6月7~9日に開催された「Interop 2017」では、アーバーネットワークス 名誉アドバイザーの名和利男氏が、「リオでは実際何が起こったか? トウキョウは2020年に向けて何を準備すればよいか?」と題して基調講演を行った。
オリンピック期間のネットワークは大きく変化
名和利男氏
名和氏は、まず2016年のリオ大会時にサイバー空間で発生したこととして、トラフィックから分析したネットユーザーとサイバー攻撃者の行動の変化を示した。オリンピックが開幕すると、リオ・デ・ジャネイロのトラフィック総量は平常時より平均50%増加し、会期中はそのレベルが維持されたという。
ユーザーの行動の変化をネットサービスで見ていくと、例えば、Netflixでは大会期間中のトラフィックが平時に比ベて50%減少した。Netflixは、ブラジルでの利用料金を他国よりも安価に設定しており、多くのブラジル国民が利用している。名和氏は、コンテンツプロバイダーのトラフィックデータも示し、ここでトラフィックが250%増加し、しかも特定の時間帯にアクセスが集中する様子を紹介した。
このプロバイダーの傾向はNetflixやGoogleも同様であり、オリンピック開催期間はユーザーのインターネット利用パターンが大きく変化したことが分かる。Facebookは平均1200%増加し、Facebookではデータをブラジルのローカルにキャッシュして対応したという。こうした傾向からブラジルのネットユーザーは、オリンピックが始まると興味のある競技や自国の競技の中継をインターネットで探し、さまざまなサービスで視聴したり、感想や動画をFacebookに投稿したりしていたとみている。
リオ・オリンピックで発生したサイバー攻撃
一方でサイバー攻撃者は、リオ・オリンピックに関連した攻撃キャンペーンを複数展開し、DDoS(分散型サービス妨害)攻撃を実施した。
2016年は、マルウェアに感染させたIoT機器のボットネットをDDoS攻撃に利用する「IoTボットネット」が観測された。最初のDDoS攻撃はロシアの戦勝記念日である5月9日に観測された(2007年に発生したエストニアに対するDDoS攻撃)。リオ・オリンピックでも、IoTボットネットを利用した相当な規模のDDoS攻撃が行われているという。
リオ・オリンピックで確認されたDDoS攻撃には、「連動した攻撃キャンペーン」「アプリケーション攻撃」「ネットワーク層への攻撃」「多様な攻撃技術の利用」といった特徴があり、名和氏は攻撃者が多彩な手法でDDoS攻撃を行ったことがうかがえるとした。東京オリンピックでも、こうした多彩な手法によるDDoS攻撃を受ける可能性が高いと予想している。
IoTボットネットを利用したDDoS攻撃は増加の一途をたどっており、規模も拡大している。東京オリンピックではIoTボットネットがさらに増え、大規模なDDoS攻撃が起きる可能性を指摘した。なお、グローバルでIoTボットネットの攻撃元をみると、トップは韓国で、米国、中国、日本、ブラジルと続いている。
しかし、DDoS攻撃に対する社会の認識はまだ浸透していない。現実の認識としては、下記の点がよくみられるという。
- DDoS攻撃対策が高価なこと
- APT(特定組織を長期にわたって狙う標的型攻撃)とは全く関係ないこと
- ファイアウォールやIDS/IPS(不正侵入検知/防御システム)では攻撃を止められないこと
- インターネットサービスプロバイダーではすぐにDDoS攻撃を遮断してもらえない場合があること
- DDoS攻撃は業務停止のような甚大な被害を受けるにも関わらず、自社には関係ないと考えている企業が多いこと
より高度化、巧妙化するサイバー攻撃への対策
名和氏は、最近のサイバー攻撃手法の大きな変化に、「ソフトウェアの更新機能を利用するマルウェア感染」「正規サービスを時間差で踏み台にするC2通信」「スクリプト実行環境を利用した正規プログラムによる攻撃挙動」「正規サービスの同期機能を利用するC2通信」を挙げた。
こうした最近のサイバー攻撃は、ウェブサイトなどにも手法やツールが公開されており、情報があれば、中高生でも比較的容易にサイバー攻撃が行えてしまう。サイバー犯罪の低年齢化についても、名和氏は将来的な懸念を示している。
高度化、巧妙化するサイバー攻撃に対して名和氏は、現実を直視し、事態対処の実効性を確保することが重要だと、2020年の東京オリンピック2020に向けて準備すべき3つのことを挙げた。
1つは、担当者の経験や知見に依存したサイバー脅威の認識ではなく、「全てのプロセス(設計、開発、調達、構築、実装、運用、保守等)の担当者が、サイバー脅威の適切な認識と網羅的な理解をする」こと。2つ目には、「サイバー空間における挙動を事後に確認することが可能な証跡やログを記録、保管すること」としている。
最後の3つ目に、「サイバー攻撃対処の担当者は、主要な技術だけでなく、事前に運用や業務にかかる知識や慣習を把握および理解すること」を挙げ、講演を締めくくった。下記のグラフや画像は、名和氏の講演資料から。