DDoS 2023 Q1 レポート:VPS インフラを侵害/悪用するケースが増加 – Cloudflare 調査

DDoS attacks shifting to VPS infrastructure for increased power

2023/04/12 BleepingComputer — 2023年 Q1 ハイパーボリューメトリック DDoS (分散型サービス拒否) 攻撃は、危険な IoT デバイスへの依存から、侵入した VPS (Virtual Private Servers) を活用する方向へとシフトしている。インターネット・セキュリティ企業の Cloudflare によると、新しい世代のボットネットは、脆弱な IoT デバイスの大群を構築する戦術を徐々に放棄する方向へと向かっている。その代わりとして、現在は、脆弱なコンフィグレーションを持つ VPS サーバを、漏洩した API 認証情報や既知のエクスプロイトの悪用により、制御する方向へとシフトしている。


このアプローチにより、脅威アクターは高性能なボットネットを簡単かつ迅速に構築し、IoT ベースのボットネットに対して、最大で 5,000倍のパワーを持つことが可能になっている。

VPS servers used for DDoS attacks (Cloudflare)

Cloudflare のレポートには、「新世代のボットネットでは、デバイスの量は限られているが、個々のデバイスはパワフルである。クラウド・コンピューティング・プロバイダーは、企業による高パフォーマンス・アプリの作成を支援するために VPS を提供している。そして、それを悪用する攻撃者は、5,000倍ものパワーを持つ、高性能ボットネットを作成していく」と記されている。

Cloudflare は、主要なクラウド・プロバイダーやパートナーと協力して、こうした VPS ベースの新たな脅威を取り締まり、この種の斬新なボットネットの多くをダウンさせることに成功したとしている。

2023 Q1: DDoS の状況

Cloudflare によると、2023 Q1 の DDoS 活動は、全体的には安定しているとのことだ。しかし、身代金要求型 DDoS 攻撃は前年同期比で 60% 増加し、記録/報告された全 DDoS 攻撃の 16% に相当することが注目されるという。

これらの恐喝型 DDoS 攻撃とは、ターゲットにゴミ・トラフィックを浴びせることでサービス停止を引き起こし、被害者が攻撃者の要求を満たすまで無限に続くものだ。

Ransom DDoS attacks
Ransom DDoS attacks (Cloudflare)

2023 Q1 の DDoS 攻撃で、最大の標的国となったのはイスラエルであり、そこに米国/カナダ/トルコが続いている。また、最も狙われたのは、インターネットサービス/マーケティング/ソフトウェア/ゲーム/ギャンブルなどの分野となる。

この期間において Cloudflare が観測した最大の攻撃は、7100万リクエスト/秒を超えるピークを記録している。また、南米の通信サービス・プロバイダーを狙った 1.3 Tbps/秒の DDoS 攻撃も注目すべきインシデントだったという。

Mitigating a 1.3Tbps Mirai attack
Mitigating a 1.3Tbps Mirai attack (Cloudflare)

攻撃の持続時間と規模については、その 86.6% が 10分未満であり、91% が 500Mbps を超えないものであった。しかし、より大規模な攻撃は依然として増加しており、100Gbps を超える攻撃は 2022 Q4 と比較して、約 6.5% の上昇を記録しているという。

Attack size trends
DDoS attack size trends (Cloudflare)
新たなトレンド

DDoS 攻撃は様々な形で登場する、それに対処する防御策が進化するにつれて、攻撃者は新しい手法を考案し、また、古い戦術に戻ることもある。

今期、Cloudflare は、以下のような新たな傾向を記録した:

  • SPSS (statistical product and service solutions) ベースの DDoS 攻撃が、前四半期比で 1,565% の増加。Sentinel RMS License Manager サービスにおける2つの脆弱性 (CVE-2021-22731/CVE-2021-38153) が悪用され、反射型 DDoS 攻撃の起点として悪用された。
  • DNS インフラの欠陥を悪用して、大量のトラフィックを生成する DNS 増幅型 DDoS 攻撃が、前四半期比で 958% の増加。
  • GRE(generic routing encapsulation)プロトコルを悪用して、被害者のネットワークにゴミリクエスト殺到させる GRE ベースの DDoS攻撃が、前四半期比で 835% の増加。
New DDoS attack trends
New DDoS attack trends (Cloudflare)

2023年 Q1 の DDoS 攻撃は、幅広い業界をターゲットに、規模や期間が拡大する傾向を示している。そのため、効果的な防御戦略としては、自動化された検出と緩和のソリューションが必要となる。

DDoS レポートといえば、Cloudflare が定番という感じになってきましが、直近のものは 2023/03/09 の「Akamai が DDoS 攻撃を緩和:アジアでは最大級の 900Gbps という規模だった」となっています。その他にも、最近の関連記事としては、以下のものがあります。

2023/04/01:Cacti/Realtek/Aspera の脆弱性と DDoS
2023/03/21:HinataBot は Mirai 由来のハッカーたちが開発
2023/03/20:KillNet DDoS 攻撃:Azure のヘルスケアが標的
2023/02/13:Cloudflare が HTTP DDoS を阻止:71M RPS
2023/02/09:Killnet の Proxy IP リストを公開
2023/02/08:Tor の戦い:7ヶ月間も DDoS 攻撃にさらされる

%d bloggers like this: