「量より質」「Miraiは沈静化」--最近見られたDDoS攻撃の変化

國谷武史 (編集部)

2017-09-21 07:00

 アカマイ・テクノロジーズは9月20日、2017年第2四半期(4月~6月)のセキュリティ脅威動向の分析結果を発表した。分散型サービス妨害(DDoS)攻撃では、「量より質」を重視するなど、特徴に幾つかの変化が生じているという。

 期間中に同社のネットワークサービス上で観測されたDDoS攻撃は、前四半期比で28%増加した。しかし100Gbpsを超える巨大なトラフィックの攻撃は観測されず、最大は75Gbpsだった。同一のウェブサイトなどに繰り返される攻撃は平均32回で、前四半期の同25回から上昇。最多はゲーム企業に対する558回(1日あたり6回)だった。

アカマイ・テクノロジーズ
アカマイ・テクノロジーズ Web&セキュリティ マーケティング本部プロダクト・マーケティング・マネージャーの中西一博氏

 状況について解説したWeb&セキュリティ マーケティング本部の中西一博氏によると、直近の2年間に同社が遮断したDDoS攻撃は1万件を超えており、攻撃回数自体は多いという。しかし、巨大なトラフィックを標的に送り付けてダウンさせるような手口は影を潜め、小規模なトラフィックを繰り返す送り付けるような費用対効果を狙う動きが見られるようになった。

 例えば、標的のウェブサイトの回線帯域が1Gbpsだった場合、100Gbpsを超える巨大なトラフィックを送り付けても、数Gbpsや十数Gbpsのトラフィックでも、帯域を圧迫させることでサービスを妨害する“効果”としては、さほど変わらないという。

 現在のDDoS攻撃は、費用さえ払えばだれでもアンダーグラウンドのサービスを利用して簡単に実行できるとされる。費用は標的の数や実施規模が大きくなればなるほど、高額になる。巨大なトラフィックを送り付けても実際の効果がほとんど同じなら、無駄に費用をかけたくないのが攻撃者の心理であるようだ。

 中西氏によれば、最近は小規模なトラフィックによる攻撃を小間切れに実行するようになり、攻撃サービスによっては「標的を一定期間ダウンさせる」とうたい、利用者に費用対効果の高さを訴求するところもあるという。

 期間中では最大の75Gbpsのトラフィックが発生した攻撃は金融機関が標的になり、「PBot」と呼ばれる400台未満の小規模なボットネットによって行われた。PBotは、Apache Strutsの脆弱性を突いてマルウェアに感染したコンピュータによって形成されている可能性があり、DDoS攻撃では古いPHPの攻撃コードが用いられたという。中西氏は、「小規模なボットネットでもそれなりの規模の攻撃を実行可能なことが示された格好だ」と指摘する。

小規模なボットネットでも効果的なDDoS攻撃を実行できることが示されたという''
小規模なボットネットでも効果的なDDoS攻撃を実行できることが示されたという

 また、DDoS攻撃元のIPアドレス数は、前四半期から98%減少した。国別では2016第4四半期から2017年第1四半期にかけて数十万のアドレスが観測された米国や英国の割合が大幅に減少し、2017年第2四半期は相対的にエジプトがトップになった。

 中西氏によれば、この現象はIoTマルウェア「Mirai」に感染した機器が大幅に減少した影響とみられ、これらの国々で対策が進んだことや、攻撃活動自体が沈静化している可能性が考えられるという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]