2016年サイバーセキュリティ重大トピックス (7) 史上最高の「1Tbps超」DDoS攻撃が発生。誰もが誰にでも巨大DDoSができる時代

西方望

January 20, 2017 08:00
by 西方望

多数のネットワーク機器から1ヵ所に大きな負荷を掛けるDDoS(Disributed Denial of Services:分散型サービス拒否)攻撃は非常にやっかいな代物だ。

大規模なDDoSに対しては、即時的・効果的な防御手段はほとんどなく、高速なサーバー、広帯域の回線、多数の機器による負荷分散を備えたようなサービスであっても、いったん狙われればサービス不能状態に陥ってしまう危険性が高い。さらに始末の悪いことにDDoS攻撃は年々その激しさを増しており、攻撃の最大規模の記録は毎年のように更新されている。そして前項で述べたように、2016年もまた史上最大規模と言われるDDoS攻撃が発生した。それも何度も。

1秒間にBlu-rayディスク3枚ぶんのデータが飛んでくる

まず記録を塗り替えたのは、9月に起きたセキュリティジャーナリストとして名高いブライアン・クレブス氏のサイト「Krebs On Security」への攻撃だ。これについては本サイトに江添佳代子氏による非常に詳しい記事が掲載されているので、事件の詳細についてはこちらを参照いただきたい。Akamaiのレポートによれば、この攻撃は実に623Gbpsもの規模になったという。

つまり1秒に623ギガビットものデータが送られてきたということだ。623Gbと言ってもピンと来ないかもしれないが、バイトに直せば約78GB、1秒あたりBlu-rayディスク3枚ぶん以上に相当する。現状最大サイズの10TBのハードディスクが2分少しで埋まる量だ(実際にはSATAの帯域をはるかに超えるので無理だが)。

DDoS攻撃に対する効果的な防御手段はほとんどない、と冒頭に書いたが、現状最も有効と思われるのは、CDN(コンテンツ・デリバリー・ネットワーク)が提供するDDoS対策サービスだろう。多数の機器による巨大なネットワークを持つCDNであれば、DDoSの大量のトラフィックを捌き、他へ転送したり分散したりすることによってDDoSを緩和することが可能だ。そしてクレブス氏は、CDNの最大手、インターネットの隠れた巨人とも言われるAkamaiのDDoS対策サービスを利用していたが、江添氏の記事にもあるとおり今回のDDoSの規模はAkamaiも太刀打ちできないレベルのものであった。

そしてクレブス氏への攻撃とほぼ同じかやや遅れて、フランスのISPであるOVH社がDDoS攻撃を受け、同社はこれが1Tbpsの規模だったとしている。さらに10月には、DNSサービスを運営するアメリカのDyn社が攻撃に見舞われた。これにより同社サービスを利用するTwitterやNetflixと言った日本でよく知られたサービスへの接続が困難になったため、日本のニュースや新聞でもこの事件は大きく報じられたので記憶されている方も多いだろう。この攻撃の規模は実に1.2Tbpsとも報じられた(ただしDyn社は「今のところ我々はその主張を裏付けることはできない」と述べている)。

個人でも手軽に攻撃ができる時代

上述のように1Tbps、1.2Tbpsというのは確定した話ではないが、クレブス氏への攻撃の623Gbpsというのはほぼ確実であり、これだけでも前年までの記録の1.5〜2倍近い(諸説あるため)数値だ。だが何より恐ろしいのは、この史上最大規模のDDoS攻撃に狙われたのが政府機関でも大企業でもなく、個人の運営するサイトだという点にある。クレブス氏は高名なセキュリティジャーナリストではあるが、Krebs On Securityはセキュリティ企業や大手メディアのバックアップがあるわけでもない、基本的には個人ブログなのだ。

もちろんクレブス氏は、ずっとスパム企業やDDoSサービス運営者を厳しく糾弾し続けているため、その恨みを買うというのはむしろ当然で、実際今まで何度もかなりの規模のDDoSを受けている。だがそれでも、世界で最も大きなトラフィックを捌く能力を持っているはずのAkamaiが音を上げるほどの攻撃を個人が受けるというのは驚くしかない。

当然ながらクレブス氏は「個人」といっても特殊な例ではあるが、今回の事件では、個人であっても冗談では済まない規模のDDoSを受ける可能性がある時代に突入していることを改めて実感させられた。今や、DDoSはわずかな料金で誰にでも実行できるというのはすでに2年前にもお伝えした通りだ。もちろんこういったレンタルDDoSサービスには数十、数百Gbpsといった世間の耳目を集める規模の攻撃ができるほどの能力はないと思われるが、個人の自宅回線を使用不能にする程度なら100Mbpsもあれば十分だろう。

もう誰もDDoSとは無縁でいられない

いや、一時的に使用不能にされる程度ならまだいい。クレブス氏がAkamaiのサービスを停止させられたように、また日本でもDDoSを受けた被害者がホスティングサービスの契約を解除されたことがたびたび話題になるように、こちらには何の落ち度もないのに過剰なトラフィックを理由としてISPから回線使用契約を打ち切られる可能性もでてくる。誰かのささいな恨みを買ったせいで、突然自宅に大量のデータが押し寄せてそのような結果を招く、というのはもはや現実的なシナリオと言える。実際、Lizard Squadの顧客情報が漏れた際、おそらく個人が運営しているであろうゲームサーバーが数多く攻撃されたことがわかっている。もう誰もDDoSとは無縁でいられないのだ。

企業にとっても事態は深刻だ。そもそもDDoSというのはハッカーにとって直接カネにしにくい攻撃手法だった。企業サイトをDDoSで落としたところでそれ自体は一銭にもならないのだ。DDoSで脅してカネをゆすり取ろうとする、といった行為も行われてはいるものの、ランサムウェアなどに比べて手間やリスクが大きい割に実入りは少ないと思われる。だからこそDDoSレンタルサービスを運営して小銭を集めようという発想になるわけだ。だが、Tbps級の強力な武器を持っているとなれば話が別だ。

この規模ならどんなネットサービスに対してでも多大なダメージを与えられるだろう。ネットサービス主体の企業であれば、これが株価下落を招くことになり得る。つまり株価操作の手段としてのDDoSだ。実際Dynへの攻撃で関連企業の株価は影響を受けており、その目的で行われたものという可能性は否定できない。

またネットサービス企業でなくとも、今やWebサイトが長期にわたってアクセスできなければ信用にかなり傷が付く。製品やサービスに不満を持ったせいで、「炎上」の尻馬に乗った幼稚な正義感で、単なる嫌がらせや愉快犯で、ハッカーでも何でもないただの人が企業サイトにそのレベルのDDoSをかけることが可能なのだ。前述のようにDDoSに対する有効な防御策は少ないが、できる策は講じておくべきだろう。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…