Cloudflareは、ネットワークインフラストラクチャに対する膨大な数のDDoS攻撃を観察し、軽減してきました。中にはかなり大規模な攻撃もありましたが、大多数が小規模で短時間の攻撃でした。攻撃総数は増減し、攻撃者が好んで悪用するネットワーク層プロトコルも変わりましたが、この傾向は変わっていません。
小規模で短期間のDDoS攻撃と聞くと少し安心するかもしれませんが、このような攻撃 でも、保護されていないネットワークや保護機能が十分ではないネットワークに危害を与えることがあります。また、この種の攻撃手法を用いて攻撃者が組織の防衛システムに対してプレッシャーテストを行い、別のより深刻な脅威からセキュリティチームの気をそらすこともできます。
小規模なDDoS攻撃が一般的になっている、その背景にある傾向は、その手法は?そして、その対処方法は?
DDoS攻撃は、企業のITインフラストラクチャ内にあるボトルネックとトラフィックを受け取るアプリケーションを悪用するようにデザインされています。DDoS攻撃には多くの種類がありますが、最もよく使われているのは次の2つのテクニックのどちらかです。
大量のパケット:サーバーまたはアプリケーションには、同時に処理できるリクエスト数に限りがあります。この限度を超えると、正当なリクエストを処理するアプリケーション機能が低下または破壊されることがあります。
大量のデータ:ネットワークリンク、サーバー、アプリケーションにも、データ送信や処理できる量には限度があります。帯域幅の限度を超えると、シ ステムダウンの原因になります。
下のグラフは、Cloudflareネットワークの2021年第4四半期のデータに基づくもので、攻撃の大部分が1つ目のテクニックを使おうとしなかったことを示しています。3か月間のDDoS攻撃の98%以上が毎秒100万パケット(ppt)以下で、これは前四半期のデータにも見られた一貫した傾向です。
ちなみに、2018年にGitHubを狙った大規模DDoS攻撃は毎秒1億2960万パケットに達しました。2021年第4四半期のDDoS攻撃でこの10分の1の規模に達したのはわずか2%で、攻撃者のほとんどが小量のパケットでDDoS攻撃を仕掛けていたことを示しています。
次のグラフを見ると、第4四半期に発生したレイヤー3/4へのDDoS攻撃のほとんどは、大量のデータで標的を圧倒しようとはしなかったことがわかります。実際、全攻撃の97%が1秒あたり500メガバイト未満でした。
DDoS攻撃者は、かつてよく使われた方法をもう使っていません。その理由は、短期間で小規模な攻撃にはいくつかの利点があるからです。
DDoS攻撃者が全能力を使わなかったということが示されており、小規模な攻撃の頻発は珍しく思えるかもしれません。しかし、短期間で小規模なDDoS攻撃が増加している理由はたくさんあるのです。
近年、DDoS-for-hireプラットフォームの人気が一層高まっています。こうしたプラットフォーム(ストレッサーとも呼ばれます)では、既存のDDoSボットネットを借りて、顧客が指定する標的企業への攻撃を仕掛けることができます。
DDoS-for-hireのサイトでは、短時間で比較的小規模の攻撃を、5分で$5から丸一日$400までのかなり安い価格帯で請け負っています。こうした小規模の攻撃は簡単に始められるため、発生頻度は今後も上がり続け るでしょう。
サイバー犯罪者は、最大限の影響を与えられるところに労力を集中させる傾向があります。その方法の1つが、すでに大量のトラフィックを管理するのに苦労しているネットワークインフラストラクチャを攻撃することです。
VPNやRDPなどのリモートアクセスソリューションがその一例です。新型コロナウイルスの大流行により、多くの企業でかなりの割合の従業員が在宅勤務となり、そうしたサービスの利用が劇的に増えました。こうした利用増加で、サービスはすぐに過負荷状態になってしまう可能性があります。これは、ネットワークの広範な障害を防ぐためにVPNの利用を割当制にせざるを得なかった大手一流企業の例を見てもわかります。
