2016年サイバーセキュリティ重大トピックス (7) 史上最高の「1Tbps超」DDoS攻撃が発生。誰もが誰にでも巨大DDoSができる時代

西方望

January 20, 2017 08:00
by 西方望

多数のネットワーク機器から1ヵ所に大きな負荷を掛けるDDoS(Disributed Denial of Services:分散型サービス拒否)攻撃は非常にやっかいな代物だ。

大規模なDDoSに対しては、即時的・効果的な防御手段はほとんどなく、高速なサーバー、広帯域の回線、多数の機器による負荷分散を備えたようなサービスであっても、いったん狙われればサービス不能状態に陥ってしまう危険性が高い。さらに始末の悪いことにDDoS攻撃は年々その激しさを増しており、攻撃の最大規模の記録は毎年のように更新されている。そして前項で述べたように、2016年もまた史上最大規模と言われるDDoS攻撃が発生した。それも何度も。

1秒間にBlu-rayディスク3枚ぶんのデータが飛んでくる

まず記録を塗り替えたのは、9月に起きたセキュリティジャーナリストとして名高いブライアン・クレブス氏のサイト「Krebs On Security」への攻撃だ。これについては本サイトに江添佳代子氏による非常に詳しい記事が掲載されているので、事件の詳細についてはこちらを参照いただきたい。Akamaiのレポートによれば、この攻撃は実に623Gbpsもの規模になったという。

つまり1秒に623ギガビットものデータが送られてきたということだ。623Gbと言ってもピンと来ないかもしれないが、バイトに直せば約78GB、1秒あたりBlu-rayディスク3枚ぶん以上に相当する。現状最大サイズの10TBのハードディスクが2分少しで埋まる量だ(実際にはSATAの帯域をはるかに超えるので無理だが)。

DDoS攻撃に対する効果的な防御手段はほとんどない、と冒頭に書いたが、現状最も有効と思われるのは、CDN(コンテンツ・デリバリー・ネットワーク)が提供するDDoS対策サービスだろう。多数の機器による巨大なネットワークを持つCDNであれば、DDoSの大量のトラフィックを捌き、他へ転送したり分散したりすることによってDDoSを緩和することが可能だ。そしてクレブス氏は、CDNの最大手、インターネットの隠れた巨人とも言われるAkamaiのDDoS対策サービスを利用していたが、江添氏の記事にもあるとおり今回のDDoSの規模はAkamaiも太刀打ちできないレベルのものであった。

そしてクレブス氏への攻撃とほぼ同じかやや遅れて、フランスのISPであるOVH社がDDoS攻撃を受け、同社はこれが1Tbpsの規模だったとしている。さらに10月には、DNSサービスを運営するアメリカのDyn社が攻撃に見舞われた。これにより同社サービスを利用するTwitterやNetflixと言った日本でよく知られたサービスへの接続が困難になったため、日本のニュースや新聞でもこの事件は大きく報じられたので記憶されている方も多いだろう。この攻撃の規模は実に1.2Tbpsとも報じられた(ただしDyn社は「今のところ我々はその主張を裏付けることはできない」と述べている)。

個人でも手軽に攻撃ができる時代

上述のように1Tbps、1.2Tbpsというのは確定した話ではないが、クレブス氏への攻撃の623Gbpsというのはほぼ確実であり、これだけでも前年までの記録の1.5〜2倍近い(諸説あるため)数値だ。だが何より恐ろしいのは、この史上最大規模のDDoS攻撃に狙われたのが政府機関でも大企業でもなく、個人の運営するサイトだという点にある。クレブス氏は高名なセキュリティジャーナリストではあるが、Krebs On Securityはセキュリティ企業や大手メディアのバックアップがあるわけでもない、基本的には個人ブログなのだ。

もちろんクレブス氏は、ずっとスパム企業やDDoSサービス運営者を厳しく糾弾し続けているため、その恨みを買うというのはむしろ当然で、実際今まで何度もかなりの規模のDDoSを受けている。だがそれでも、世界で最も大きなトラフィックを捌く能力を持っているはずのAkamaiが音を上げるほどの攻撃を個人が受けるというのは驚くしかない。

