国家組織、ハクティビスト、あるいは単に身代金に目がくらんだサイバー犯罪者によるものかもしれません。非常時に、電力系統や石油事業などの脆弱性の高い生活に必要な設備を狙う攻撃者もいるでしょう。

攻撃ベクトルの追跡

1日あたりIPごとのDDoS 攻撃で使われた攻撃ベクトルの平均はほぼ一定しておよそ1.4でした。1つのIPアドレスで観察された最大の攻撃ベクトルは10でした。この四半期に、32種類の攻撃ベクトルがレイヤー3とレイヤー4(L3/4)で観察されました。第1四半期は、ACK(肯定応答信号)攻撃が過半数の55.8%を占めました。次いで、SYN(接続要求)攻撃の14.4%。3番目がMirai(ボットネットマルウェア)攻撃の13.5%で、これも大きな割合を占めていると言えます。SYN/ACK DDoS攻撃を合わせると、第1四半期のL3/L4攻撃ベクトルの7割を上回る結果となりました。

2020年第1四半期のまとめ

  • 外出規制・自宅待機により、50%も

    した国もあります。

  • グローバルなインターネット使用率の上昇は、DDoS 攻撃発生の引き金となっています。

  • 攻撃はますます小規模で短時間となっていますが、これは安価で仕掛けやすいことが理由でしょう。

  • しかし、大手企業を狙う大規模な攻撃も相変わらず発生しています。

DDoS 攻撃にとって絶好のチャンスを断つ

DDoS 攻撃がこれまで以上にまん延する今こそ、オンラインに拠点を構えた世界中の企業は、所有するネットワーク、アプリケーション、Webサイトの安全性や高速性、信頼性を保証するセキュリティを持つべきです。先ほどの説明でも示したように、たった1時間のサービス停止でも収益の損失は莫大な額になり得ます。

では、すべてがネットにつながっていて、企業が正当/不要なトラフィックを素早く仕分けなければいけないこの時代に、これらの条件をクリアする最もコスパの良い方法はなんでしょうか。

DDoS攻撃を軽減する1つの方法は、ハードウェアボックスを使用して、ネットワーク境界でオンプレミスのトラフィックをスキャンおよびフィルタリングすることです。 このアプローチの欠点は、短期間の攻撃に対し10秒以下の速さで迅速な軽減対策を必要とすることです。 多くのレガシーベンダーが提供するSLAは、15分にも及ぶものもあります。

他のDDoS軽減方法には、スクラビングセンターを介してネットワークトラフィックを再ルーティングして、正当なトラフィックから不正なトラフィックをフィルタリングする方法もあります。しかし、多くのDDoS攻撃は局所化されているのに対し、スクラビングセンターは数が限られていて地理的に分散していて、トラフィックをルーティングする必要によって「チョークポイント」を招く可能性があるため、現実的なソリューションとは言えません。

クラウドベースのネットワークは、今の高度なDDoS攻撃に対する唯一の現実的な防御策です。DDoS保護をネットワークエッジの単一のコントロールプレーンに配置して、分散攻撃を可能な限りソースの近くに阻止します。これにより、オリジンサーバーがオンプレミスにあるかクラウドにあるかに関係なく、安全性が維持されます。 このような統合された大規模なネットワーク保護は、すべての攻撃から継続的に学習しながら、自動的にインテリジェンスを共有して次の攻撃を阻止することができます。また、収益に影響するネットワークとアプリケーションのパフォーマンスを低下させることなく、企業全体に堅牢なDDoSセキュリティを提供します。

これらの調査結果 は、1日あたり720億を超えるサイバー脅威をブロックし、100か国以上275200都市以上に広がるCloudflareネットワークから得られたものです。DDoS脅威の全体像を広く観測できて、他社とは一線を画すCloudflareは、進化し、まん延する攻撃に関する豊富なデータを収集できます。

この記事は、IT企業の意思決定層のための、最新のトレンドとトピックをお届けするシリーズです。

このトピックを深く掘りさげてみましょう。

DDoS攻撃に備えるための最も効果的な5つの方法をご紹介しています。ぜひお読みください

Get the ebook