Blog

2021年:急速に増加するボリューム型 DDOS 攻撃

Written by

Kazuhiro Nakanishi

April 09, 2021

※ このBlog 記事は2021.3.31に執筆されたTom EmmonsのBlog記事を翻訳した内容を元に作成しています。

2020 年の DDoS についての振り返りの記事では、非常に活発な脅威の状況について詳しく解説しました。主な脅威の事例として、過去最大規模の攻撃(1.44 Tbps および 809 Mpps)を緩和し、これまで以上に多様な業界の顧客に対する攻撃が増加し、また、世界各地の数千もの企業に影響を与えた最大規模の DDoS 脅迫キャンペーンがありました。そのため、2021 年に入っても攻撃者がDDoSを増加し続けているということに驚きはありませんでした。

主な傾向をいくつか見てみましょう。

攻撃者はペースを上げ、攻撃水準を引き上げている。2021 年だけでも(2021 年 3 月 24 日現在)、2019 年の 50 Gbps 超の攻撃の総数をすでに超えています。こうした規模の攻撃では、ほぼすべてのユーザーがオフラインになる可能性があります。

DDoS 攻撃は、ますます複雑になっている。Akamai が緩和したDDoS 攻撃のボリューム規模上位 6 件中 3 件は、過去 1 か月間に発生しており、そのうち 2 件はこれまでで最大規模の脅迫を伴うDDoS攻撃となっています。この直近 3 件の攻撃は、ヨーロッパのギャンブル業界の組織と、アジアのビデオゲーム業界の組織が標的でした。

攻撃者は今後もその範囲を広げていく。1 か月あたりの攻撃を受けたAkamai顧客数は引き続き記録的な数字に迫っており、地域や業界を問わず、攻撃の多様化が見られます。最近の分析では、攻撃を受けた顧客の数が 57% 増加している(前年比)ことを示しています。

図 1:緩和された DDoS 攻撃の上位 Gbps
図 2:年別の DDoS 攻撃と予測 棒グラフ = DDoS 攻撃数、赤線 = 50 Gbps 超の攻撃数

2021 年の統計は現在の合計に基づいて予測されます

ビットコインの高騰に反応した攻撃者は、明らかに攻撃を強化し、その範囲を広げる動きを見せており、DDoS 脅迫攻撃は過去のものという考えを一蹴しています。

最近の脅迫攻撃(800 Gbps 超のピーク値を記録した、ヨーロッパのギャンブル業界の会社を標的とした攻撃)は、2020 年 8 月中旬に始まった脅迫攻撃の広範囲にわたる再発以来、最も大きく、最も複雑な攻撃でした。DDoS攻撃キャンペーンの開始以降、威嚇的攻撃は 8 月の 200 Gbps 超から 9 月中旬までに 500 Gbps 超に拡大し、2021 年 2 月には 800 Gbps 超まで膨れ上がっています。

図 3:DDoS 脅迫と思われる攻撃 バブルサイズ = Mpps、色 = 脅迫攻撃のプロファイル

しかし、攻撃者の手口を物語るのは、攻撃の規模だけではありません。Akamai Security Intelligence Response Team の脅威アドバイザリ(2021 年 3 月 23 日原文公開)によると、攻撃者はIPプロトコル番号33 のDatagram Congestion Control Protocol(DCCP)を利用した、これまでにない DDoS 攻撃ベクトルを使用しています。この攻撃は、DCCP の SYN フラッドに似ていますが、実際にはボリューム型です。攻撃者はプロトコル 33 を悪用し、従来の伝送制御プロトコル(TCP)やユーザー・データグラム・プロトコル(UDP)のトラフィックフローに特化した防御の回避を試みます。この新しい DCCP DDoS 攻撃ベクトルは、Akamai SIRT による最新のプロトコル悪用の検出例にすぎません。

図 4:DDCP フロー図

DCCP プロトコルで検出された新しい DDoS 攻撃ベクトル  - The Record)

要点:攻撃者は、DDoS 攻撃を仕掛けるための新しく創造的な方法を絶えず模索しています。DCCP の悪用は、こうした犯罪行為の最新の事例と言えます。

前述の新しい DCCP 攻撃ベクトルに加えて、さらに大きな傾向の一部として、2021 年には DDoS キャンペーンの標的が拡大し、持続性が高まっています。最近では、特定の顧客 2 社の一連の IP アドレスを対象とした複数の攻撃キャンペーンが数日間にわたって発生しています。攻撃者は、攻撃に利用できる防御の弱点を絶えず模索するとともに、さまざまな攻撃ベクトルの組み合わせを試みました。ある攻撃では、攻撃者は 12 個近くの IP を標的にし、複数の DDoS 攻撃ベクトルをローテーションして、バックエンド環境を破壊する可能性を高めようとしました。実際、顧客に対して仕掛けられた DDoS 攻撃の 65% はマルチベクトルです

図 5:持続型の DDoS キャンペーン 1

それぞれの色は異なる宛先 IP を示す攻撃者は多数の宛先 IP から開始し、最終的に 2 つの IP に攻撃を集約した

図 6:持続型の DDoS キャンペーン 2

同じ顧客の複数の標的に対し、何日間にもわたって攻撃を加える

攻撃の傾向や観測結果から明らかですが、2021 年も引き続き多様な DDoS 攻撃が発生します。しかし、そうした攻撃に備える方法がないわけではありません。お決まりの言葉ですが、「平時にこそ有事に備える」ことが最も重要です。準備しておくことで、孤立無援で攻撃に対応したり、実際に攻撃を受けながら急場しのぎで防御しなければならない事態を回避できます。

今後の DDoS 攻撃予測では、引き続き拡大する攻撃によって次の 4 種の件数が引き上げられると予想されます。

  1. DDoS 攻撃の数
  2. 大規模な DDoS 攻撃の数(50 Gbps 超)
  3. DDoS の標的となる業界の数
  4. DDoS の標的となる組織の数
図 7:DDoS 攻撃:2020 年から現在まで バブルサイズ = Mpps 、色 = 年
図 8:顧客攻撃の傾向:2010 年から現在まで 青 = 合計、赤 = 50 Gbps 超

我々が観測した、2020 年と 2021 年の最初の数か月間の動向を踏まえたうえで、皆さまはこれと戦うためのDDoS 防御策をお持ちでしょうか?

いま、DDoS 攻撃や脅迫の脅威にさらされている場合は、Akamai DDoS ホットラインにお問い合わせください。すぐにサポートを受けられます。または、
ここをクリックしてカスタマイズされた脅威ブリーフィングにお申し込みください。

技術的な詳細情報や DDoS 関連のその他のリソースについては、以下のブログ投稿と資料をご覧ください。

日本語記事

英語記事



Written by

Kazuhiro Nakanishi

April 09, 2021