当然ながらクレブス氏は「個人」といっても特殊な例ではあるが、今回の事件では、個人であっても冗談では済まない規模のDDoSを受ける可能性がある時代に突入していることを改めて実感させられた。今や、DDoSはわずかな料金で誰にでも実行できるというのはすでに2年前にもお伝えした通りだ。もちろんこういったレンタルDDoSサービスには数十、数百Gbpsといった世間の耳目を集める規模の攻撃ができるほどの能力はないと思われるが、個人の自宅回線を使用不能にする程度なら100Mbpsもあれば十分だろう。

もう誰もDDoSとは無縁でいられない

いや、一時的に使用不能にされる程度ならまだいい。クレブス氏がAkamaiのサービスを停止させられたように、また日本でもDDoSを受けた被害者がホスティングサービスの契約を解除されたことがたびたび話題になるように、こちらには何の落ち度もないのに過剰なトラフィックを理由としてISPから回線使用契約を打ち切られる可能性もでてくる。誰かのささいな恨みを買ったせいで、突然自宅に大量のデータが押し寄せてそのような結果を招く、というのはもはや現実的なシナリオと言える。実際、Lizard Squadの顧客情報が漏れた際、おそらく個人が運営しているであろうゲームサーバーが数多く攻撃されたことがわかっている。もう誰もDDoSとは無縁でいられないのだ。

企業にとっても事態は深刻だ。そもそもDDoSというのはハッカーにとって直接カネにしにくい攻撃手法だった。企業サイトをDDoSで落としたところでそれ自体は一銭にもならないのだ。DDoSで脅してカネをゆすり取ろうとする、といった行為も行われてはいるものの、ランサムウェアなどに比べて手間やリスクが大きい割に実入りは少ないと思われる。だからこそDDoSレンタルサービスを運営して小銭を集めようという発想になるわけだ。だが、Tbps級の強力な武器を持っているとなれば話が別だ。

この規模ならどんなネットサービスに対してでも多大なダメージを与えられるだろう。ネットサービス主体の企業であれば、これが株価下落を招くことになり得る。つまり株価操作の手段としてのDDoSだ。実際Dynへの攻撃で関連企業の株価は影響を受けており、その目的で行われたものという可能性は否定できない。

またネットサービス企業でなくとも、今やWebサイトが長期にわたってアクセスできなければ信用にかなり傷が付く。製品やサービスに不満を持ったせいで、「炎上」の尻馬に乗った幼稚な正義感で、単なる嫌がらせや愉快犯で、ハッカーでも何でもないただの人が企業サイトにそのレベルのDDoSをかけることが可能なのだ。前述のようにDDoSに対する有効な防御策は少ないが、できる策は講じておくべきだろう。




ダークウェブで自動車爆弾を購入した英国青年は、いかにして特定されたか

December 15, 2017 08:00

by 江添 佳代子

2017年11月7日、爆発物の購入を試みた疑いで逮捕されていた19歳の英国人男性に有罪判決が下った。この事件には2つの注目すべき点がある。ひとつは、英国がサイバー犯罪の捜査で爆破事件を未然に防いだかもしれないという点。もうひとつは、「ダークウェブの利用者が捜査で特定された最新の事例かもしれない」とい…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (3) IoTのセキュリティを誰が守るのか

December 13, 2017 08:00

by 牧野武文

年々増加するIoT機器への攻撃。吉岡准教授によると現在はまだアーリーステージで単純な攻撃が多く、高度な攻撃が始まるのはこれからだと言う。それを見越して先に予防策を講じておくことが重要で、産官学の連携を取ることにより、日本製のIoT機器の強みに転化していくという発想が重要だという。 責任の所在が不明確…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (2) 攻撃者の狙いはDDoS攻撃

December 12, 2017 08:00

by 牧野武文

前回は吉岡准教授に、IoT機器への攻撃は主に3種類あることを聞いた。では、攻撃者は一体何を目的としてIoT機器を攻撃するのだろうか。 悪意の薄い「覗き見」 しゃ 覗き見から次の悪意が生まれるIoT機器、特にIPカメラの攻撃で最も多いのは「いたずら」「好奇心」によるものだ。「Insecam」というサイ…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (1) 感染機器は数十万台以上? IoTがサイバー攻撃者に狙われる理由

December 11, 2017 08:00

by 牧野武文

生活や業務のシーンに広く使われるようになったIoT機器。IPカメラ、IPプリンター、スマートウォッチなどはすでに当たり前のように使われるようになった。「1人1台」のPCやスマートフォンと比べると「1人複数台」のIoT機器は、爆発的に台数を増やしている。一方で、IoT機器に対するセキュリティ意識は低い…