2026年5月、インド有数の公的金融機関が、ネットワーク帯域幅と境界インフラの双方を標的とした、高度なマルチベクトル型の分散型サービス妨害(DDoS)攻撃に直面しました。本記事では、同行史上最大規模となったこの攻撃を、Akamaiがインフラへ到達する前にネットワークエッジでいかに無効化したかを解説します。圧倒的なトラフィックや複雑な攻撃手法に対抗するため、防御をエッジへ移行し、継続的な保護モデルを構築するための実践的な視点を提供します。
攻撃者は入念な事前の偵察を通じて、複数のバンキングアプリケーションで使われている重要なログインエンドポイントを特定していました。もし攻撃が成功していれば、顧客のアクセスは遮断され、ユーザーはログインしてアプリケーションを利用できなくなっていたでしょう。
5月3日に発生した攻撃は、ピーク時で1.72 Tbps、約2,300万パケット/秒(Mpps)に達しました。これは、多くの境界防御が持つ帯域幅やコンピューティングリソースを容易に飽和させるトラフィック量です(図1)。これは、5月13日に次の攻撃が発生するまで、同行史上最大のDDoS攻撃でした。その2回目、5月13日に発生した攻撃は、ピーク時で1.78 Tbps、約1億7,100万パケット/秒に達しました(図2)。
これほど大規模かつ複雑な攻撃キャンペーンであったにもかかわらず、トラフィックが同行のインフラに到達することはなく、顧客がサービス中断を経験することもありませんでした。Akamaiは、常時稼働するプラットフォームのキャパシティ、事前設定済みのカスタマイズされた保護機能、そして銀行とAkamaiのSecurity Operations Command Center(SOCC)との連携を組み合わせることで、ネットワークエッジで攻撃を無効化したのです。
同行の最高セキュリティ責任者(CSO)は次のように述べています。「Akamaiの支援により、当行史上最大のDDoS攻撃をシームレスに緩和できました。あれほど大規模な攻撃であったにもかかわらず、悪意のあるトラフィックは当行の環境に一切到達せず、お客様へのサービスに影響は出ませんでした」
これら2つのインシデントは、サイバーセキュリティにおける新たな現実を浮き彫りにしています。すなわち、レジリエンス(回復力)はもはや攻撃緩和能力だけに依存するものではないということです。組織には、攻撃が発生する前に、進化する脅威に合わせて防御を継続的に適応させることができるセキュリティパートナーも求められています。
高度に調整されたグローバル規模のDDoS攻撃
5月3日と5月13日、どちらの攻撃も複数のサービスを同時に標的とし、世界中に分散したインフラを悪用して運用上の負荷を最大化していました。さらに、悪意のあるトラフィックの大半はAkamaiのブラジルにあるスクラビングセンターに集中し、残りのトラフィックは世界中に広がるAkamaiのスクラビングロケーションに分散していました(図3、図4)。両方の攻撃において、攻撃トラフィックの約29%が主要な緩和リージョン以外から発生しており、このキャンペーンが極めて分散された性質を持っていたことがわかります。
攻撃者は単一のフラッド攻撃に頼るのではなく、帯域幅とコンピューティングリソースの両方を枯渇させることを狙い、複数の手法とターゲットを組み合わせた波状攻撃を仕掛けました。このような組織的な動きは、現代のDDoS攻撃がいかに進化し続けているかを示しています。攻撃者は、膨大なトラフィック量に加えて、攻撃ベクトルの迅速な切り替えや分散型インフラを組み合わせることで、トラフィックを飽和させると同時に運用面での対応を複雑化させようとします。
攻撃の時間はわずか数分間でした。Akamaiがエッジでほぼ瞬時にトラフィックを緩和したため、攻撃者は攻撃を継続しても無意味だと判断したのです。重要なのは、攻撃中にAkamaiが追加の緩和インフラを新たに展開したり起動させたりする必要がなかった点です。銀行の要件に合わせてカスタマイズされた既存のプラットフォームのキャパシティと事前設定されたコントロールが、トラフィックを即座に吸収しフィルタリングしました。
常時保護と事前対策による脅威の緩和
クラウドベースのDDoS緩和サービスであるAkamai Prolexicは、DDoS緩和の大部分を担い、悪意のあるトラフィックが銀行のインフラに影響を与える前に、Akamaiのネットワークエッジ全体で大規模に吸収しました。しかし、プラットフォームの規模だけで結果が決まったわけではありません。
Akamai SOCCは銀行側と緊密に連携し、時間をかけてセキュリティ体制を段階的に強化していました。攻撃中に不可欠であることが証明された主な活動と準備は次のとおりです。
- 継続的な分析
- トラフィックのプロファイリング
- プロアクティブな要塞化とポスチャ管理
Akamai SOCCのセキュリティアーキテクトは、多大な時間を費やして以下に取り組みました。
- 銀行の通常のトラフィックパターンの把握
- サービス間のアクティビティの相関分析
- 銀行の環境に特化した、事前設定済みのDDoS保護ポリシーの設計
Akamaiは、Prolexic Network Cloud Firewallと独自のDDoS緩和プロファイルを使用してこれらの保護を実装しました。それにより、正規ユーザーに影響を与えることなく、悪意のあるトラフィックを即座に特定してブロックすることが可能になりました。自動化されたプラットフォームの保護機能と、人間による運用上の専門知識の組み合わせが、極めて効果的な「システムと人間の協調による防御モデル」を生み出したのです。
