ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (7) 驚愕の1Tbps級DDoS攻撃

October 26, 2016 08:00
by 江添 佳代子

ここで昨今のDDoS攻撃の拡大傾向と、今回の「620Gbps」というボリュームについて確認してみよう。

「前代未聞の規模のDDoS攻撃」と聞いたとき、多くのセキュリティ関係者が真っ先に思い出すのは、スパム対策の非営利団体「Spamhaus」を標的とした2013年のDDoS攻撃だろう。このとき最初の矛先となったSpamhaus は、米国のセキュリティ企業「CloudFlare」の協力で困難を乗り越えたが、それに苛立った攻撃者たちはCloudFlare、およびCloudFlareが接続している世界中のネットワークのインフラを狙った攻撃を開始した。つまりインターネットそのものの主要系路となる部分へのDDoS攻撃となったため、それは結果として非常に多くのユーザーに「インターネットの遅延」を体感させた。

この「あと一歩でインターネットを壊しかねなかった」とさえ言われているDDoS攻撃において記録された攻撃トラフィック量は、ピーク時で300Gbps。つい1年ほど前まで史上最大級のDDoS攻撃だと考えられていた攻撃の一つだ（※）。そして今回のクレブスを襲った620Gbpsの攻撃ボリュームは、単純に言えば「2013年に世界を震撼させたDDoS攻撃の2倍強」ということになる。

しかし昨今では、100Gbpsを超えるDDoS攻撃がそれほど珍しくないものになりつつもある。たとえば今年1月、Arbor Networksが世界中のサービスプロバイダー、ホスト、モバイルサービスプロバイダーから354件の回答を集めて作成した2015年分の年次調査報告（PDFファイル）によれば、回答者から報告されたものの中で最も大きい攻撃は「500Gbps」で、他にも 450Gbps、425Gbps、337Gbpsといった数字が報告された。そのレポートには「ほぼ4分の1の回答者が、ピーク時で100Gbps以上の攻撃を報告した」とも記されている。

IoTのボットネットによる攻撃

この Arbor Networksの報告書には「反射攻撃（リフレクション攻撃）や増幅攻撃（amp攻撃）の人気は衰えていない」と記されていた。しかし一方で、今回のKrebs on Securityを狙ったDDoS攻撃はそれらの手法に頼ったものではなく、単純に「非常に多くのIoTデバイスで形成されたボットネットから発せられた攻撃」だという点も特徴的だった。Krebs on Securityは9月21日、同ブログが攻撃を受けていることを報告したときから、その問題に言及していた。

「この攻撃は、膨大な数の、いわゆる『IoT』のデバイス──インターネットに晒されている状態の脆弱な、あるいはハードコードされたパスワードで保護されているルーター、IPカメラ、デジタルビデオレコーダー（DVR）──を奴隷化したボットネットの助けを借りて行われたことが、いくつかの兆候から示されている」

クレブスは、9月17日にFlashpointとLevel 3 Threat Research Labsが掲載したばかりの記事「Attack of Things!」を紹介した。その報告によれば、IoTをベースとしたボットネットの攻撃は「Lizkebab」「BASHLITE」「Torlus」「gafgyt」などの名前を持った様々なマルウェアによって行われており、また、そのマルウェアのソースコードは2015年の前半に流出してから現在までに1ダース以上の亜種を生み出しているという。

彼らの説明によれば、それぞれのボットネットは、脆弱なデバイスをスキャンしてはマルウェアをインストールし、新しいホストへと広がっているという。このスキャニングは主に2つのモデルに分けられる。1つめは「telnetサーバーにポートスキャンを仕掛けるようボットに指示を出し、ユーザー名とパスワードのブルートフォースを通してデバイスのアクセスを得ようと試みるモデル」。2つめは「スキャニングに外部スキャナーを利用し、新しいボットを手に入れる（場合によってはボットネットのコントロールサーバー自体からスキャニングを行う）モデル」。この2つめのモデルはますます一般的になりつつあり、また感染の方法にも様々なバリエーションがあるという。

そしてクレブスは、今後もKrebs on Securityが「大規模なDDoS攻撃の脅威を最小限に抑える課題」について取り組んでいく予定だと語りつつも、このような「化け物級の攻撃」を、我々が「一般的な規模の攻撃」と見なすようになるまで、あまり時間はかからないのではないかとも予測した。このクレブスの予測を裏付けるようなニュースが一斉に流れたのは、その翌週のことだった。

ほぼ同時期に発生していた「990GbpsのDDoS攻撃」

9月27日、英国のITニュース『The Register』は、フランスのホスティングプロバイダー「OVH」を狙った2つのDDoS攻撃が、ピーク時で990Gbpsに達していたことを報じた。Krebs on Securityに投げつけられた620 Gbpsの1.5倍強、およそ1Tbpsとも呼べる今回の攻撃は、ほぼ間違いなく現時点での「史上最大のDDoS攻撃」だろう。この攻撃も、クレブスに襲いかかった攻撃と同じ「IoTのボットネットから発せられたDDoS攻撃」だった。

この話題は瞬く間に複数のニュースサイトで取り上げられたが、もともとそれを最初に発信していたのはOVH自身のチーフテクノロジーオフィサーOctave Klabaだった。Klabaは9月21日、つまりクレブスがDDoS攻撃の被害を最初に伝えたのとほぼ同じ時期に、「数日前から、我々は多くの甚大なDDoS攻撃を受けている」ということをツイートしていた。

This botnet with 145607 cameras/dvr (1-30Mbps per IP) is able to send >1.5Tbps DDoS. Type: tcp/ack, tcp/ack+psh, tcp/syn.

— Octave Klaba / Oles (@olesovhcom) 2016年9月23日

さらにKlabaのツイートは、この「14万5607台のカメラとDVRから成るボットネット」には1.5 TbpsのDDoS攻撃を送り込む能力があると説明した。そしてKlabaは、このボットネットに加わっているボット（つまり新たに奴隷化されたデバイス）の数が次第に増えている様子を48時間ごとにツイートで伝えていった。この攻撃を複数のニュースサイトが伝えたとき、ボットの数は「15万2000台以上」まで膨らんでいたが、その後も増加は止まらず、9月29日の報告では「18万6000台」を超える数字となった。

（その8につづく）

※実際には西方氏が2年前に指摘しているとおり、2014年には「CoudFlareの顧客に対する400GbpsのDNS amp攻撃」があったとも報告されている。しかし、こちらは詳細が明かされていないためか、Spamhausよりも地味な話題として扱われている。