BLOG

アプリケーションプロテクションレポート:2022年のDDoS攻撃の傾向

Published May 25, 2022

はじめに

2021年の分散型サービス妨害(DDoS)攻撃は、いくつかの興味深い展開を見せました。マネージドDDoS保護サービスなどを提供するF5のSilverlineチームが収集した攻撃データを分析したところ、DDoS攻撃の全体数は2020年と比較してわずかに減少したものの、その規模や複雑さは大幅に増加したという興味深い傾向が明らかになりました。(図1参照) DDoS攻撃用の新しいボットネットを構築するために攻撃者がよく使用するSSHを標的とした攻撃は、緩やかではあるが着実に減少している一方で、ルーターなどの消費者向け機器の脆弱性が急速に悪用され、これらのボットネットに参加させられるようになりました。欧州警察機構のインターネット組織犯罪脅威評価(IOCTA)などの報告書によると、脅威者は、被害者に圧力をかけてランサムウェア攻撃の要求を支払わせるために、DDoS攻撃をますます利用するようになっていることが強調されています。この手法を用いることが知られているグループには、Avaddon、DarkSide、Ragnar Locker、Sodinokibiなどがあります。組織的なサイバー犯罪者でさえ、DDoS攻撃の脅威を認識しているのです。また、IOCTAは、オンラインの違法なマーケットプレイスの管理者が、競合他社からのDDoS攻撃から身を守るために、自らの防御力を向上させていると報告しています。

サマリー

  • - Silverlineは過去最大のDDoS攻撃を軽減し、ピーク時には2020年の最大攻撃の約5.5倍となる1.4Tbps弱を達成しました。
  • - DDoS攻撃の全体件数は、2020年から2021年にかけて3%減少しました。
  • - 中小規模のDDoS攻撃(250Gbpsまで)は5%減少しました。
  • - 250Gbps以上のDDoS攻撃は1,300%増加した。
  • - 全攻撃の25%以上が標的となった金融は、2021年に最も攻撃された部門となった。
  • - ボリューメトリック(ネットワークフラッド)DDoS攻撃は依然として最も多く、全攻撃の59%を占めています。
  • - プロトコルDDoS攻撃とアプリケーションDDoS攻撃は、2021年にそれぞれ2%、5%増加しました。
  • - TCP DDoS攻撃は、2020年と比較して2021年にはほぼ倍増し、全攻撃の27%を占めるようになりました。

ATT&CKsのマッピング

最近の報告書では、MITRE ATT&CK フレームワークを更に活用し、我々の研究成果との一貫性を保ちつつ、他の研究との単純な比較を可能にするような方法で、発見と結論を示すことを試みています。
このため、本レポートでは、簡単に相互参照できるように ATT&CK の技術 ID を記載しています。表 1 は、DDoS の専門用語と ATT&CK テクニックとの対応関係を示しています。

2021年 DDoS攻撃を数字で見る

Silverlineチームの攻撃実データを分析し、2020年と比較して、攻撃の規模、複雑さ、頻度がどのように変化したかを確認しました。

攻撃の規模が拡大

DDoS攻撃は、2021年の開始から年末にかけて顕著な減少を示しましたが、攻撃頻度は過去2年間ある程度一定しており、2021年は2020年より3%少ないだけでした。しかし、図2は2021年中に攻撃頻度が全体的に減少したことを示す一方で、攻撃規模がかなり拡大したことも示しています。ピーク時の攻撃サイズは2020年を通して200Mbps前後で安定していましたが、2021年2月に状況が一変し、F5 Silverlineチームは500Mbpsという過去最大の攻撃を検知し、攻撃緩和に成功しました。しかし、この記録は長くは続かず、2021年にはますます大規模な攻撃が発生し、11月には1.4Tbpsの攻撃が発生しました。攻撃規模のピークだけでなく、平均的な攻撃規模も大きくなっています。2020年第1四半期の平均攻撃規模は5Gbps、2021年第4四半期には21Gbpsを超えました。

図3は、DDOS攻撃の規模別頻度を示しており、100Mbps以下が最も多いです。サイズによって一律に頻度が下がるかと思いきや、図3では1~3Gbpsの攻撃が非常に多く、それ以下の攻撃よりも頻度が高いことが分かります。同様に、10Gbpsから30Gbpsの攻撃は、6Gbpsから10Gbpsの攻撃よりも頻度が高いことがわかります。これは、同様の傾向を示している弊社の「2020年からのDDoS攻撃動向」の調査結果と一致しています。

