ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (7) 驚愕の1Tbps級DDoS攻撃

江添 佳代子

October 26, 2016 08:00
by 江添 佳代子

ここで昨今のDDoS攻撃の拡大傾向と、今回の「620Gbps」というボリュームについて確認してみよう。

「前代未聞の規模のDDoS攻撃」と聞いたとき、多くのセキュリティ関係者が真っ先に思い出すのは、スパム対策の非営利団体「Spamhaus」を標的とした2013年のDDoS攻撃だろう。このとき最初の矛先となったSpamhaus は、米国のセキュリティ企業「CloudFlare」の協力で困難を乗り越えたが、それに苛立った攻撃者たちはCloudFlare、およびCloudFlareが接続している世界中のネットワークのインフラを狙った攻撃を開始した。つまりインターネットそのものの主要系路となる部分へのDDoS攻撃となったため、それは結果として非常に多くのユーザーに「インターネットの遅延」を体感させた。

この「あと一歩でインターネットを壊しかねなかった」とさえ言われているDDoS攻撃において記録された攻撃トラフィック量は、ピーク時で300Gbps。つい1年ほど前まで史上最大級のDDoS攻撃だと考えられていた攻撃の一つだ(※)。そして今回のクレブスを襲った620Gbpsの攻撃ボリュームは、単純に言えば「2013年に世界を震撼させたDDoS攻撃の2倍強」ということになる。

しかし昨今では、100Gbpsを超えるDDoS攻撃がそれほど珍しくないものになりつつもある。たとえば今年1月、Arbor Networksが世界中のサービスプロバイダー、ホスト、モバイルサービスプロバイダーから354件の回答を集めて作成した2015年分の年次調査報告(PDFファイル)によれば、回答者から報告されたものの中で最も大きい攻撃は「500Gbps」で、他にも 450Gbps、425Gbps、337Gbpsといった数字が報告された。そのレポートには「ほぼ4分の1の回答者が、ピーク時で100Gbps以上の攻撃を報告した」とも記されている。

IoTのボットネットによる攻撃

この Arbor Networksの報告書には「反射攻撃(リフレクション攻撃)や増幅攻撃(amp攻撃)の人気は衰えていない」と記されていた。しかし一方で、今回のKrebs on Securityを狙ったDDoS攻撃はそれらの手法に頼ったものではなく、単純に「非常に多くのIoTデバイスで形成されたボットネットから発せられた攻撃」だという点も特徴的だった。Krebs on Securityは9月21日、同ブログが攻撃を受けていることを報告したときから、その問題に言及していた。

「この攻撃は、膨大な数の、いわゆる『IoT』のデバイス──インターネットに晒されている状態の脆弱な、あるいはハードコードされたパスワードで保護されているルーター、IPカメラ、デジタルビデオレコーダー(DVR)──を奴隷化したボットネットの助けを借りて行われたことが、いくつかの兆候から示されている」

クレブスは、9月17日にFlashpointとLevel 3 Threat Research Labsが掲載したばかりの記事「Attack of Things!」を紹介した。その報告によれば、IoTをベースとしたボットネットの攻撃は「Lizkebab」「BASHLITE」「Torlus」「gafgyt」などの名前を持った様々なマルウェアによって行われており、また、そのマルウェアのソースコードは2015年の前半に流出してから現在までに1ダース以上の亜種を生み出しているという。

彼らの説明によれば、それぞれのボットネットは、脆弱なデバイスをスキャンしてはマルウェアをインストールし、新しいホストへと広がっているという。このスキャニングは主に2つのモデルに分けられる。1つめは「telnetサーバーにポートスキャンを仕掛けるようボットに指示を出し、ユーザー名とパスワードのブルートフォースを通してデバイスのアクセスを得ようと試みるモデル」。2つめは「スキャニングに外部スキャナーを利用し、新しいボットを手に入れる(場合によってはボットネットのコントロールサーバー自体からスキャニングを行う)モデル」。この2つめのモデルはますます一般的になりつつあり、また感染の方法にも様々なバリエーションがあるという。

そしてクレブスは、今後もKrebs on Securityが「大規模なDDoS攻撃の脅威を最小限に抑える課題」について取り組んでいく予定だと語りつつも、このような「化け物級の攻撃」を、我々が「一般的な規模の攻撃」と見なすようになるまで、あまり時間はかからないのではないかとも予測した。このクレブスの予測を裏付けるようなニュースが一斉に流れたのは、その翌週のことだった。

ほぼ同時期に発生していた「990GbpsのDDoS攻撃」

9月27日、英国のITニュース『The Register』は、フランスのホスティングプロバイダー「OVH」を狙った2つのDDoS攻撃が、ピーク時で990Gbpsに達していたことを報じた。Krebs on Securityに投げつけられた620 Gbpsの1.5倍強、およそ1Tbpsとも呼べる今回の攻撃は、ほぼ間違いなく現時点での「史上最大のDDoS攻撃」だろう。この攻撃も、クレブスに襲いかかった攻撃と同じ「IoTのボットネットから発せられたDDoS攻撃」だった。

この話題は瞬く間に複数のニュースサイトで取り上げられたが、もともとそれを最初に発信していたのはOVH自身のチーフテクノロジーオフィサーOctave Klabaだった。Klabaは9月21日、つまりクレブスがDDoS攻撃の被害を最初に伝えたのとほぼ同じ時期に、「数日前から、我々は多くの甚大なDDoS攻撃を受けている」ということをツイートしていた。

さらにKlabaのツイートは、この「14万5607台のカメラとDVRから成るボットネット」には1.5 TbpsのDDoS攻撃を送り込む能力があると説明した。そしてKlabaは、このボットネットに加わっているボット(つまり新たに奴隷化されたデバイス)の数が次第に増えている様子を48時間ごとにツイートで伝えていった。この攻撃を複数のニュースサイトが伝えたとき、ボットの数は「15万2000台以上」まで膨らんでいたが、その後も増加は止まらず、9月29日の報告では「18万6000台」を超える数字となった。

その8につづく

※実際には西方氏が2年前に指摘しているとおり、2014年には「CoudFlareの顧客に対する400GbpsのDNS amp攻撃」があったとも報告されている。しかし、こちらは詳細が明かされていないためか、Spamhausよりも地味な話題として扱われている。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(前編)

January 11, 2018 08:00

by 江添 佳代子

ベトナム人民軍は2017年12月25日、1万人規模の新たな軍事サイバーユニット「Force 47」(47部隊)の存在を公にした。このForce47は、インターネット上の「誤った見解」と戦うための部隊で、すでに一部で活動を開始したと伝えられている。 共産党による一党独裁の社会主義国ベトナムでは、インタ…