案の定、パンデミックが始まって以来、リモートアクセスソリューションはDDoS攻撃の標的になっています。このような攻撃では、犯人が送る攻撃トラフィックが比較的小規模であっても、それを処理しようとする標的企業の能力を妨げる場合があります。
DDoS軽減ソリューションを導入している企業の場合、小規模な攻撃は正当なユーザーへのサービスの可用性にはほとんど、もしくは全く影響を与えません。しかし、このような小規模攻撃は、攻撃者の最終的な目的ではない可能性があります。
近年、身代金要求に応えないとDDoS攻撃を仕掛けると脅すランサムDDoS攻撃が発生しています。多くの場合、身代金を要求する集団はFancy Bear、Cozy Bear、Lazarus Groupなど悪名高い脅威アクターになりすまし、被害者が支払いに応じるよう仕向けます。
小規模のDDoS攻撃が、身代金DDoS要求につながることもあります。小規模であっても、DDoS攻撃が実行できるということを示すことで、攻撃者は標的とする企業が大規模DDoS攻撃のリスクを回避するために身代金を支払う可能性を高めるているのです。
初期のDDoS 軽減ソリューションは大量のトラフィックを特定し、ブロックするようにデザインされていました。こうしたシステムは、トラフィックのボリュームが設定したしきい値を超えた場合のみ、オンとなります。
小規模なDDoS攻撃は、潜在的な攻撃を特定するために、しきい値に依存する、従来型のDDoS軽減ソリューションの保護策をくぐり抜けることができます。防御機能がトリガーされるしきい値をわずかに下回る 状態を維持することで、こうした攻撃は企業が使っている防御機能を圧倒することなく、標的とするネットワークの運用を中断できます。
大規模なDDoS攻撃は高価で、実行するために多大なリソースを必要とします。攻撃者は、その後に続く攻撃のための偵察として小規模な攻撃を仕掛ける場合もあります。
ある企業がDDoS軽減ソリューションを導入している場合、小規模DDoS攻撃は攻撃を受けているアプリケーションのパフォーマンスに影響を与えません。その反対に、保護されていないアプリケーションは、たとえ小規模なDDoS攻撃でも、測定可能な遅延を経験することになるかもしれません。規模が小さい攻撃を使うことで、防御機能を持っている企業と持っていない企業を見極め、その後の攻撃を計画するために有益な情報を得ているのです。
DDoS攻撃の多くは、目立つようにデザインされています。成功すると、DDoS攻撃は標的とする企業のセキュリティチームに明確な問題を提示し、解決せざるを得ない状況をつくった上で、攻撃を受けているネットワークアプリケーションをダウンさせます。顧客との通信やサービス提供で使われるネットワークインフラストラクチャは重要なため、攻撃への対応が優先されることになるのです。
以上の理由から 、DDoS攻撃はアラートセキュリティチームが検出してブロックする可能性がある他の攻撃の「目くらまし」として使われることがあります。組織がDDoS攻撃からの修復に重点を置いている場合、注意がそちらに向けられているため、データ漏えい、またはマルウェアのネットワーク侵入が企てられたことに気づくことができないかもしれません。小規模なDDoS攻撃は組織のシステムをダウンさせるのに十分ではないかもしれませんが、本格的な脅威から目をそらすのには十分である可能性があります。
小規模なDDoS 攻撃は大規模な攻撃ほどは直接的な脅威ではないように感じるかもしれませんが、それでも、組織に数多くのリスクをもたらします。場合によっては、小規模な攻撃であってもインフラストラクチャがダウンしたり、少なくともパフォーマンスが低下する可能性があります。さらに、小規模なDDoS攻撃は攻撃者がセキュリティの抜け穴を見つけたり、様々な攻撃方法を組み合わせることで他の攻撃から標的とする企業の注意をそらすのに役立ちます。