Silverline、過去最大の攻撃から防衛

2021年11月、Silverlineはこれまでで最大の攻撃を観測・緩和しました(図4参照)。 ISP/ホスティングの顧客を狙ったこの大きな攻撃は、わずか4分間で最大攻撃帯域幅の約1.4Tbpsに達し、わずか1.5分間で終了しました。

この攻撃では、ボリューミーな手法(DNSリフレクション)とアプリケーション層(HTTPS GETフラッド)を組み合わせて使用されました。興味深いことに、反射型DNS増幅攻撃によって発生した膨大な量のネットワークトラフィックは、HTTPS GETフラッドによって発生した100Mbpsのネットワークトラフィックを凌駕しています。このことは、アプリケーション層への攻撃の深刻さを軽減するものではありません。アプリケーション層 DDoS 攻撃の目標は、ネットワーク帯域幅を消費することではなく、アプリケーションサーバを圧倒することです。したがって、100 Mbps のトラフィックは DNS 応答のフラッドに比べれば小さなものに見えますが、HTTPS 攻撃トラフィックが要求したリソースやクエリーは、Web またはデータベースサーバを容易に消費する可能性がありました。

この大きな攻撃はわずか4分間で終了し、わずか1.5分で最大約1.4Tbpsの攻撃帯域幅に到達しました。

攻撃用IPアドレスやターゲットIPアドレスのジオロケーションは、今日ではほとんど関係ありません。攻撃者は、世界のどこにいても脆弱なデバイスを攻撃しますし、Silverlineのような防御側は、攻撃負荷を分散させるために、すべての主要大陸にスクラビングセンターを設置しています。とはいえ、攻撃トラフィックの大部分は、シンガポール、米国東海岸、およびドイツにあるSilverlineのスクラビングセンターで処理されており、攻撃対象デバイスの大部分がアジアにあることを示唆している点は興味深いです(表2参照)。

複雑な攻撃が増加

2021年を通して、DDoS攻撃の最も一般的な形態は、ATT&CKの言葉を利用すると、ボリューメトリック、または”ダイレクトネットワークフラッド(T1498.001)”テクニックであり続けています。ボリューメトリック攻撃は、脆弱性や侵害されたサードパーティシステム、高度な専門知識を必要としない、シンプルで効果的な攻撃です。一般に公開されているDDoSツールやサービス(ストレッサーと呼ばれる)は、被害者のネットワーク帯域幅が対処できる以上のトラフィックを送信する攻撃を開始することができます。攻撃者の実際のIPアドレスを隠蔽するUDPリフレクション攻撃と組み合わせることで、ボリュームのあるDoS攻撃は、多くの脅威行為者にとって、引き続き有効なDDoS攻撃となるでしょう。

しかし、DDoSの数値は引き続きボリューメトリック攻撃が主流ですが、図5によると、2021年には、プロトコルおよびアプリケーションタイプの攻撃へと若干のシフトが見られました。一般に、ボリュームのある攻撃を軽減することは容易ですが、プロトコルアプリケーションの攻撃は、本物のアプリケーショントラフィックのように見えることがあるため、かなり困難なものとなっています。アプリケーション型DDoS攻撃は、2020年と比較して5%近く増加し、最も大きな変化が見られました)。

2021年、DDoS攻撃に使用されるプロトコルに大きな変化が見られました。UDPはステートレスであるため、脅威者が実際のIPアドレスを隠してリフレクション攻撃を行うことができるため、長い間、攻撃者に好んで選ばれてきたトランスポートプロトコルでした。2020年には、全攻撃の83%がUDPベースであり、TCPを使用した攻撃はわずか17%でした。これが2021年には大きく変化し、27%の攻撃にTCPが使用されるようになりました。これは、より複雑なプロトコルやアプリケーションのDDoS攻撃((Endpoint Denial of Service T1499)と相関しており、多くの場合、ステートフルTCPプロトコルを必要とします。

2021年には、DDoS攻撃の27%がTCPを使用し、2020年よりも10%増加しました。

データを深く掘り下げてみると、2021年に使われたDDoSの手法としては、単純なUDP(無反射)攻撃が最も多いことがわかります(図6参照)。しかし、ボリュームのある攻撃が全体の59%を占めているにもかかわらず、3番目、4番目、5番目に多い攻撃タイプは、プロトコルベースとアプリケーションベースでした。

HTTP(S)DoS攻撃は、DDoS攻撃の中でも最も一般的ではない手法ですが、不思議なことに、前述の最大1.4Tbps攻撃では、この手法が使用されています。この記録的な攻撃では、DNS リフレクションと HTTPS GETS を組み合わせて使用しており、攻撃者はアプリケーションスタックのできるだけ多くのポイントを標的にしていたことがうかがえます。DNS リフレクションはネットワーク帯域幅を消費し、HTTPS GETS はアプリケーションサーバを圧倒しようとするものです。

