アーバーネットワークス3月28日、サイバー攻撃の最新動向をまとめた年次レポート「NETSCOUT Arbor's 13th Annual Worldwide Infrastructure Security Report(WISR)」関する説明会を開催した。同レポートの日本語版も近々公開される予定となっている。
アーバーネットワークス SEマネージャー&セキュリティエバンジェリストの佐々木崇氏
SEマネージャー&セキュリティエバンジェリストの佐々木崇氏は、同社では世界で運用する脅威監視システム「ATLAS(Active Threat Level Analysis Systems:脅威レベル解析システム)」を運営し、同レポートはATLASで収集されたデータや、Tier 1サービスプロバイダーの90%が含まれるという顧客から提供されたデータ、また、レポートのためにユーザー390人を対象に実施した調査の回答などに基づいてまとめたものと説明した。
最新版の内容から同氏がまず指摘したのは、ユーザーの45%が企業、55%がサービスプロバイダーだったという点だ。分散型サービス妨害(DDoS)対策ソリューションという同社のサービスの性格上、かつてはユーザーの大半がサービスプロバイダーだったというが、近年は企業の比率が高まっており、それに伴って得られる脅威情報もネットワーク層での攻撃情報のみならず、アプリケーション層など、より上位レイヤを対象とした攻撃に関する情報も得られるようになってきたという。
この変化は、昨今のDDoS攻撃が高度化するのと同時に、企業活動におけるインターネット/ウェブサイトの重要度が高まったことで、DDoS攻撃を受けた際のビジネスインパクトが深刻なものと判断されるようになったからだ。企業ユーザーがDDoS対策をサービスプロバイダー任せにするのではなく、独自の対策も行い、サービスプロバイダー側の対策と組み合わせることで、より広範な防御を実現するべく取り組んでいることの表れだと考えられる。
実際の攻撃の観測結果からは、最大の攻撃規模が2016年比でやや小さくなった一方、攻撃回数は増加している(2016年の680万回から2017年は750万回)という。2017年に観測された最大のDDoS攻撃の規模は約600Gbpsで、2016年は約800Gbpsだった。ただし、この規模差は、攻撃を受ける側にとってはさほどの違いはないと考えられ、安心材料にはなり得ない。
2016年と2017年の最大規模のDDoS攻撃
同時に、DDoS攻撃の継続時間は2016年とほぼ同様で、92%の攻撃が1時間以下、平均攻撃時間は46分だという。こうした特徴は、DDoS攻撃がクラウドサービス化していることも影響しているようだ。現在ではアンダーグラウンドでDDoS攻撃の実行を請け負う業者が存在しており、攻撃の計画者が有償で実行者に依頼してDDoS攻撃が実施される例も増えているという。その結果、攻撃サイズや攻撃継続時間が最適化され、被害者側に必要十分なインパクトを与える最小規模の攻撃サイズの見極めが進んでいると考えることもできそうだ。