分散型サービス妨害(DDoS)攻撃の勢いが止まらない。ここに来て「DNS amp攻撃」と呼ばれる手法に注目が集まっている。DNS amp攻撃は、DNSキャッシュサーバが問い合わせに応答する仕組みを悪用するものだ。
米Nominumは米国時間4月3日、世界中で脆弱な家庭用ルータを標的とするDNS amp攻撃がここ数カ月で大幅に増加しているとする調査結果を発表した。この単純な攻撃で数十Gbpsものトラフィックを作り出し、世界中のあらゆる場所の企業やウェブサイト、ユーザーを混乱させられるという。
調査からは、ネット上の2400万台を超える家庭用ルータがオープンDNSプロキシであることが原因で、インターネットサービスプロバイダー(ISP)がDNS amp攻撃にさらされていることが明らかになっている。
この2月には、たった1日でこうしたルータの530万台超が攻撃トラフィックの生成に利用されており、1月に行われた攻撃の一例では、あるプロバイダーのネットワーク上のDNSトラフィック全体のうち70%以上がDNS amp攻撃に関連していたという。DNSはamp攻撃に使用されることが圧倒的に多いプロトコルとしている。
同社によれば、家庭用ルータは脆弱であり、“わずかな技術と努力”で大きな被害を引き起こすことが可能という。膨大な数がネットに接続されているため、攻撃の標的を容易に覆い隠し、増幅された攻撃の最終的な目的地や大規模な増減を繰り返すトラフィックの受信先をISPが判断することを困難にしていると説明。こうしたDNS ampからのトラフィック量は1日で数兆バイトにのぼり、ISPのネットワーク、ウェブサイト、ユーザを邪魔している。
ISPに与える影響として、(1)悪質なトラフィックが利用可能な帯域幅を飽和状態にし、ネットワークに影響を与える、(2)断続的に発生するサービス停止で急増するサポートコールがコストに影響を与える、(3)ネットの接続不良はユーザーの乗り換えや維持のための経費増加となって収益に影響を与える、(4)接続先に向けられる迷惑なトラフィックが信用や評判に影響を与える――を挙げている。
Nominumの戦略担当最高マーケティング責任者(CMO)兼シニアバイスプレジデントであるSanjay Kapoor氏は、以下のようにコメントしている。
「現在使用されているDDoS攻撃への防御は、最小限の努力で最大の被害を発生させようと考える犯罪者なら誰でも攻撃を仕掛けられる、今日のDNS amp攻撃には効果がない。ISPが自社のネットワークを保護するためにベストプラクティスを採用しても、オープンDNSプロキシ特有の脆弱性ゆえに依然として被害者になる恐れがある」
同社では、こうした実態を踏まえ、ISPの既存防御手段に存在する隙を埋めるため、悪質なトラフィックを除去することに的を絞ったDNS防御が欠かせないとしている。