このようなマルチデバイス攻撃はよくあることです。使用されるベクトルが多ければ多いほど、防御側はサービス拒否を防ぐために多くのテクニックを駆使しなければなりません。2021年の初めには、単一ベクトルによる攻撃と比較して、複数ベクトルによるDDoS攻撃の数が非常に多くなりました。これは2021年末にかけて平準化され、シングルベクトル攻撃とマルチベクトル攻撃の数はほぼ同じになりました(図7参照)。

新たな攻撃手法

一般的な攻撃手法(図 6 参照)を調べても、すべてがわかるわけではありません。各攻撃手法の普及率の増減を比較することで、攻撃者がどのようにツールを変更し、改良を続ける DDoS 防御に適応しているかを知る上で有益な指標となります。
前年比の変化を調べる場合、各タイプの攻撃回数の変化率を計算したくなるものです。しかし、これでは誤解を招く数字になりかねず、誤った脅威の評価がなされる可能性があると感じています。たとえば、2020年から2021年にかけてのSNMPリフレクション攻撃の件数を単独で比較すると、129%という、DDoS攻撃の種類の中で圧倒的に大きな伸びを示しました。しかし、F5 SOCが観測した攻撃全体に占めるSNMPリフレクション攻撃の割合は、実際には低いものでした。その代わりに、図 8 に示すように、年ごとの割合の変化を比較しています。これでも各手法の増加または減少を反映していますが、この方法が攻撃で使用される可能性をよりよく反映していると考えています。

このプロセスにより、攻撃タイプで最も大きな変化があったのは、DNSクエリの増加であることが確認されました。DNSリフレクションは、圧倒的な数のDNS応答でネットワーク帯域を圧迫しようとしますが、DNSクエリーは、DNSサーバー自体を圧迫して、正規ユーザーが www.f5labs.com のようなドメインをそのIPアドレス(107.162.154.83)に解決できないようにしようとするものです。

最も一般的なDDoS攻撃の種類と、それが時間とともにどのように変化するかを評価する場合、現在最も一般的な種類と、それらがどのように変化したかの両方を確認することが重要です。過去1年間の変化だけを見ると、DNSリフレクション攻撃は大幅に減少していると結論づけられるかもしれません(図6参照)。相対的な数は減少していますが、DNSリフレクション攻撃は2021年時点でも2番目に多い攻撃手法であったことを忘れてはなりません(図6参照)。

2021年の産業分野別DDoS攻撃数

2020年のDDoS攻撃動向」レポートでは、サービス拒否攻撃の影響を最も大きく受けたのはテクノロジー分野でした。2021年では、攻撃者の焦点に変化が見られ、ターゲットとなる業界によってDDoSの手口がどのように異なるかを検証しました。

全体として最も標的とされた業界

2021年には、銀行・金融サービス・保険(BFSI)分野が最も標的となり、全攻撃の25%強を占めました(図9参照)。金融分野が受けた攻撃の回数は、2021年を通じて大きな変動はありませんでしたが、図10に見られるように、BFSIに対する攻撃の頻度は、過去2年間で着実に増加しています。

しかし、すべての分野でこのような成長が見られるわけではありません。テクノロジー分野は着実に減少しており、教育分野は9月と1月の新学期開始時に最も多く発生しています(図10参照)。

DDoSの種類別で最も狙われた業種

BFSI分野では、2021年に発生した攻撃の総数が最も多くなっていますが、DDoSの種類と手法に注目すると、少し異なる結果が得られます。図11は、各業界分野に対するアプリケーション、プロトコル、ボリュームのDDoS攻撃回数を示しています。1つのDDoS攻撃がマルチベクトル化され、1つまたは3つのDDoSタイプすべてが使用される可能性があることに注意してください。

教育分野や、特に電気通信分野は、プロトコルやアプリケーション層の攻撃と比較して、ボリューム型 DDoS 攻撃の割合が著しく高くなっています。

業種別最大規模の攻撃

BFSI分野は、最も多くの攻撃を受けただけでなく、2021年最大の攻撃のターゲットにもなっています。2021年のBFSIの平均攻撃規模は13Gbpsでしたが、この分野の最大攻撃はピークで900Gbpsに達しました。

興味深いことに、レクリエーション分野は、2021年の最大攻撃で共同2位を獲得しただけでなく、最も高い平均攻撃サイズで1位を獲得しています。レクリエーション分野を標的とした攻撃の平均帯域幅は493Gbpsでした(図12参照)。

