ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (7) 驚愕の1Tbps級DDoS攻撃

江添 佳代子

October 26, 2016 08:00
by 江添 佳代子

ここで昨今のDDoS攻撃の拡大傾向と、今回の「620Gbps」というボリュームについて確認してみよう。

「前代未聞の規模のDDoS攻撃」と聞いたとき、多くのセキュリティ関係者が真っ先に思い出すのは、スパム対策の非営利団体「Spamhaus」を標的とした2013年のDDoS攻撃だろう。このとき最初の矛先となったSpamhaus は、米国のセキュリティ企業「CloudFlare」の協力で困難を乗り越えたが、それに苛立った攻撃者たちはCloudFlare、およびCloudFlareが接続している世界中のネットワークのインフラを狙った攻撃を開始した。つまりインターネットそのものの主要系路となる部分へのDDoS攻撃となったため、それは結果として非常に多くのユーザーに「インターネットの遅延」を体感させた。

この「あと一歩でインターネットを壊しかねなかった」とさえ言われているDDoS攻撃において記録された攻撃トラフィック量は、ピーク時で300Gbps。つい1年ほど前まで史上最大級のDDoS攻撃だと考えられていた攻撃の一つだ(※)。そして今回のクレブスを襲った620Gbpsの攻撃ボリュームは、単純に言えば「2013年に世界を震撼させたDDoS攻撃の2倍強」ということになる。

しかし昨今では、100Gbpsを超えるDDoS攻撃がそれほど珍しくないものになりつつもある。たとえば今年1月、Arbor Networksが世界中のサービスプロバイダー、ホスト、モバイルサービスプロバイダーから354件の回答を集めて作成した2015年分の年次調査報告(PDFファイル)によれば、回答者から報告されたものの中で最も大きい攻撃は「500Gbps」で、他にも 450Gbps、425Gbps、337Gbpsといった数字が報告された。そのレポートには「ほぼ4分の1の回答者が、ピーク時で100Gbps以上の攻撃を報告した」とも記されている。

IoTのボットネットによる攻撃

この Arbor Networksの報告書には「反射攻撃(リフレクション攻撃)や増幅攻撃(amp攻撃)の人気は衰えていない」と記されていた。しかし一方で、今回のKrebs on Securityを狙ったDDoS攻撃はそれらの手法に頼ったものではなく、単純に「非常に多くのIoTデバイスで形成されたボットネットから発せられた攻撃」だという点も特徴的だった。Krebs on Securityは9月21日、同ブログが攻撃を受けていることを報告したときから、その問題に言及していた。

「この攻撃は、膨大な数の、いわゆる『IoT』のデバイス──インターネットに晒されている状態の脆弱な、あるいはハードコードされたパスワードで保護されているルーター、IPカメラ、デジタルビデオレコーダー(DVR)──を奴隷化したボットネットの助けを借りて行われたことが、いくつかの兆候から示されている」

クレブスは、9月17日にFlashpointとLevel 3 Threat Research Labsが掲載したばかりの記事「Attack of Things!」を紹介した。その報告によれば、IoTをベースとしたボットネットの攻撃は「Lizkebab」「BASHLITE」「Torlus」「gafgyt」などの名前を持った様々なマルウェアによって行われており、また、そのマルウェアのソースコードは2015年の前半に流出してから現在までに1ダース以上の亜種を生み出しているという。

彼らの説明によれば、それぞれのボットネットは、脆弱なデバイスをスキャンしてはマルウェアをインストールし、新しいホストへと広がっているという。このスキャニングは主に2つのモデルに分けられる。1つめは「telnetサーバーにポートスキャンを仕掛けるようボットに指示を出し、ユーザー名とパスワードのブルートフォースを通してデバイスのアクセスを得ようと試みるモデル」。2つめは「スキャニングに外部スキャナーを利用し、新しいボットを手に入れる(場合によってはボットネットのコントロールサーバー自体からスキャニングを行う)モデル」。この2つめのモデルはますます一般的になりつつあり、また感染の方法にも様々なバリエーションがあるという。

そしてクレブスは、今後もKrebs on Securityが「大規模なDDoS攻撃の脅威を最小限に抑える課題」について取り組んでいく予定だと語りつつも、このような「化け物級の攻撃」を、我々が「一般的な規模の攻撃」と見なすようになるまで、あまり時間はかからないのではないかとも予測した。このクレブスの予測を裏付けるようなニュースが一斉に流れたのは、その翌週のことだった。

ほぼ同時期に発生していた「990GbpsのDDoS攻撃」

9月27日、英国のITニュース『The Register』は、フランスのホスティングプロバイダー「OVH」を狙った2つのDDoS攻撃が、ピーク時で990Gbpsに達していたことを報じた。Krebs on Securityに投げつけられた620 Gbpsの1.5倍強、およそ1Tbpsとも呼べる今回の攻撃は、ほぼ間違いなく現時点での「史上最大のDDoS攻撃」だろう。この攻撃も、クレブスに襲いかかった攻撃と同じ「IoTのボットネットから発せられたDDoS攻撃」だった。

この話題は瞬く間に複数のニュースサイトで取り上げられたが、もともとそれを最初に発信していたのはOVH自身のチーフテクノロジーオフィサーOctave Klabaだった。Klabaは9月21日、つまりクレブスがDDoS攻撃の被害を最初に伝えたのとほぼ同じ時期に、「数日前から、我々は多くの甚大なDDoS攻撃を受けている」ということをツイートしていた。

さらにKlabaのツイートは、この「14万5607台のカメラとDVRから成るボットネット」には1.5 TbpsのDDoS攻撃を送り込む能力があると説明した。そしてKlabaは、このボットネットに加わっているボット(つまり新たに奴隷化されたデバイス)の数が次第に増えている様子を48時間ごとにツイートで伝えていった。この攻撃を複数のニュースサイトが伝えたとき、ボットの数は「15万2000台以上」まで膨らんでいたが、その後も増加は止まらず、9月29日の報告では「18万6000台」を超える数字となった。

その8につづく

※実際には西方氏が2年前に指摘しているとおり、2014年には「CoudFlareの顧客に対する400GbpsのDNS amp攻撃」があったとも報告されている。しかし、こちらは詳細が明かされていないためか、Spamhausよりも地味な話題として扱われている。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約700本以上担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

米露サイバー戦争 2017 (2) ホワイトハウスのブログとオバマの決断

January 20, 2017 08:30

by 江添 佳代子

ブログに記された解説と改正の詳細 前回に紹介したオバマ大統領の声明文で興味深いのは、やはりロシアへの報復措置が具体的に挙げられた部分である。しかし「どれぐらい重大なことが起きたのか、あまりピンとこない」と感じた人もいるだろう。 実はホワイトハウスのブログ(こちらはオバマ首相ではなく、国家安全保障会議…

2016年サイバーセキュリティ重大トピックス (7) 史上最高の「1Tbps超」DDoS攻撃が発生。誰もが誰にでも巨大DDoSができる時代

January 20, 2017 08:00

by 西方望

多数のネットワーク機器から1ヵ所に大きな負荷を掛けるDDoS(Disributed Denial of Services:分散型サービス拒否)攻撃は非常にやっかいな代物だ。 大規模なDDoSに対しては、即時的・効果的な防御手段はほとんどなく、高速なサーバー、広帯域の回線、多数の機器による負荷分散を備…