ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (7) 驚愕の1Tbps級DDoS攻撃

江添 佳代子

October 26, 2016 08:00
by 江添 佳代子

ここで昨今のDDoS攻撃の拡大傾向と、今回の「620Gbps」というボリュームについて確認してみよう。

「前代未聞の規模のDDoS攻撃」と聞いたとき、多くのセキュリティ関係者が真っ先に思い出すのは、スパム対策の非営利団体「Spamhaus」を標的とした2013年のDDoS攻撃だろう。このとき最初の矛先となったSpamhaus は、米国のセキュリティ企業「CloudFlare」の協力で困難を乗り越えたが、それに苛立った攻撃者たちはCloudFlare、およびCloudFlareが接続している世界中のネットワークのインフラを狙った攻撃を開始した。つまりインターネットそのものの主要系路となる部分へのDDoS攻撃となったため、それは結果として非常に多くのユーザーに「インターネットの遅延」を体感させた。

この「あと一歩でインターネットを壊しかねなかった」とさえ言われているDDoS攻撃において記録された攻撃トラフィック量は、ピーク時で300Gbps。つい1年ほど前まで史上最大級のDDoS攻撃だと考えられていた攻撃の一つだ(※)。そして今回のクレブスを襲った620Gbpsの攻撃ボリュームは、単純に言えば「2013年に世界を震撼させたDDoS攻撃の2倍強」ということになる。

しかし昨今では、100Gbpsを超えるDDoS攻撃がそれほど珍しくないものになりつつもある。たとえば今年1月、Arbor Networksが世界中のサービスプロバイダー、ホスト、モバイルサービスプロバイダーから354件の回答を集めて作成した2015年分の年次調査報告(PDFファイル)によれば、回答者から報告されたものの中で最も大きい攻撃は「500Gbps」で、他にも 450Gbps、425Gbps、337Gbpsといった数字が報告された。そのレポートには「ほぼ4分の1の回答者が、ピーク時で100Gbps以上の攻撃を報告した」とも記されている。

IoTのボットネットによる攻撃

この Arbor Networksの報告書には「反射攻撃(リフレクション攻撃)や増幅攻撃(amp攻撃)の人気は衰えていない」と記されていた。しかし一方で、今回のKrebs on Securityを狙ったDDoS攻撃はそれらの手法に頼ったものではなく、単純に「非常に多くのIoTデバイスで形成されたボットネットから発せられた攻撃」だという点も特徴的だった。Krebs on Securityは9月21日、同ブログが攻撃を受けていることを報告したときから、その問題に言及していた。

「この攻撃は、膨大な数の、いわゆる『IoT』のデバイス──インターネットに晒されている状態の脆弱な、あるいはハードコードされたパスワードで保護されているルーター、IPカメラ、デジタルビデオレコーダー(DVR)──を奴隷化したボットネットの助けを借りて行われたことが、いくつかの兆候から示されている」

クレブスは、9月17日にFlashpointとLevel 3 Threat Research Labsが掲載したばかりの記事「Attack of Things!」を紹介した。その報告によれば、IoTをベースとしたボットネットの攻撃は「Lizkebab」「BASHLITE」「Torlus」「gafgyt」などの名前を持った様々なマルウェアによって行われており、また、そのマルウェアのソースコードは2015年の前半に流出してから現在までに1ダース以上の亜種を生み出しているという。

彼らの説明によれば、それぞれのボットネットは、脆弱なデバイスをスキャンしてはマルウェアをインストールし、新しいホストへと広がっているという。このスキャニングは主に2つのモデルに分けられる。1つめは「telnetサーバーにポートスキャンを仕掛けるようボットに指示を出し、ユーザー名とパスワードのブルートフォースを通してデバイスのアクセスを得ようと試みるモデル」。2つめは「スキャニングに外部スキャナーを利用し、新しいボットを手に入れる(場合によってはボットネットのコントロールサーバー自体からスキャニングを行う)モデル」。この2つめのモデルはますます一般的になりつつあり、また感染の方法にも様々なバリエーションがあるという。

そしてクレブスは、今後もKrebs on Securityが「大規模なDDoS攻撃の脅威を最小限に抑える課題」について取り組んでいく予定だと語りつつも、このような「化け物級の攻撃」を、我々が「一般的な規模の攻撃」と見なすようになるまで、あまり時間はかからないのではないかとも予測した。このクレブスの予測を裏付けるようなニュースが一斉に流れたのは、その翌週のことだった。

ほぼ同時期に発生していた「990GbpsのDDoS攻撃」

9月27日、英国のITニュース『The Register』は、フランスのホスティングプロバイダー「OVH」を狙った2つのDDoS攻撃が、ピーク時で990Gbpsに達していたことを報じた。Krebs on Securityに投げつけられた620 Gbpsの1.5倍強、およそ1Tbpsとも呼べる今回の攻撃は、ほぼ間違いなく現時点での「史上最大のDDoS攻撃」だろう。この攻撃も、クレブスに襲いかかった攻撃と同じ「IoTのボットネットから発せられたDDoS攻撃」だった。

この話題は瞬く間に複数のニュースサイトで取り上げられたが、もともとそれを最初に発信していたのはOVH自身のチーフテクノロジーオフィサーOctave Klabaだった。Klabaは9月21日、つまりクレブスがDDoS攻撃の被害を最初に伝えたのとほぼ同じ時期に、「数日前から、我々は多くの甚大なDDoS攻撃を受けている」ということをツイートしていた。

さらにKlabaのツイートは、この「14万5607台のカメラとDVRから成るボットネット」には1.5 TbpsのDDoS攻撃を送り込む能力があると説明した。そしてKlabaは、このボットネットに加わっているボット(つまり新たに奴隷化されたデバイス)の数が次第に増えている様子を48時間ごとにツイートで伝えていった。この攻撃を複数のニュースサイトが伝えたとき、ボットの数は「15万2000台以上」まで膨らんでいたが、その後も増加は止まらず、9月29日の報告では「18万6000台」を超える数字となった。

その8につづく

※実際には西方氏が2年前に指摘しているとおり、2014年には「CoudFlareの顧客に対する400GbpsのDNS amp攻撃」があったとも報告されている。しかし、こちらは詳細が明かされていないためか、Spamhausよりも地味な話題として扱われている。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

パスワードに代わる認証!? アリババの新たな試み

April 24, 2018 08:00

by 牧野武文

中国で普及したQRコード方式スマホ決済。普及とともにセキュリティリスクも指摘され、1日の利用限度額などの制限もかけられるようになった。そこで、アリババでは、セキュリティが確保でき、かつ認証操作が簡単な認証方式が追求されている。そのひとつとして、画像による認証方式がアリペイに搭載されたと中国のニュース…

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…