一方、2021年に単独で最大の攻撃を受けた分野は、ISP/ホスティングで、攻撃のピークは1.4Tbpsでした。

DDoS攻撃はどこからやってくるのか

サービス妨害(DoS)攻撃は、侵入したサーバやIoT製品、ブロードバンドルータなどの消費者向けデバイスから行われることがほとんどです。
本レポートの作成にあたり、F5のDDoSスクラビングサービスであるSilverlineのデータだけでなく、パートナーであるEffluxioが取得した攻撃データも利用しました。その結果、有名な消費者向けルーター・ブランドを標的とした魅力的な攻撃キャンペーンが発見されました。この研究は現在進行中であり、次回の記事で取り上げる予定です。

結論と考察

2021年の攻撃回数は2020年に比べて若干減少したものの、DDoS攻撃は衰えていません。それどころか 規模も複雑さも増しているのです。攻撃者は、より複雑なプロトコルやアプリケーションのエンドポイント技術(T1499)を隠すために、ボリュームのあるネットワークDoS攻撃 (T1498)を使用しています。

DDoS 攻撃の多くは 1 時間未満、中には数分しか持続しないものもあり、その有効性、ひいては攻撃者の動機に疑問を抱くのはもっともなことです。しかし、脅威者は、たとえ短時間のサービスの中断であっても、劇的な結果をもたらすことを知っています。タイミングよく攻撃が行われれば、タイミングよく発売された製品が中断され、チケットの販売が中断され、ブランドや評判に影響を与える可能性があります。また、短期間ではあるが広帯域の攻撃を受けた場合、被害者はクラウド事業者やホスティングプロバイダーから多額のネットワーク使用料を請求される可能性があります。

このほか、DDoS攻撃の動機は、依然として様々です。政治的な意図で政敵を挑発したり、重要な国家インフラを攻撃するために利用したりすることもあれば、学生が教育機関に対して些細な恨みをぶつけることもあります。また、組織的な犯罪集団は、標的を脅し、恐喝するためにDoS攻撃を広く利用しています。犯罪者は、DDoS攻撃の脅威を利用して、被害者から身代金を脅し取ったり、進行中のランサムウェア攻撃の対象者にさらなる嫌がらせをしたりします。

今日、DDoS攻撃は、DDoS軽減サービスを利用することで軽減することができます。しかし、リスクを完全に取り除くことはできないため、真に効果的なソリューションには、社内のアプリケーションおよびネットワークセキュリティチームと密接に連携したマネージドサービスを利用することが必要です。この後の「推奨される軽減策」のセクションでは、DDoS 攻撃の手法によって異なる各コントロールがどのように役立つかについて、より詳しく説明します。

推奨される緩和策

MITRE ATT&CK フレームワークでは、DDoS 攻撃を制御するための推奨緩和策のリストが極めて少なく、実際にはたった 1 つしかありません。

ネットワーク トラフィックのフィルタリング(M1037)
このコントロールの核心は、悪意のあるトラフィックが損害を与える前に、それがネットワーク、デバイス、またはサービスに到達するのを防ぐことです。一般的には、ISP、クラウドセキュリティサービス、コンテンツ配信ネットワークなどを利用して、エンドポイント(Webサーバー)に到達するトラフィックを検査・制限する上流工程での制御が必要となります。

ネットワークという言葉が使われていますが、この緩和手法は、ネットワークパケットだけでなく、アプリケーショントラフィックの識別、検査、制御も指します。これを効果的に行うには、Web アプリと API を理解することが重要です。どのウェブページやデータベースクエリーがCPUやメモリの使用率を高めているのか?適切なDDoSクラウドスクラビングサービスは、バックエンドサービスに対するレイテンシーの増加を自動的に検出し、レート制限、CAPTCHAの実施、IPアドレスベースのブロッキングなどのコントロールを適用できるはずです。しかし、お客様のアプリケーションを深く理解することで、正規の顧客への影響を抑える微調整を行うことができます。
DDoS 攻撃から保護するために、以下の技術的/予防的なセキュリティ制御を行うことを推奨します。

  • - オンプレミスのソリューション、DDoS クラビングサービス、またはハイブリッドを使用して DDoS 防御を実装する。
  • - ネットワーク・ファイアウォールとWebアプリケーション・ファイアウォールの両方を使用する。
  • - アンチウィルス・ソリューションを使用して、マルウェアの感染を抑制する。
  • - ネットワークベースの侵入検知システムを使用する。
  • - パッチの迅速な適用をする。
  • - 送信元IPアドレスが偽装されたトラフィックをブロックする。
  • - レートリミッターで受信トラフィックの量を制限する。

参照ページ: 2022 Application Protection Report: DDoS Attack Trends

<日本語版制作>
石井 裕之 Solutions Engineer, F5 Japan