DDoS 調査:短時間と高帯域というトレンドに緩和策は有効なのか?

DDoS Attacks Hitting Victims in High-Bandwidth ‘Bursts’

2021/09/02 DarkReading — 2021年の上半期、分散型サービス拒否 (DDoS) 攻撃の件数は4倍に増加し、攻撃量も2倍になったことが、新しいデータで明らかになった。セキュリティ企業の Imperva は、同社の顧客が遭遇した約5,600件の攻撃から情報を抽出し、攻撃の強度が高まり続ける一方で、攻撃時間は短縮されていることを明らかにした。Imperva によると、攻撃の半数以上は8分以内に終了し、攻撃者は同じ企業に繰り返し大量のデータを送りつけていた (1Tbpsを超える攻撃もあり)。

Imperva の Senior Product Manager of Edge Services である David Elmaleh は、「このような攻撃に対して企業が機動的に対応することは困難である。攻撃者が利用できるインフラのトラフィック能力と、ターゲットにされたインフラが耐えられる能力との間には、本質的な不均衡がある。たとえ毎秒数ギガビットを処理できるとしても、どの組織も、現在のインフラに自信を持って頼ることはできない」と述べている。

Imperva データによると、上位の攻撃帯域幅とパケットレートは記録的なものではないが (Google は1年前に最大規模の攻撃を受けている)、いずれも急速に上昇している。攻撃の量と頻度が増加しているのは、攻撃者が自由に使えるツールが増えたことに加え、パンデミックにより標的となるサービスの範囲が広がったことが、原因だと考えられるという。

コーヒー1杯のコストで、企業におけるクラウド・サービス・アクセスを妨害し、$100で数時間どころか数日もネットワークを停止させることができると、Imperva はレポートで述べている。David Elmaleh は、「攻撃者はリソースは容易に入手できるようになり、参入障壁はかつてないほど低くなっている。デジタル・トランスフォーメーションの加速により、攻撃対象が拡大し、より多くの組織がビジネスをオンラインで行っている。つまり、攻撃者は、より多くのターゲットを攻撃する機会を得たことを意味する」と述べている。

Imperva が確認した変化は、防御者が能力を成熟させ、攻撃を素早くシャットダウンしていることで説明できる。しかし、攻撃者にとっては、短時間で高帯域の攻撃を行い混乱を引き起こすことが、最善の戦略であると考えられている可能性が高いと、David Elmaleh は述べている。バースト攻撃やパルスウェーブ攻撃と呼ばれる持続時間の短い攻撃により、攻撃者はオンプレミスのソリューションを圧倒し、アプリケーションをシャットダウンさせることが可能だ。特に、攻撃者が同じターゲットを繰り返して攻撃する場合には、緩和策が困難になるという。

彼は、「短時間の攻撃は、標的の DDoS 対策に挑戦し、その反応を観察し、標的を圧倒する攻撃パターンを定義することを目的としている。このアプローチは、ハイブリッド・クラウドやオンプレミスの DDoS ソリューションを圧倒するのに、きわめて効率的かつ効果的であり、バックアップ・クラウドによる緩和策が開始される前にダメージを与えることができる」と付け加えている。

Imperva 研究者たちは、他の傾向にも注目している。大規模化に加えて、攻撃者は TCP を使用したトラフィックの送信を再開している。これは、より合法的に見えるため、攻撃を最初に認識するのが難しくなる。TCP は、Web トラフィックの大半を占める通信プロトコルであり、トラフィックの送信者と受信者がハンドシェイクと呼ばれるプロセスを経て、通信セッションを構築する必要がある。報告書によると、TCP トラフィックの悪用は、2020年の 10% から、2021年前半の 32% へと増加している。

その一方で、攻撃トラフィックで依然として最も多いのは、DNS リクエストやビデオ・ストリーミングで使用されている UDP (User Datagram Protocol) であり、攻撃トラフィック全体の 43% を占めている。また、攻撃トラフィックで3番目に多いのは SYN パケットで、21% を占めている。また、分野別では、コンピューター/IT に対する攻撃が最も多く、全体の 29% を占めている。2位と3位はビジネスおよび金融であり、それぞれ 25% と 22% を占めている。

悪質なボットが多数を占める

自動羽化へと向かう脅威は、DoS 攻撃だけではない。セキュリティ企業の Barracuda Networks が発表したレポートによると、検索ボットやデータ・スクレイピング・ボット、脆弱性スキャナー・ボットなどが自動化され、2021年前半の Web サイトへのトラフィックの約3分の2を占めているとのことだ。Web サイトへのトラフィックのうち、人間からのリクエストで構成されているものは僅か 36% である。

DDoS 攻撃は、サイトやサービスを使用不能にする傾向にあるが、悪質なボット・トラフィックは、大量の認証情報を用いたサイトへのログインや、Eコマースサイトから価格データのスクレイピングなどの、望ましくない活動を行うとのことだ。Barracuda の研究者たちは、このレポートの中で、「これらの高度なボットは、標準的な防御を狡猾に回避し、悪意の活動を水面下で実行しようとしている。我々のデータ・セットでは、これらの持続的なボットの中で最も多かったのは、Eコマース・アプリケーションとログイン・ポータルを狙うものだった」と述べている。自動化されたトラフィックの量は、2021年の前半に急増している。Imperva の以前のレポートによると、2020年には良質/悪質のボットがトラフィックの 41% を占めていたが、最新のレポートによると 64% に上昇している。

最近の DDoS 関連ポストとしては、「Cloudflare 対 Mirai:ピークで 1,720万 rps の DDoS 攻撃に耐えきった」と、「ファイアウォールやミドルボックスは DDoS の最終ウェポン?」が印象に残っています。身代金を払わないと DDoS を仕掛けるぞと脅すランサムウェア・ギャングもいるようで、なかなか頭の痛い話です。なお、良質と悪質のボットがトラフィックの 64% を占めるという話が出ていますが、「API 攻撃のトラフィックが6ヶ月で 300+% も増大している」という記事もありました。

%d bloggers like this: