外出規制・自宅待機で変化したDDoS攻撃の情勢
ネットワーク層を狙ったDDoS攻撃についてのグローバルなインサイト
2020年第1四半期に急増したトラフィックスパイク。ネットワーク層DDoS攻撃にも同じような急増が見られたか。
2020年第1四半期に、通信量とネットワーク層を狙ったDDoS攻撃が急増した。世界各国で外出規制・自粛が広まる中、インターネットはリモートワークの主軸となり、人間関係の維持、オンライン授業、ネット通販、SNS、出前サービスやオンラインゲームの利用を可能としました。通信量に5割もの増加が見られた国もあります。通信量の増加とともに、ネットワーク層を狙ったDDoS攻撃も同時に増えました。DDoS攻撃者が増加する通信量に釣られて群がってくるのは、通信量が高ければ高いほど、オンラインビジネスの分あたりの収益が高いことをわかっているからです。
利用がピークの時��は企業の損失が遥かに多くなるため、DDoS攻撃の標的にされやすいのです。ITC(米国情報技術工業協議会)は、平均的なサービス停止による損害は1分あたり5,600ドルと推定しています。この計算だと、企業はダウンタイム1時間あたり33万6000ドルもの損失を被りかねません。ダウンタイムのコストが高くなるにつれ、インフラやWebサイトをいち早く復旧させたいがためにDDoS攻撃者に身代金を支払おうとする企業も出てくるかもしれません。
2020年第1四半期の攻撃は規模が縮小して高速化した
2020年第1四半期にネットワーク層を狙ったほとんどの攻撃はビットレート的に小規模なものでした。10Gbpsを下回る攻撃は92%で、2019年第4四半期の84%よりも上回りました。パケットレートで言うと、ほとんどの攻撃は1秒あたり100万パケット(pps)を下回っていました。このパケットレートとビットレートは、小規模な攻撃に力を入れていることを示しています。
パケットレートとビットレートに加え、攻撃期間の短縮も見られました。2020年第1四半期にあった攻撃の79%を占めたのは、数日や数か月にも上る攻撃ではなく、30分から60分までの攻撃でした。朗報に聞こえるかもしれませんが、そうではありません。一説には、このように小規模で短時間の攻撃が増えているのは、DDoS攻撃を以前より低コストで安易に行えるようになったからだと言われています。実際に、DDoS攻撃がサービスとして売られています。Kasperskyによると、ダークウェブでは5分間の攻撃がたった5ドルから手配できるようです。
依然として大規模な攻撃もまん延
2020年第1四半期に観測した攻撃のほとんどが10Gbps以下でしたが、大規模な攻撃が減少しているわけではありません。3月には550Gbpsを超える、同四半期で最大規模の攻撃が観測されました。Cloudflareは3月の中旬から、大企業を狙った大規模なDDoS攻撃が増加していることを観測しました。これらの攻撃は、リモートワークの従業員が多いビジネスのサービス妨害を狙った国家組織、ハクティビスト、あるいは単に身代金に目がくらんだサイバー犯罪者によるものかもしれません。非常時に、電力系統や石油事業などの脆弱性の高い生活に必要な設備を狙う攻撃者もいるでしょう。
攻撃ベクトルの追跡
1日あたりIPごとのDDoS 攻撃で使われた攻撃ベクトルの平均はほぼ一定しておよそ1.4でした。1つのIPアドレスで観察された最大の攻撃ベクトルは10でした。この四半期に、32種類の攻撃ベクトルがレイヤー3とレイヤー4(L3/4)で観察されました。第1四半期は、ACK(肯定応答信号)攻撃が過半数の55.8%を占めました。次いで、SYN(接続要求)攻撃の14.4%。3番目がMirai(ボットネットマルウェア)攻撃の13.5%で、これも大きな割合を占めていると言えます。SYN/ACK DDoS攻撃を合わせると、第1四半期のL3/L4攻撃ベクトルの7割を上回る結果となりました。
2020年第1四半期のまとめ
グローバルなインターネット使用率の上昇は、DDoS 攻撃発生の引き金となっています。
攻撃はますます小規模で短時間となっていますが、これは安価で仕掛けやすいことが理由でしょう。
しかし、大手企業を狙う大規模な攻撃も相変わらず発生しています。
DDoS 攻撃にとって絶好のチャンスを断つ
DDoS 攻撃がこれまで以上にまん延する今こそ、オンラインに拠点を構えた世界中の企業は、所有するネットワーク、アプリケーション、Webサイトの安全性や高速性、信頼性を保証するセキュリティを持つべきです。先ほどの説明でも示したように、たった1時間のサービス停止でも収益の損失は莫大な額になり得ます。
では、すべてがネットにつながっていて、企業が正当/不要なトラフィックを素早く仕分けなければいけないこの時代に、これらの条件をクリアする最もコス�パの良い方法はなんでしょうか。
DDoS攻撃を軽減する1つの方法は、ハードウェアボックスを使用して、ネットワーク境界でオンプレミスのトラフィックをスキャンおよびフィルタリングすることです。 このアプローチの欠点は、短期間の攻撃に対し10秒以下の速さで迅速な軽減対策を必要とすることです。 多くのレガシーベンダーが提供するSLAは、15分にも及ぶものもあります。
他のDDoS軽減方法には、スクラビングセンターを介してネットワークトラフィックを再ルーティングして、正当なトラフィックから不正なトラフィックをフィルタリングする方法もあります。しかし、多くのDDoS攻撃は局所化されているのに対し、スクラビングセンターは数が限られていて地理的に分散していて、トラフィックをルーティングする必要によって「チョークポイント」を招く可能性があるため、現実的なソリューションとは言えません。
クラウドベースのネットワークは、今の高度なDDoS攻撃に対する唯一の現実的な防御策です。DDoS保護をネットワークエッジの単一のコントロールプレーンに配置して、分散攻撃を可能な限りソースの近くに阻止します。これにより、オリジンサーバーがオンプレミスにあるかクラウドにあるかに関係なく、安全性が維持されます。 このような統合された大規模なネットワーク保護は、すべての攻撃から継続的に学習しながら、自動的にインテリジェンスを共有して次の攻撃を阻止することができます。また、収益に影響するネットワークとアプリケーションのパフォーマンスを��低下させることなく、企業全体に堅牢なDDoSセキュリティを提供します。
これらの所見は、100か国以上、200都市以上に広がり日々760億件以上のサイバー脅威をブロックしているCloudflareネットワークのデータから導かれたものです。DDoS脅威の全体像を広く観測できるユニークな立場にあるCloudflareは、進化する広範囲の攻撃について豊富なデータを収集できます。
この記事は、IT企業の意思決定層のための、最新のトレンドとトピックをお届けするシリーズです。