DDoS トレンド 2022:ウクライナから世界へと広がる規模と頻度

DDoS Attack Trends in 2022: Ultrashort, Powerful, Multivector Attacks

2022/07/27 BleepingComputer — 2022年に入ってからというもの、ヨーロッパをはじめとする世界の政治情勢は劇的に悪化した。それにより、DDoS 攻撃の性質/強度/地理的条件に影響が生じ、政治的な目的のために積極的に利用されるようになった。

This article was written by Andrew Faber, Head of Web Security at Gcore

欧州の紛争がもたらす新たなトレンド

東欧の状況は、サイバー・セキュリティ業界全体対して、特に DDoS 攻撃からの保護といった分野に影響を与えている。現時点において、この分野に国家が積極的に参加するようになったことで、DDoS 攻撃は巧妙かつ強力になってきている。

DDoS 攻撃の目的/性質/強度を変化させる地政学的状況

2022年の上半期において、複数の国から政府機関や金融機関に対する攻撃が報告されました。

  • ウクライナ政府によると、「銀行や政府の Web サイトを無効にすることを目的とした、ウクライナの歴史の中で最悪のこのサイバー攻撃だった。それは、広範囲におよぶ混乱を引き起こすことを目的としたものであり、2月15日の火曜日に始まり、水曜日まで続いた。この攻撃は、ウクライナを不安定化させ、パニックと混乱の種をまくために、事前に準備されたものだ。この攻撃では、国防省の Web サイト、ウクライナ国営サービスのデジタル・ポータル Diia、そして、Oschad Bank と Privat Bank の ATMネットワークとモバイル・アプリが標的となった。
  • 3月11日に中国の新華社は、米国/ドイツ/オランダによるサイバー攻撃を追跡したと主張している。これらの攻撃は、中国のコンピューターを介して実行され、ウクライナ/ベラルーシ/ロシアのリソースを標的にしていた。中国サイドは、検出された一連のサイバー攻撃の発信元を挙げているが、特定の国に起因するものではない。この攻撃は、これらの国々で IP アドレスを取得した、ハッカーにより組織化された可能性がある。
  • 4月8日に、フィンランド国防省と外務省の Web サイトがサイバー攻撃を受けた。同省は、「この問題を調査しており、判明した事実について情報を提供する」と述べたが、攻撃の背後にある容疑者は明らかにされていない。

DDoS 緩和に参入する国家

DDoS は自然発生的だと、よく言われる。その攻撃力は強力であり、顧客に大きな負担を強いるものであり、それ防御しようとする各国政府は、以前ほど抑制的ではなくなってきた。現在では、このセグメントにおける国家の行動は、当局により認められることが多くなってきた。たとえば、2022年2月末に米国司法長官は、ロシアのマルウェアを排除し、大規模な DDoS 攻撃を防ぐために、FBI が秘密作戦を行ったことを公に認めた。

ウクライナにおけるサイバー部隊も有名であり、2021年にウクライナ政府が、その創設を認めている。2022年2月から人材の採用が始まり、情報セキュリティの確保と、重要インフラの保護が任務となっている。このような政府の積極的な介入は、セキュリティ市場を根本的に変えてしまうかもしれない。

DDoS 攻撃の複雑さ/威力/持続時間の変化について

これまでに説明してきたように、DDoS 攻撃の威力/地域性/持続時間に著しい影響が生じている。DDoS 攻撃の主な被害者を国別/業種別で見ると、この数カ月で大きく変化していことが分かる。Gcore は、そのデータを公開しており、以下で参照できる。

攻撃はより複雑化し、複数のベクターを持つにいたる

DDoS 攻撃には、いくつかのタイプがある。

  • ランサムDDoS 攻撃は、恐喝のために実行される。攻撃者の約束は、身代金を受け取ったら攻撃を停止するというものだ。
  • アプリケーション層における DDoS 攻撃は、ビジネス・アプリケーションの運用を妨害/麻痺させる。それにより、ターゲットの評判に深刻な影響が生じる。
  • ネットワーク層における DDoS 攻撃は、ネットワークの帯域幅を奪い、ターゲットとクライアント/パートナーとの相互作用を妨害する。

それぞれのタイプの攻撃において、被害者のインフラの、さまざまな脆弱性が悪用される。以前の攻撃は、特定のベクターに依存していたが、現在では、より高度で悪意のあるキャンペーンの割合が増加している。攻撃者は、被害者のサーバーをダイレクトに攻撃するのではなく、その主要な機能の 1 つを麻痺させ、さまざまなベクターに沿って、複合的な攻撃を仕掛けてくる。

Gcore によると、このように複雑化するマルチベクター攻撃の件数は、2022 年には前年比で3倍に増大している。ボットとボットネットは、DDoS 攻撃における最も一般的なベクターになったが、HTTP フラッド攻撃も広く使用されている。Gcore は、同社の Web Application DDoS Protection により回避された強力な攻撃の例を共有している。

Example of a powerful HTTP Flood attack detected by Gcore Web Application DDoS Protection
Example of a powerful HTTP Flood attack detected by Gcore Web Application DDoS Protection

超短期攻撃の件数と平均攻撃力が増加中

近年において、超短期型 DDoS 攻撃の数が増加傾向にある。Gcore によると、この種の攻撃の、2022年における平均継続時間は 5~10秒とのことだ。その一方で、最も長い攻撃は、同社の専門家が 4月14日〜15日に記録したものだ。この攻撃は 24時間続き、容量は 5Gbps だった。

