Radware 調査:2022 Q1 における DDoS 攻撃と App 攻撃の状況は悲惨だった

Q1 2022 DDoS and Application Attack Activity: An Overview

2022/06/08 SecurityBoulevard — 2022年 Q1 におけるサイバー・セキュリティの脅威の状況は、旧来/新規の敵が混在するものとなった。DDoS の脅威は新たな勢力により支配され、アプリケーション・セキュリティは従来からの攻撃ベクターに直面し続けている。これらの攻撃は、地政学的な不安定さ、ハクティビスト、国民国家の脅威者、新たな脆弱性の悪用にフォーカスする、脅威の状況により大幅に加速されている。2022年 Q1 に発生したネットワーク/アプリケーションに対する攻撃活動の詳細な分析は、Radware 2021-2022 Global Threat Analysis Report で確認できる。以下のハイライトを参照し、驚くべき結果を確認してほしい。

DDoS 攻撃の傾向

2022年 Q1 における DDoS は、2021年 Q4 と比較して、Micro Floods の量が 125% 増加した。Micro Floods とは、スループットが 1Gbps 未満〜10Mbps 以上の、低スループットの攻撃ベクターのことである。通常、このような攻撃は、レーダーの下に潜んでいる。したがって、大きなスループットの攻撃ベクターを発見するための、従来からのアルゴリズムや閾値に基づく技術では検出できない。攻撃者たちは、多数の Micro Floods の組み合わせや、中規模/大規模な攻撃ベクターに Micro Floods を追加することで、攻撃キャンペーンの複雑さを大幅に高められる。それにより、ミティゲータは常にポリシー適応を強いられ、緩和のための対応が難しくなる。

さらに、ブロックされた悪意のイベント数 (顧客ごと) は、2021年 Q1 と比較して約 75% 増加している。しかし、全体としてのブロック量 (単位:TB) は大幅に減少した。DDoS 攻撃の矛先は、教育/通信の分野であり、2022年1~3月の DDoS 攻撃量の 67% を占めている。また、同期間における DDoS攻撃量は、アメリカ大陸が半分以上を占めている。

アプリケーション攻撃の傾向

アプリケーション攻撃活動については、悪質なボット活動が劇的に増加している。2022年 Q1 の悪質ボット・トランザクションは、2021年 Q1 と比較して 126% 増加した。アプリケーション攻撃データを、OWASP Top 10アプリケーション・セキュリティ違反と相互参照すると、2022年 Q1 にブロックされたセキュリティ違反の半分以上を、Broken Access Control (OWASP 2021 A01) が占めていることが分かる。

2022年 Q1 のアプリケーション攻撃で上位を占めたのは、ハイテク 31%/小売業 27% であり、通信/キャリアは 21% で3位だった。また、Predictable Resource Location/Code Injections/SQL Injections は、脅威 アクターたちに好まれ、2022年 Q1 のアプリケーション攻撃の Top-3 を占めている。

DDoS とアプリケーションの脅威状況分析

2022年 Q1 は、地政学的なハクティビストたちによる、サービス妨害と国家的脆弱性に焦点を当てたサイバー活動が目立った。ウクライナ侵攻とハイブリッド戦争の激化を受けて Radware は、ロシアとウクライナの両政府に関連する、金融機関を標的としたサービス拒否攻撃の増加を監視している。サービス拒否攻撃の増加は、主に親ウクライナ/親ロシアの活動家による、愛国的なハクティビズムによりもたらされています。

ウクライナの IT Army は、サービス拒否攻撃のゲーミフィケーションを通じて、10代の若者を含む大衆をハッキングに引き込んだ。Playforukraine[.]com の Web サイトでは、ゲーム中に破壊を手伝った Web サイトが、ゲーム内でも再現される仕組みになっている。

WordPress の Web サイトが侵害され、Web ページの読み込み時にサービス拒否攻撃を行う、悪意のコードが注入された。侵入された WordPress サイトへの訪問者がボットとなり、悪質なコードの作者が作成した Web サイト・リストを標的とした、アプリケーション・レベルのサービス拒否攻撃に加担させられた。

ウクライナへの侵攻に抗議するために、node-ipc という人気の Node.js モジュールのメンテナが、自身のモジュールを意図的に破壊した。このモジュールは、ローカル/リモートのプロセス間通信 (IPC) を提供するものであり、多くのニューラル・ネットワークや機械学習ツールで活用されている。この開発者は、node-ipc モジュールに依存するアプリケーションを実行しているシステムが、ロシア/ベラルーシに地理的に位置している場合にのみ、そのシステム上のファイルを意図的に破損するようコードを変更した。

分散型金融 (DeFi : decentralized finance) の分野は、攻撃における格好のターゲットになった。暗号化取引所は、ロシア人による取引が禁止されたとき、サービス拒否攻撃に直面した。また、暗号取引所は、北朝鮮の国家に支援された脅威アクターによる、金銭的な動機を持った攻撃のターゲットになった。

オンライン・アプリケーションを構築するための、一般的な Java Spring フレームワークで新たな脆弱性が発見された。2022年3月末に、中国の研究者が Github で PoC エクスプロイトを公開した後に、Spring4shell の悪用が急速に進み、ユーザー企業は Java Springフ レームワークを利用するアプリケーションに対して、迅速にパッチを当てる必要性に迫られた。

イスラエルの企業や市民を標的に、毎年のように実施される OpIsrael だが、Anonymous がロシア/ウクライナの紛争にフォーカスしたことで、今年はほぼ発生しなかった。2021年に中東の組織をターゲットにしていた、ハクティビスト活動 OpsBedil の方は、今年も復活した。OpsBedil は、すでに存在しなくなった OpIsrael 作戦に代わるものと考えられている。この新しい OpsBedil 作戦は、DragonForce Malaysia とアフィリエイトが、マレーシア/インドネシアを主体とする東南アジア全域で実施したものだ。現在の作戦 OpsBedilReloaded は、2022年4月11日にイスラエルで発生した出来事に対する、政治的反応と考えられている。

OpsBedil Reloaded の期間中、ハクティビストたちは Web サイトの改ざん、機密データの漏えい、サービス妨害攻撃を実行した。これまでの OpsBedil の TTP に基づくと、攻撃キャンペーンは 4月〜7月にかけて実施されることが予想される。OpsBedil のようなハッキング・キャンペーンは、かつての OpIsrael ほど悪質ではないが、この地域に新たなレベルのリスクをもたらすことになる。Anonymous とは異なり、DragonForce Malaysia とアフィリエイトは、これらの攻撃を実行するための時間/リソース/動機を持っており、イスラエルに対して中程度の脅威を与えている。

この Radware のレポート:Quarterly DDoS & Application Threat Analysis Hub ですが、全体で 65ページもある大作です。 DDoS に割かれたページが多いですが、アプリケーションやボットネットなどにも触れられています。詳細なチャートが、たくさん提供されているので、ゆっくりと読めば、さまざまな現状が理解できるはずです。どこまで行ってもイタチごっこの世界ですが、諦めたら負けなので、追いかけるしかありませんね。

%d bloggers like this: