2015年第2四半期のDDoS攻撃件数は倍増、ルーターやプリンタも踏み台に

「家庭には乗っ取られる機器が大量に」アカマイ最新DDoS報告

2015年09月03日 14時00分更新

文● 谷崎朋子　編集● 大塚／TECH.ASCII.jp

　9月2日、アカマイ・テクノロジーズは先日発表した2015年第2四半期「インターネットの現状」セキュリティレポートの説明会を開催した。同レポートによると、DDoS攻撃の件数は昨年同期と比べて2倍以上に増え、100Gbpsを超える大規模攻撃が増加傾向にある。

アカマイ・テクノロジーズ最高技術責任者新村信氏

ゲーム業界だけを狙い撃ち、100Gbps超の大規模DDoS攻撃は12件

　アカマイのデータによると、2014年には「320Gbps」という最大規模のDDoS攻撃が発生しており、それと比べると2015年（第2四半期まで）は最大240Gbpsと、一見パワーダウンしているようにも見える。しかし、アカマイの新村信氏によれば、攻撃の「持続時間」が増える傾向にあり、影響力は大きいという。

　第2四半期に発生したDDoS攻撃の内訳を見ると、トラフィックが100Gbpsを超える攻撃は12件あった。うち10件がISPなどの通信事業者を狙ったもの、そして残りの2件がオンラインゲーム会社を狙ったものだったという。

　「ただし（通信事業者を狙った）10件のIPアドレスは、ISPがホスティングするオンラインゲーム会社のものだった。つまり、12件ともすべてゲーム業界がターゲットになっていると考えていい」（新村氏）。理由は、個人的な恨み、メディアからの注目度が高く名声を獲得できるなど、さまざまに推測される。

2015年第2四半期の大規模DDoS攻撃の発生状況

　一方で、攻撃トラフィックにより帯域を占拠するのではなく、ルーターやファイアウォールに大量の小さなパケットを送りつけ、通信不能にするタイプのDDoS攻撃も発生している。50Mpps（毎秒5000万パケット）を超える攻撃は5件あったという。この攻撃の場合、攻撃対象以外の周辺ルーターにも影響が及び、最終的にはISP全体に障害が発生する悪質なものだ。標的は、ソフトウェア会社などハイテク企業が中心となった。

SSDPリフレクター攻撃が“人気手法”、家庭用ルーターやプリンタがリスクに

　そのほかの傾向としては、特に100Gbps超のDDoS攻撃ではTCP SYNパケットやUDPパケットに大きなペイロードを付加する手法が目立ったという。たとえばSYNパケットは通常、数十バイト程度のサイズだが、これに800バイトを超える余分なデータを付加することで、ネットワーク機器に負荷をかける。「Webサイトそのものというよりも、その手前のネットワーク機器を詰まらせるのが目的と推測される」（新村氏）。

　なお、100Gbps超のDDoS攻撃のうち74.8％で使われた896バイトの追加ペイロード（ファイル）は同一のものだった。DDoS攻撃請負サービスでは、発信元を偽装して応答パケットを偽装先に送信させるリフレクター攻撃が多い。だが、今回のペイロードを増やすという仕掛けは、DDoS攻撃ツール「Spike」やDDoSボット「IptabLes/IptabLex」の手口と似ており、攻撃請負サービスとは異なる傾向が見られたと、新村氏は指摘する。

第2四半期に発生した100Gbps超のDDoS攻撃では、ある一定の傾向が見られたと新村氏

　なお、DDoS攻撃全体を見た場合、SYNフラッド攻撃とSSDP（Simple Service Discovery Protocol）リフレクター攻撃が最も多く利用されたことが分かった。特にSSDPリフレクター攻撃は簡単に実行できることと、SSDPを使うUPnP（ネットワーク接続するだけで自動的に各種設定を実施する機能）対応の未対策な家庭用ブロードバンドルーターやプリンタなどを踏み台にできるメリットから、“人気の高い攻撃手法”になりつつある。

　「家庭用ネットワークに存在する、管理されていない踏み台候補のデバイスは410万台と推測される。対策としては、ファイアウォールでSSDP通信を行うUDP1900ポートを遮断するなどの設定が有効だが、一般家庭で実施してもらうには難しく、対策が進んでいないのが現状だ」。

2014年第2四半期から2015年第2四半期におけるDDoS攻撃手法の推移

　実は昨年第2四半期に、DDoS攻撃発信元でランク外のことが多い日本が急浮上しているが、「これは去年6月に香港であった学生デモが背景にある。学生が住民投票のためのWebサイトを立ち上げたところ、何ものかが潰しにかかり、その際に日本の家庭内ルーターが大量に乗っ取られ、日本経由でパケットが大量送信された」。

　同攻撃ではDNSリフレクション攻撃が採用されたのだが、「重要なのは、日本の家庭には乗っ取られる機材が大量にあるということ」と新村氏は強調する。現在、DNSリフレクション攻撃対策として、通信の宛先ポートで破棄する行為は秘密の窃用にあたるという電気通信事業者法の解釈を変え、一定条件では正当な業務行為とするよう改正する方向にあるという。