2022年の Q1〜Q2 に記録された攻撃の平均パワーは 700Gbps であり、昨年の 300Gbps の2倍以上になっている。以前の傾向としては、こうした攻撃は中小企業を標的にしていたが、今年は政府機関を狙った攻撃が多くなっている。

DDoS 攻撃のターゲットとして頻繁に登場するようになった政府機関

2022年の初頭は、近年で最も強力な攻撃が行われ期間であり、その大半が政府機関を狙ったものだった。

  • 1月15日:北朝鮮のインフラへの攻撃。この攻撃により、同国内では6時間にわたる全面停電が発生した。また、すべての交通機関が麻痺した。
  • 1月16日:ウクライナ政府の Web サイトへの攻撃。教育省/外務省/国家緊急サービス/エネルギー省/内閣/Diia などの Web サイトが麻痺した。
  • 2月15日:ウクライナの国防軍省/PrivatBank/OschadBank に対する攻撃。同時攻撃の結果、多くのウクライナの銀行システムと、いくつかの政府系 Web サイトがダウンした。
  • 2月23日:ウクライナの外務省と国会への攻撃。大規模な攻撃の結果、いくつかの政府系 Web サイトがダウンした。
  • 3月10日:Ukrtelecom への攻撃。 ウクライナの国営通信事業者の業務と、全国のネットワークと、重要な通信チャネルの運用が、40分間にわたり中断された。
  • 3月11日:ロシアの Rostec Web サイトへの攻撃。この航空/宇宙/防衛の国営企業に対しては、2月以降において、DDoS 攻撃が絶え間なく行われているようだ。
  • 3月14日:イスラエルの政府系 Web サイトへの攻撃。内務省/国防省/保健省/司法省/社会福祉省/首相官邸の Web サイトが攻撃された。このキャンペーンは、イスラエルに対する攻撃としては、最大規模のサイバー攻撃だと見なされている。
  • 3月16日:ウクライナの ISP である Triolan に対する攻撃。これにより、ウクライナにおけるインターネット環境が広範囲で停止した。
  • 3月29日 — 米国のブラッドリー空港 Web サイトへの攻撃。正体不明のハッカーが、当空港の Web サイトに攻撃を仕掛けた。
  • 4月8日:フィンランドの国防省/外務省への攻撃。これらの部門の Web サイトは、終日、機能不全に陥った。

企業も大規模な攻撃を受けている

Gcore によると、2022年 Q1〜Q2 において、最も攻撃を受けた事業分野は、Eコマース/フィンテック/ゲーム開発だとされる。同社は、強力な TCP/UDP フラッド攻撃に関する情報を共有している。

Traffic structure of TCP Flood attack on fintech company that lasted more than one day, April 14–15
Traffic structure of TCP Flood attack on fintech company that lasted more than one day, April 14–15
Information about UDP Flood attack on Game Developer, March 11
Information about UDP Flood attack on Game Developer, March 11

高まるDDoS対策への要求

いまの時代の、強力で巧妙な DDoS 攻撃を防ぐためには、企業や政府の組織に、高度なセキュリティ・システムを導入することが必要となる。Gcoreでは、DDoS 攻撃の件数が急増し、その複雑さ増していることを、以前から認識している。

2020年から2021年にかけて、オンラインゲーム/エンターテインメントにおけるコンテンツ消費量の増加を追いかけるように、DDoS 攻撃も頻繁かつ巧妙に行われるようになってきた。つまり、攻撃者は特定のサーバーを標的とするのではなく、Web アプリ (OSI L7) に焦点を当て、トラフィックを正当化しようとしたのだ。

サイバー犯罪者の主なターゲットには、Gcore のクライアントである Wargaming も入っていた。2021年2月18日に、Gcore のセキュリティ・システムは、Wargaming のサーバーを狙う UDP フラッド攻撃を検出した。

その攻撃は 253Gbps に達し、15分間に渡って続いたが、それを Gcore は阻止した。その背景には、当社におけるネットワークの帯域幅の広さと、毎秒数百ギガビットの速度で攻撃を検知し無効化するフィルタリング・システムの存在がある。

包括的な保護アルゴリズムにより、攻撃者が正規のトラフィックと類似したトラフィックを使用しようとする場合であっても、当社のセキュリティ・システムを回避することはできない。

Gcore は、複雑な攻撃に対する包括的な保護を提供する。それは、Network (L3)/Transport (L4)/Application (L7) の各層で機能し、あらゆる種類のサイバー脅威が生じても、効果的に顧客を保護する。このソリューションでは、インテリジェントなリアルタイム・トラフィック・フィルタリング技術により、特定の悪意のセッションのみを遮断するため、攻撃の間であっても、ビジネス・プロセスを一時停止する必要はない。

たしかに、ロシアによるウクライナ侵攻が始まってからというもの、DDoS のトレンドが大きく変わった感じがします。ターゲットが民間企業から、政府系のシステムへと移行し、その規模も頻度も拡大し続けています。この記事のベースになるレポートを提供してくれた Gcore に感謝ですが、その一方では Cloudflare も頑張っています。また、DDoS とは無関係ですが、Tor も頑張っています。この戦争が終わったら、この領域は、どのような方向へと向けて収束するのでしょうか。 → Ukraine まとめページ

%d bloggers like this: