ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (7) 驚愕の1Tbps級DDoS攻撃

江添 佳代子

October 26, 2016 08:00
by 江添 佳代子

ここで昨今のDDoS攻撃の拡大傾向と、今回の「620Gbps」というボリュームについて確認してみよう。

「前代未聞の規模のDDoS攻撃」と聞いたとき、多くのセキュリティ関係者が真っ先に思い出すのは、スパム対策の非営利団体「Spamhaus」を標的とした2013年のDDoS攻撃だろう。このとき最初の矛先となったSpamhaus は、米国のセキュリティ企業「CloudFlare」の協力で困難を乗り越えたが、それに苛立った攻撃者たちはCloudFlare、およびCloudFlareが接続している世界中のネットワークのインフラを狙った攻撃を開始した。つまりインターネットそのものの主要系路となる部分へのDDoS攻撃となったため、それは結果として非常に多くのユーザーに「インターネットの遅延」を体感させた。

この「あと一歩でインターネットを壊しかねなかった」とさえ言われているDDoS攻撃において記録された攻撃トラフィック量は、ピーク時で300Gbps。つい1年ほど前まで史上最大級のDDoS攻撃だと考えられていた攻撃の一つだ(※)。そして今回のクレブスを襲った620Gbpsの攻撃ボリュームは、単純に言えば「2013年に世界を震撼させたDDoS攻撃の2倍強」ということになる。

しかし昨今では、100Gbpsを超えるDDoS攻撃がそれほど珍しくないものになりつつもある。たとえば今年1月、Arbor Networksが世界中のサービスプロバイダー、ホスト、モバイルサービスプロバイダーから354件の回答を集めて作成した2015年分の年次調査報告(PDFファイル)によれば、回答者から報告されたものの中で最も大きい攻撃は「500Gbps」で、他にも 450Gbps、425Gbps、337Gbpsといった数字が報告された。そのレポートには「ほぼ4分の1の回答者が、ピーク時で100Gbps以上の攻撃を報告した」とも記されている。

IoTのボットネットによる攻撃

この Arbor Networksの報告書には「反射攻撃(リフレクション攻撃)や増幅攻撃(amp攻撃)の人気は衰えていない」と記されていた。しかし一方で、今回のKrebs on Securityを狙ったDDoS攻撃はそれらの手法に頼ったものではなく、単純に「非常に多くのIoTデバイスで形成されたボットネットから発せられた攻撃」だという点も特徴的だった。Krebs on Securityは9月21日、同ブログが攻撃を受けていることを報告したときから、その問題に言及していた。

「この攻撃は、膨大な数の、いわゆる『IoT』のデバイス──インターネットに晒されている状態の脆弱な、あるいはハードコードされたパスワードで保護されているルーター、IPカメラ、デジタルビデオレコーダー(DVR)──を奴隷化したボットネットの助けを借りて行われたことが、いくつかの兆候から示されている」

クレブスは、9月17日にFlashpointとLevel 3 Threat Research Labsが掲載したばかりの記事「Attack of Things!」を紹介した。その報告によれば、IoTをベースとしたボットネットの攻撃は「Lizkebab」「BASHLITE」「Torlus」「gafgyt」などの名前を持った様々なマルウェアによって行われており、また、そのマルウェアのソースコードは2015年の前半に流出してから現在までに1ダース以上の亜種を生み出しているという。

彼らの説明によれば、それぞれのボットネットは、脆弱なデバイスをスキャンしてはマルウェアをインストールし、新しいホストへと広がっているという。このスキャニングは主に2つのモデルに分けられる。1つめは「telnetサーバーにポートスキャンを仕掛けるようボットに指示を出し、ユーザー名とパスワードのブルートフォースを通してデバイスのアクセスを得ようと試みるモデル」。2つめは「スキャニングに外部スキャナーを利用し、新しいボットを手に入れる(場合によってはボットネットのコントロールサーバー自体からスキャニングを行う)モデル」。この2つめのモデルはますます一般的になりつつあり、また感染の方法にも様々なバリエーションがあるという。

そしてクレブスは、今後もKrebs on Securityが「大規模なDDoS攻撃の脅威を最小限に抑える課題」について取り組んでいく予定だと語りつつも、このような「化け物級の攻撃」を、我々が「一般的な規模の攻撃」と見なすようになるまで、あまり時間はかからないのではないかとも予測した。このクレブスの予測を裏付けるようなニュースが一斉に流れたのは、その翌週のことだった。

ほぼ同時期に発生していた「990GbpsのDDoS攻撃」

9月27日、英国のITニュース『The Register』は、フランスのホスティングプロバイダー「OVH」を狙った2つのDDoS攻撃が、ピーク時で990Gbpsに達していたことを報じた。Krebs on Securityに投げつけられた620 Gbpsの1.5倍強、およそ1Tbpsとも呼べる今回の攻撃は、ほぼ間違いなく現時点での「史上最大のDDoS攻撃」だろう。この攻撃も、クレブスに襲いかかった攻撃と同じ「IoTのボットネットから発せられたDDoS攻撃」だった。

この話題は瞬く間に複数のニュースサイトで取り上げられたが、もともとそれを最初に発信していたのはOVH自身のチーフテクノロジーオフィサーOctave Klabaだった。Klabaは9月21日、つまりクレブスがDDoS攻撃の被害を最初に伝えたのとほぼ同じ時期に、「数日前から、我々は多くの甚大なDDoS攻撃を受けている」ということをツイートしていた。

さらにKlabaのツイートは、この「14万5607台のカメラとDVRから成るボットネット」には1.5 TbpsのDDoS攻撃を送り込む能力があると説明した。そしてKlabaは、このボットネットに加わっているボット(つまり新たに奴隷化されたデバイス)の数が次第に増えている様子を48時間ごとにツイートで伝えていった。この攻撃を複数のニュースサイトが伝えたとき、ボットの数は「15万2000台以上」まで膨らんでいたが、その後も増加は止まらず、9月29日の報告では「18万6000台」を超える数字となった。

その8につづく

※実際には西方氏が2年前に指摘しているとおり、2014年には「CoudFlareの顧客に対する400GbpsのDNS amp攻撃」があったとも報告されている。しかし、こちらは詳細が明かされていないためか、Spamhausよりも地味な話題として扱われている。




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…