ヨーロッパにおける記録的な DDoS 攻撃

執筆者

Craig Sparling and Max Gebhardt

September 15, 2022

Craig Sparling

執筆者

Craig Sparling

Craig Sparling は、Cloud Security 事業部の Product Manager です。Prolexic の買収に伴って Akamai に入社し、攻撃検知、ネットワーク監視、データ可視化、ユーザーインターフェースを専門としています。特に、お客様のニーズを理解し、お客様の実際の問題を解決できる強力かつ直感的なソリューションを生み出すことに力を入れています。

執筆者

Max Gebhardt

Max is a product marketing manager at Akamai, where he leads go-to-market strategies and messaging for the infrastructure security division. He blogs about threat research, market trends, customer challenges, and various cybersecurity solutions.

2022 年 9 月 12 日（月）、Akamai はヨーロッパにおいて新たに記録的な大規模 DDoS 攻撃を検知し、無事緩和しました。

あの攻撃者が戻ってきました。 

あるいは、より正確には、 7 月にヨーロッパで発生した記録的な DDoS 攻撃 を仕掛けたサイバー犯罪者がいまだに猛威を振るっている可能性があります。前回のインシデントから数週間、被害企業（東ヨーロッパを拠点とするお客様）は、巧妙な分散型サービス妨害（DDoS）攻撃を容赦なく受けており、パケット／秒（pps）DDoS のヨーロッパ新記録を打ち立てるに至りました。

2022 年 9 月 12 日（月）、Akamai は Prolexic プラットフォームでヨーロッパのお客様に対する史上最大規模の DDoS 攻撃を検知し、無事緩和しました。組織の事業活動の妨害を意図したこの大胆な攻撃により、攻撃トラフィックは 704.8 Mpps まで急上昇しました。

攻撃の分析

この継続的な攻撃キャンペーンでもわかるように、攻撃者は、テクニック、戦術、手法を絶えず進化させて防御網をかいくぐり、混乱の最大化を目論んでいます。この 2 件の記録的なインシデントの内訳を分析し、比較してみましょう。 

 

 

7 月の攻撃

9 月の攻撃

ピーク pps

659.6 Mpps

704.8 Mpps

累計の攻撃

75

201

ターゲットとなった IP

512

1813

ベクトル

UDP

UDP

分散状況

1 つの拠点

6 つの拠点

攻撃日

2022 年 7 月 21 日

2022 年 9 月 12 日

上位のスクラビング拠点

HKG、LON、TYO

HKG、TYO、LON

2022 年 6 月以前には、このお客様はプライマリのデータセンターに対する攻撃トラフィックしか把握していませんでした。しかし、このお客様は包括的な防御戦略の重要性を早期に認識し、全世界 12 か所の残りのデータセンターも Prolexic プラットフォームに移行して安心を確保しました。偶然にも、その後に攻撃キャンペーンが想定外の規模で拡大し、ヨーロッパから北米まで、全世界 6 か所の拠点が攻撃の対象になりました。こうした出来事は、攻撃者が 綿密な偵察を経てターゲットを攻撃する傾向がますます強くなっていることを表しています。 

攻撃緩和

この規模と複雑さの攻撃を阻止するために、Akamai は自動的な緩和策と人手による緩和策をバランスよく組み合わせて活用しました。99.8% の攻撃は、お客様の事前対応型の防御体制（Akamai Security Operations Command Center（SOCC）が実装した先制的なセキュリティ対策）のおかげで未然に緩和されました。別のベクトルを利用した残りの攻撃トラフィックとフォローアップ攻撃は、Akamai の最前線のセキュリティ対応要員により、速やかに緩和されました。世界中で DDoS 攻撃がますます巧妙になる中、多くのビジネスは社内セキュリティリソースの確保に苦慮する一方で、むしろ Akamai の SOCC の増員に期待するようになり、社内のインシデント対応チームの拡張オプションとして SOCC を活用することを模索しています。

攻撃者の指揮管理システムは、複数のターゲットに対するマルチ攻撃を間髪入れずに発動させ、60 秒間で 1 分あたりのアクティブ IP が 100 IP から 1,813 IP まで増加しました。これらの IP は、6 つの拠点にある 8 つの独立したサブネットに分散していました。この非常に分散した攻撃により、準備不足のセキュリティチームは膨大な数のアラートに翻弄され、攻撃への対応は言うまでもなく、深刻度と侵入範囲の評価もままならない状況でした。 Senior Vice President 兼 General Manager of Infrastructure Security の Sean Lyons は次のように述べています。「Akamai Prolexic の DDoS に特化した文化、さらにお客様のインフラ設計と履歴を重視する姿勢は、最も複雑で多面的な攻撃を防御してきたことがルーツとなっています。私たちのプラットフォームは、「不確実な状況」でも迅速に脅威を緩和する専用のツールを備えています」

Akamai Prolexic の DDoS に特化した文化、さらにお客様のインフラ設計と履歴を重視する姿勢は、最も複雑で多面的な攻撃を防御してきたことがルーツとなっています。私たちのプラットフォームは、「不確実な状況」でも迅速に脅威を緩和する専用のツールを備えています。

Sean Lyons、Senior Vice President 兼 General Manager of Infrastructure Security
1 分あたりの個別 IP 数

結論

実績のある DDoS 緩和戦略とプラットフォームの導入は、ビジネスをダウンタイムや混乱から守るために不可欠です。詳細については、 Akamai の業界をリードする DDoS ソリューション をご覧になり、私たちの高度な攻撃防御機能がますます巧妙になる脅威から組織の安全を保つためにどのように役立つのかご確認ください。 

サイバー脅威にお困りの方 

こちらをクリックして、 24 時間体制の緊急 DDoS 防御についてご覧ください。

DDoS リスクを最小限に抑えるためのガイダンス

  • Cybersecurity and Infrastructure Security Agency（CISA）の推奨事項を今すぐ検討し実施してください。 

  • 重要なサブネットと IP スペースを調べて、それらに緩和制御が適用されていることを確認します。

  • DDoS セキュリティ制御を防御の第一層である「Always-on」の緩和対策に組み入れることで、緊急インテグレーションを回避し、インシデント対応者の負担を軽減してください。実績に裏付けられた信頼できるクラウドベースプロバイダーを利用していない場合は、すぐに探してください。 

  • 事前に緊急対応チームを招集し、ランブックとインシデント対応計画が最新の状態になっていることを確認してください。たとえば、致命的なイベントに対処するためのプレイブックはありますか？そのプレイブック内の連絡先は更新されていますか？今は使われていない技術資産や、すでに退職した人が参照されているプレイブックは役に立ちません。

組織を守るために取り得る対応策の詳細については、以下の CISA リソースをご覧ください。

