2月23日、DDoS攻撃対策を中心としたセキュリティ製品を提供するアーバーネットワークス(Arbor Networks)は、サービスプロバイダーを対象とした調査レポートを披露し、最新の攻撃の動機やメカニズムについて説明した。
DDoS攻撃の実態とそれを引き起こす背景
発表会において、米アーバーネットワークスのカルロス・モラレス氏はまず会社概要について説明した。アーバーネットワークスは1999年に設立されたITベンダーで、「Arbor Peakflow SP」をはじめとする通信事業者やデータセンター向けのDDoS対策製品を提供している。2004年には日本法人が設立されており、同日付でKDDIがDDoS攻撃対策としてArbor Peakflow SPを導入したことが発表されている。
米アーバーネットワークス グローバルセールス・エンジニアリング&オペレーション担当 バイスプレジデント カルロス・モラレス氏
続いてモラレス氏は、同社のセキュリティリサーチチームが年に1回の割合で提出している「ワールドワイド・インフラストラクチャ・セキュリティ」の2011年版について説明した。本レポートの対象はグローバルの114社で、サービスプロバイダーが半分を占めている。なお、期間は2010年10月~2011年9月までの1年間となっている。
同社の定義でもDDoS攻撃(Distributed Denial of Service Attack)は、インターネット上の分散型ボットを用いて、帯域を使い切るほどの大量のトラフィックを流したり、サーバーの処理能力をオーバーフローさせる攻撃を指す。調査では、91%の回答者が過去1年間では月に1回以上のDDoS攻撃があったと報告されており、2010年の76%から急増した。
こうしたサービスプロバイダーへのDDoS攻撃に相次ぐ背景として、同氏は思想的な動機に基づいた「Hactivism(ハクティビズム)」と、オンライン上の破壊行為である「Vandalism(バンダリズム)が増えていると説明した。「イデオロギが原因となる攻撃は、誰もが標的に可能性があることを意味する。SNSでの書き込みが原因で、攻撃されるといった事態も起こりえる」という。感情的な理由なので、攻撃は無差別で、インターネットに関わっている限り、攻撃対象とならないユーザーはいないという。
91%の回答者がDDoS攻撃の頻度が増加と回答
主要な動機は政治的な主張と破壊行為
また、攻撃の規模と範囲が急速に拡大し、1Gbpsの攻撃が40%以上、10Gbpsを超える攻撃も13%を超えるようになったという。最大の攻撃は、1秒あたり35Mpps(パケット/秒)におよんだそうだが、いたずらにトラフィックを拡大しているだけではなく、最適な攻撃量を調整しているとのことだ。
大規模な攻撃が一般化
アプリケーション層への攻撃でHTTPが急増
さらにアプリケーション層の攻撃は増えているのも最近の傾向。やはりHTTPが圧倒的に多く、DNSやSMTP、HTTPSなどの割合は逆に減っているとのこと。この背景には攻撃のツールが洗練され、使いやすくなっている点があるという。「ポイント&クリックで攻撃ができ、オンラインヘルプすらもある」(モラレス氏)とのことで、高度なDDoS攻撃が簡単に実現できるようになっていると警告した。攻撃手法は古典的なSYNフラッドのほか、同じURLへの連続リクエスト、SSLへのTCP/UDPフラッドなどがとられるという。
DDoS対策はやはりサービスプロバイダー側で
その他、モラレス氏はIPv6への攻撃が初めて検出されたこと、モバイルインフラの攻撃が増えたほか、国境を越えた攻撃の増加により、国単位でのフィルタリングが進み、インターネットのセグメント化が進む危険性があると指摘した。さらにDDoS攻撃などでファイアウォールやIPSの障害、ロードバランサーの性能低下などにつながっている調査も明らかになっており、サーバーやアプリケーションだけではなく、インフラを防御するためにもDDoS対策が必要になるようだ。
モバイルインフラ向けのDDoS攻撃も増加
データセンター内の機器にも攻撃がおよぶ
こうしたDDoS攻撃の対策に関してモラレス氏は、「最終的にエンドユーザーが対策をとるべきだが、ウイルスの感染とは違うので、実際には難しい。とはいえ、通信事業者はユーザーのトラフィックをブロックするのに消極的で、対策を講じるモチベーションがない。そうなると、最終的にはISPに責任が負わされることになる」と指摘。現状では、可視化や遮断などの対策は十分といえず、今後はサービスプロバイダーで積極的にDDoS対策を進めていく必要があるようだ。
