米Akamai Technologiesは米国時間4月17日、1~3月の分散型サービス妨害(DDoS)攻撃の状況をまとめた「グローバルDDoS攻撃レポート」を発表した。2月に買収を完了したProlexic Technologiesがまとめた。
1~3月は、DDoS攻撃トラフィックの半数以上がメディアやエンターテインメント業界に対するもので、DDoS攻撃中にProlexicが対応した悪意のあるパケットの54%が、これらの業界を狙ったものという。
“DDoS市場”での革新で、より少ないリソースでより甚大な被害を引き起こせるツールが生み出されてきており、1~3月の大規模なインフラベースの攻撃は、使いやすいDDoSツールが提供されることで可能になったとしている。このようなツールは悪意のあるハッカーが設計し、スキルのない攻撃者に大きな力と利便性を与えてしまうという。
最も悪用されているプロトコルはCharacter Generator(CHARGEN)やNetwork Time Protocol(NTP)、Domain Name System(DNS)であることが確認されている。すべてUser Datagram Protocol(UDP)ベースであり、攻撃者は自分の正体を隠すことができることから、よく利用されている。
リフレクション型や増幅型の攻撃ツールでは発信元からの出力を比較的少量に抑えたままで、攻撃対象に膨大なデータを送り付けることができ、強力な打撃を与えるために使われる。攻撃に使われるプロトコルの傾向を大きく左右するのが、こうした攻撃ツールの動向だ。
これまで「NTPフラッド型」が全攻撃数に占める割合は1%未満だったのに対し、2013年10~12月にはDDoS攻撃者が長年好んで利用してきた「SYNフラッド攻撃」とほぼ同じくらいの割合を占めるまでになっていた。2013年1~3月にはCHARGEN、NTP攻撃ベクトルは検出されなかったが、2014年1~3月にはProlexicが対応した全インフラ攻撃数の23%を占めていたという。
実際、例えば、この1~3月にはNTPのリフレクション攻撃が急増しており、これはNTPリフレクション技術をベースとした使いやすいDDoS攻撃ツールが提供されたことによるものと考えられている。その結果、2014年1~3月の平均帯域幅は2013年10~12月と比較して39%増加、ProlexicのDDoS保護ネットワークを経由する過去最大級のDDoS攻撃が行われたという。この攻撃には、従来型のボットネット型アプリケーション攻撃に複数のリフレクション型テクニックを組み合わせたものが使われ、ピーク時トラフィックは200Gbps、53.5Mppsを超えたとしている。
Prolexicは独自のDDoSフィルタ技術を利用したDDoS保護策と世界最大規模というクラウドベースのDDoS保護ネットワークを提供。同社では2011年から四半期ごとにグローバルDDoS攻撃レポートを作成している。
AkamaiのProlexic買収を受けて、同レポートとDDoS攻撃や関連動向、統計に関する内容でAkamaiが提供してきた「インターネットの現状」レポートの統合が図られている。Akamaiでは、ネット脅威の動向に関する見解を提供する統合的なレポートを次の四半期から発行するという目標に向け、2つのレポートをまとめるよう取り組んでいくとしている。