堅牢なDDoS軽減ソリューションを実装している組織は、最大級のDDoS攻撃からも保護されます。保護されていないネットワークまたは十分に保護されていないネットワークについては同じことが言えません。ネットワークがすでに過負荷になっている場合は、特にそうです。
小規模なDDoS攻撃は1秒あたり、最大500メガバイトに達する悪意のあるデータを使って、組織のネットワークインフラストラクチャを攻撃します。組織のネットワークは、次を含む潜在的なボトルネックを有する可能性があります。
ネットワーク帯域幅
開いているTCP接続
CPU使用率
攻撃により、こうしたリソースの容量全てが超過した場合、ネットワークは正当なリクエスト処理ができなくなります。
組織のネットワークに向けられたリクエストは、それが正当か正当でないかを問わず、リソースを消費します。正常な状況なら、リクエストのほとんどが正当です。そして悪意のあるリクエストからの影響は小さいか無視できる規模です。
一方、DDoS攻撃中は悪意のあるリクエストが正当なトラフィックに比べて桁違いに多くなることがあります。攻撃が標的のサービスをダウンさせない場合でも、サイトの運用コストが 桁違いに増えることで、組織の収益に甚大な影響を与えかねません。スパムリクエストの処理費用は計算リソースを使い果たし、企業が従量課金制のDDoS軽減サービスを使っている場合は、保護費用が高額になることもあります。
DDoS攻撃の影響は、攻撃終了後も長く続くことがあります。場合によっては、DDoS攻撃中にアプリケーションが正当なリクエストに応答できなくなるだけで、攻撃が終了すると正常に戻ることもあります。その他の場合は、攻撃によってアプリケーションかサーバーがクラッシュする場合もあり、ITチームはマシンやソフトウェアを再起動し、失われたデータ(可能な場合)を復元する必要があります。二番目のシナリオでは、短期間で小規模な攻撃による被害額が比較的少なくても、その影響が広がる可能性があります。
組織がDDoS攻撃に備えるための最善の方法は、DDoS軽減ソリューションのデプロイです。ただし、すべてのDDoS軽減ソリューションが同じように作成されているわけではありません。考慮するべき重要な点は次の通りです。
常時稼働の保護:DDoS軽減ソリューションのなかには、悪意のあるトラフィ ックが一定のしきい値に達するまでオンにならないものもあります。残念なことに、小規模なDDoS攻撃はこうしたソリューションをすり抜ける可能性があります。常時稼働のDDoS軽減ソリューションは、攻撃から継続的に保護します。
セキュリティの統合:DDoS攻撃は他の攻撃の目くらましとして機能するようにデザインされている場合があります。他のセキュリティツールと統合されたDDoSソリューションは、小規模なDDoS攻撃が隠そうとしている攻撃を特定するのに役立ちます。
エッジベースのスクラビング:検査とスクラビングのためにすべてのネットワークトラフィックを中央システムに送信すると、ネットワークの遅延は増加します。パフォーマンスへの影響を最小限にするためには、スクラバーをネットワークエッジに分散させる必要があります。
従量課金制のDDoS軽減:一部のベンダーは、攻撃のピーク時に使用されたネットワーク帯域幅に基づいて課金しています。これは大規模攻撃の場合、莫大な金額になることがあります。価格が跳ね上がらないDDoSソリューションを選ぶことをおすすめします。
DDoS攻撃は頻発するようになり、その手口は、大規模な攻撃 から小規模で短時間のDDoSキャンペーンへと変化しています。Webサービスの可用性とパフォーマンスを確保するためには、有力なDDoS軽減ソリューションに投資する必要があります。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事を読めば、以下が理解できます。
最も頻度の高いDDoS攻撃のタイプ
攻撃激増の6つの理由
関連リスクトップ3
有力なDDoS軽減ソリューション
がDDoS攻撃からネットワークを保護すると同時にパフォーマンスを改善する仕組みについてお読みください。