アカマイ、2017 年第 2四半期「インターネットの現状/セキュリティレポート」を発表

PBot マルウェアの再出現、ドメイン生成アルゴリズム、Mirai コマンド&コントロールと攻撃対象との関係について分析 DDoS 攻撃は前期比28%増加、ウェブアプリケーション攻撃は同5%増加

Tokyo, Japan |

世界最大、かつ最も信頼性の高いクラウド・デリバリー・プラットフォームを有するアカマイ・テクノロジーズ・インク(NASDAQ:AKAM、以下アカマイ)は、2017 年第 2 四半期の「インターネットの現状/セキュリティレポート」を発表しました。

本レポートの最新データによると、DDoS攻撃とウェブアプリケーション攻撃が、再び増加に転じています。この増加の一因は、今期最強の DDoS 攻撃の基盤となった PBot DDoS マルウェアの再出現にあります。PBot は、攻撃者が十年以上前の PHP コードを使用して、アカマイが第 2 四半期に観測した中で最大の DDoS 攻撃を生成しました。攻撃者は、毎秒 75 ギガビット(Gbps)の DDoS 攻撃能力を備えたミニ DDoS ボットネットを作成することに成功しました。興味深いことに、PBot ボットネットは 400という比較的少数 ノードで構成されていながら、高レベルの攻撃トラフィックを生成しました。

もう一つ、「歴史は繰り返される」例として、Akamai Enterprise Threat Research チームの分析により、マルウェアのコマンド&コントロール(C2)インフラストラクチャで、ドメイン生成アルゴリズム(DGA)が使用されたことがわかりました。DGA は 2008 年に Conficker ワームで初めて利用され、現在もマルウェアの通信手段として頻繁に利用されています。同チームは、感染したネットワークの DNS ルックアップ率がクリーンなネットワークの約 15 倍であることを発見しました。これは、感染したネットワークにおいて、マルウェアからランダムに生成されたドメインにアクセスしようとする挙動の結果を意味しています。生成されたドメインのほとんどは登録されていないため、それらのドメインにアクセスしようとすると多くのノイズが発生しました。この例からも、感染したネットワークとクリーンなネットワークの動作特性の違いを分析することが、マルウェアの活動を特定する上で重要な一つの方法となっていると言えます。

2016 年 9 月に Mirai ボットネットが検出されたとき、アカマイは初期の標的の 1 つでした。アカマイのプラットフォームは、Mirai ボットネットの攻撃を受け続けましたが、防御に成功しています。アカマイのリサーチチームは Mirai 攻撃に対する独自の収集情報を利用して、ボットネットのさまざまな面について分析しています。第 2 四半期では特に C2 インフラストラクチャについて調査したところ、Mirai が他の多くのボットネットと同様に、DDoS 攻撃のコモディティ化を引き起こしていることが強く示唆されています。このボットネットの C2 ノードの多くは、特定の IP を攻撃していることが観測され、さらに多くのノードが「ペイ・フォー・プレイ」攻撃とみなされるものに加わっていたこともわかりました。この時Miraiの C2 ノードは、短時間特定のIP を攻撃すると、いったん活動をやめ、その後、再度出現して別の標的を攻撃していることが観測されました。

アカマイの Senior Security Advocate の Martin McKeay は次のように語っています。「攻撃者は、企業のセキュリティ対策の脆弱性を絶えず探しています。その脆弱性がより一般的で、より効果的であるほど、攻撃者はそこにより多くのエネルギーとリソースを費やします。Mirai ボットネットのような事象、WannaCry や Petya による攻撃、SQLi 攻撃の継続的な増加、PBot の再出現など、これらの事例から、攻撃者は新しいツールを使うだけでなく、大きな効果が実証されている古いツールに戻る可能性もあるということがわかります」。

データ:

本レポートではその他に以下の調査結果をまとめています。

  • DDoS 攻撃の件数は、3 四半期連続で減少した後、第 2 四半期には 28% 増加しました。
  • DDoS 攻撃者はこれまでになく執拗になる傾向。四半期全体で、平均 32 回も同じ標的を攻撃しています。あるゲーム会社は 合計558 回、1 日平均で約 6 回の攻撃を受けました。
  • エジプトは、頻繁な DDoS 攻撃に使用されるユニーク IP アドレスのオリジンが最も多い国で、世界全体の 32% を占めていました。前四半期は米国がトップで、エジプトは上位 5 ヶ国にも入っていませんでした。
  • 今四半期、DDoS 攻撃に使用されるデバイスは減少しました。ボリューム型 DDoS 攻撃に利用された IP アドレスの数は、59 万 5,000 件から 98% 減少して 1 万 1,000 件でした。
  • ウェブアプリケーション攻撃の件数は、前四半期比で 5%、前年比で 28% 増加しました。
  • SQLi 攻撃は今四半期に、ウェブアプリケーション攻撃の半数以上(51%)で使用されました。これは、前四半期比で 44% の増加で、第 2 四半期だけでおよそ 1 億 8,500 万のアラートを生成しました。

2017 年第 2 四半期の「インターネットの現状/セキュリティ」レポートは、http://akamai.me/2i9vrdz から無料でダウンロードいただけます。関連するグラフやデータは、http://akamai.me/2w6mI1v からダウンロードいただけます。

手法

2017 年第 2 四半期「インターネットの現状/セキュリティ」レポートでは、アカマイのグローバルインフラストラクチャから収集された攻撃データをもとに、社内の多様なチームによる調査を行っています。このレポートでは、Akamai Intelligent Platform から収集したデータを使用して、現在のクラウドセキュリティと脅威の状況の他、攻撃の傾向について分析しています。「インターネットの現状/セキュリティ」レポートには、Security Intelligence Response Team(SIRT)、Threat Research Unit、Information Security、Custom Analytics グループなど、アカマイのさまざまな部署からセキュリティの専門家が携わっています。

Akamai について

Akamai は世界で最も信頼された世界最大のクラウド配信プラットフォームを提供しています。使用するデバイス、時間、場所を問わず、お客様が安全性に優れた最高のデジタル体験を提供できるようにサポートします。Akamai の大規模な分散型プラットフォームは、世界 130 か国に 20 万台を超えるサーバーを擁する比類のない規模を誇り、お客様に優れたパフォーマンスと脅威からの保護を提供しています。Akamai のポートフォリオに含まれる、ウェブおよびモバイルパフォーマンス、クラウドセキュリティ、エンタープライズアクセス、動画配信の各ソリューションは、卓越した顧客サービスと 24 時間体制の監視によりサポートされています。大手金融機関、EC リーダー企業をはじめ、メディアおよびエンターテイメントプロバイダー、政府機関が Akamai を信頼する理由について、www.akamai.com/jp/ja/ または blogs.akamai.com/jp/ および Twitter@Akamai_JP で詳細をご紹介しています。

※アカマイとアカマイ・ロゴは、アカマイ・テクノロジーズ・インクの商標または登録商標です
※その他、記載されている会社名ならびに製品名は、各社の商標または登録商標です
※本プレスリリースの内容は、個別の事例に基づくものであり、個々の状況により変動しうるものです