標準の保護機能が攻撃ベクトルの大部分を自動的に緩和する一方で、Akamai SOCCはトラフィックの挙動を監視し、極めて標的を絞った攻撃や進化するベクトルにリアルタイムで対応するために保護機能を微調整しました。同様に重要な点として、攻撃中にこれらの保護が稼働している間、Akamaiによる誤検知は一切ありませんでした。
つまり、積極的かつ正確に攻撃がブロックされたことを意味します。この結果は、Akamai SOCCチームが事前に行った分析とチューニングの精度の高さを裏付けています。
「Akamai SOCCの専門知識と緊密なパートナーシップにより、銀行のサービスを中断することなく、次々と進化するサイバー脅威の波に耐えることができました。彼らの継続的なコンサルティング、プロアクティブなガイダンス、そして常時稼働のサポートは、私たちのレジリエンスを高め、最大規模の攻撃にも対処できるという自信を与えてくれました」と同行の最高セキュリティ責任者は述べています。
DNSセキュリティが果たす重要な役割
インシデント期間中、Prolexicによる緩和だけでなく、Akamaiの幅広いセキュリティスタックも銀行のレジリエンスに貢献しました。Akamai Secure Internet Accessは、トラフィックの可視性と分類の精度向上を目的とした継続的なチューニングと最適化を通じて、銀行のDNSセキュリティ体制を支えました。
この取り組みにより、プラットフォームは攻撃中も正当な銀行業務の通信と悪意のあるトラフィックを見分けることができ、顧客への継続的なアクセスを維持しながら有害なリクエストをブロックできました。現代のDDoS防御は、単なる緩和のキャパシティだけでなく、複数のコントロールポイントにおける可視性と精度にますます依存するようになっているため、このような多層的なアプローチが重要になります。
公共機関や金融機関が標的になり続ける理由
サービスの可用性が顧客の信頼、事業継続性、そして市場の信用に直結するため、金融機関は依然としてDDoS攻撃の標的になりやすいセクターのトップクラスに位置しています。現在、銀行はカスタマーポータル、API、モバイルアプリケーション、決済インフラ、サードパーティとの連携機能にまたがる巨大なデジタルエコシステムを動かしています。攻撃者は、それらのサービスを停止させれば、即座に運用上および評判上の損害を与えられることを理解しています。
さらに、攻撃ツールも急速に進化し続けています。現在、攻撃者はAI主導のボットネット、分散型攻撃インフラ、そして自動化が進む攻撃の連携を、比較的低コストで悪用できるようになりました。その結果、以下を組み合わせた攻撃が増加しています。
- 圧倒的なトラフィック量
- マルチベクトル攻撃の連携
- グローバルに分散されたインフラ
- 迅速な攻撃手法の適応
- 防御側を疲弊させるための執拗な波状攻撃
インドの銀行を標的とした2つの攻撃は、上記の攻撃要素が急速に統合されたことで、従来の境界アーキテクチャを圧倒するキャンペーンになり得ることを完璧に示しています。
Webが人間中心からAIなどのエージェント主導へと進化し、攻撃者がAIを用いて攻撃ベクトルの切り替えを自動化する中、Akamaiは防御をエッジへと移行させることでこれに対抗しています。リアルタイムのインテリジェンスを活用し、マシンスピードで迫る攻撃がコアルーターやクラウドインフラに到達する前に阻止します。
防御の成否を分ける「継続的な保護」
これらの攻撃から得られる最も重要な教訓の1つは、レジリエンスは最初の悪意のあるパケットが到達するずっと前から始まっているということです。事後対応的な緩和モデルに依存している組織は、攻撃が急速に進化したり複数のベクトルが同時に組み合わされたりすると、対応に苦慮することが多くなります。対照的に、継続的な保護モデルを採用すれば、インシデントが発生する前に、防御側がコントロールを調整し、トラフィックの挙動を検証し、緩和戦略を洗練させることができます。
防御の成否を分けたのは、その入念な準備でした。同行史上最大のDDoS攻撃に直面したにもかかわらず、次のような成果が得られました。
攻撃トラフィックは銀行のインフラに一切到達しなかった
銀行サービスに障害は発生しなかった
正規ユーザーに対する誤検知は発生しなかった
Akamaiのプラットフォームのキャパシティ、常時稼働するProlexicの保護機能、事前に調整されたACL(アクセスコントロールリスト)、そしてAkamai SOCCとの継続的な連携を組み合わせることで、銀行は攻撃中もサービスを中断することなく維持できました。
巧妙化する現代の攻撃に耐えうるレジリエンス
現代のDDoS攻撃は、その規模、連携、複雑さともに増大し続けています。組織はもはや、攻撃が単発の単純なフラッド攻撃としてやってきたり、予測可能なパターンに従ったりすると想定することはできません。むしろ、インフラのキャパシティ、運用上の連携、そして防御の適応力を同時に試すような攻撃キャンペーンに備える必要があります。
これらのインシデントは、現代のサイバーレジリエンスが実際にどうあるべきかを証明しています。すなわち、地球規模の緩和能力に、継続的な保護、プロアクティブなチューニング、そして経験豊富な運用連携を組み合わせることです。スピードと複雑さによって定義される脅威の状況において、組織がサービスを継続できるか、それとも中断してしまうかは、この組み合わせによって決まるのです。
自社のDDoS対策に不安をお持ちの方へ
Tags