アカマイ、国内事業者向けでは過去最大規模のDDoS攻撃について解説

渡邉利和

2025-01-31 13:00

 アカマイ・テクノロジーズは「2025年注目すべきサイバーセキュリティの動向」に関する説明会を開催した。

 プロダクト・マーケティング・マネージャーの中西一博氏は主に「Mirai Botnetの復活」をテーマとして取り上げた。Mirai Botnetは2016年に当時最大規模の分散型サービス拒否(DDoS)攻撃を実行したIoTデバイスベースのボットネットだが、ソースコードがハッカーコミュニティーに公開されたことから、その技術要素を受け継いだ亜種が繰り返し登場している。今回取り上げられた「復活」も2016年当時のMirai Botnetと同じものではなく、亜種と位置付けられるものだという。

アカマイ・テクノロジーズ プロダクト・マーケティング・マネージャーの中西一博氏
アカマイ・テクノロジーズ プロダクト・マーケティング・マネージャーの中西一博氏

 現在のDDoS攻撃に使われているMirai Botnet亜種の特徴として同氏は、従来型のUDPリフレクションDDoSとは異なり、「C2サーバーからの要求次第でTCPベースの攻撃など複雑な指示が可能」な自由度の高さと、その副作用ともいえる「準備(開発や感染台数維持)にコストと時間がかかる」点を挙げた。

 この年末年始にもさまざまなDDoS攻撃が観測されており、Akamaiが観測した傾向として「レイヤー3/4(SYN/Ack/UDP/GRE Floodなど)とレイヤー7(HTTP/HTTPS)の混成型DDoSで、攻撃ベクトルは時間経過によって変化」「観測した攻撃ボリュームのピーク(主にレイヤー3/4)は数十Gbps~数百Gbpsにおよび、国内事業者向けのDDoSとしては過去最大規模」「CDNの緩和を経由しない、IPアドレス直打ちによるオリジンサーバー or 関連ネットワーク機器への直接攻撃や、サブネットのIP(1~254まで)を総当たりする攻撃傾向も見られる」「攻撃ソースは英国、香港、日本、シンガポールなど各国(世界中)に分散」などの特徴が挙げられており、防御側が実施するだろう対策を熟知した上で一般的な対策では止められない攻撃となるよう企図されていることが伺える。

AkamaiによるDDoS攻撃対策ベストプラクティス
AkamaiによるDDoS攻撃対策ベストプラクティス
※クリックすると拡大画像が見られます

 Mirai Botnetの復活と攻撃ソースについては、AkamaiのほかにTrendMicroでも同様の攻撃傾向を観測してレポートを発表しているといい、両社間で「答え合わせ」ができた状況だということも明かされた。

 攻撃者が何者なのか、その狙いは何なのかという点については、攻撃ソースが広く分散するDDoS攻撃の特性もあって決め手となるような手がかりは得られていないといい、推測の域を出るものではないが、中西氏は個人的な考察として「ハクティビストによる攻撃のような、主張や攻撃成功(成果)表明が見られない」点や、「重要インフラ事業者を攻撃対象に選び、防御能力を推し量るような攻撃パターン」が見られる点などを踏まえ、地政学的な背景を持つ攻撃者が防御側の対応能力を探るために実施した攻撃の可能性が考えられると語ったが、現時点で断定できるだけの材料はなく、あくまでも可能性の一つとして考えられるというレベルであることには注意が必要だ。

 なお、2016年のMirai Botnetの大流行を踏まえた対策としてIoT機器のファームウェアに対するセキュリティアップデートなどを確実に実行するなどといった注意喚起が行なわれるようになっているが、こうした取り組みは運用中のデバイスがBotnetに組み込まれてしまうリスクを下げることには役立つものの、実際にDDoS攻撃が実施された場合の対策とは異なる点には注意が必要だ。

 今回の分析内容でも指摘されていたとおり、現在猛威を振るっているDDoS攻撃では、レイヤー3/4での攻撃とレイヤー7での攻撃を組み合わせた混成型となっていることが観測されている。攻撃ソースとしては、レイヤー3/4は主にIoTデバイスとなっている一方、レイヤー7での攻撃はクラウドサーバーなどのより処理能力の高いデバイスが投入されていることが指摘されている。IoTデバイスからのレイヤー3/4トラフィックは量こそ多いものの、パターンの特徴を掴んでしまえば比較的に容易に識別できることから対策している組織にとっては防ぎやすい攻撃ともいえる。

 一方でレイヤー7での攻撃では、攻撃者側が防御側のロジックを踏まえて止めにくいトラフィックパターンを生成するなどの防御が困難なものが多く、レイヤー3/4で効果がなかったらレイヤー7に切り替えるといった柔軟できめ細かな攻撃を実施している状況が観測されているという。こうした状況を踏まえると、IoTデバイス側での対策が進んでBotnetなどに組み込まれてしまうリスクが減少したとしても、IoTデバイス以外からの高度なDDoS攻撃を受ける可能性は依然として残ると考えられる。重要インフラ事業者やビジネスクリティカルシステムの運用者はIoTデバイス側での対策が進むことに期待するだけでなく、大規模なDDoS攻撃の標的になる可能性があることを想定した対策を検討しておく必要があることは間違いない。

 中西氏は、この年末年始のDDoS攻撃に関してはAkamaiでの緩和措置が成功しており、致命的な影響は生じていないとしつつも、一方でAkamai導入済みの顧客でも保護対象としていなかったシステムで影響を受けた例もあると紹介し、システムの重要度などに応じた対応優先順位の明確化などの事前対策を行うことの重要性を指摘した。

 なお、攻撃手法として今回紹介されたように、攻撃者側もCDNなどでDDoSの緩和措置が行われることを前提に、IPアドレス直打ちなどの形でCDNを経由せずに標的サーバーに直接攻撃パケットを送りつけるような工夫を行っていることが観測されている。Akamaiでは「Akamai Prolexic」などのソリューションを用意しており、自社データセンターを運営しているユーザーがIPアドレス直打ちで攻撃を受けた際にもそのトラフィックを迂回(うかい)/緩和した上でクリーンなパケットだけを標的サーバーに送出することが可能なので、こうした対策を導入することも検討する価値があるだろう。

 ランサムウェア攻撃とは異なり、直接的な金銭要求などがない分深刻さが分かりにくいDDoS攻撃だが、社会生活のさまざまな面がインターネットを前提に回るようになってきた現在、大規模なDDoS攻撃によって一時的にでも社会が全面的なまひ状態に追い込まれるリスクもゼロではない。こうしたリスクを踏まえ、どのレベルの対策が必要なのか、一度明確化しておく必要があるだろう。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI を活用した革新的な事例 56 選 課題と解決方法を一挙紹介

  2. ビジネスアプリケーション

    生成 AI の可能性を最大限に引き出すためにできること—AI インフラストラクチャの戦略ガイド

  3. ビジネスアプリケーション

    業務マニュアル作成の課題を一気に解決へ─AIが実現する確認と修正だけで完了する新たなアプローチ

  4. ビジネスアプリケーション

    調査結果が示す「生成 AI 」活用によるソフトウェア開発の現状、ツール選定のポイントも解説

  5. ビジネスアプリケーション

    ITSMに取り組むすべての人へ、概要からツールによる実践まで解説、「ITSMクイックスタートガイド」

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]