F5 Distributed Cloud Servicesが新たなL7 DDoS攻撃に立ち向かう
F5は2022年、エッジベースのセキュリティを必要とする企業組織に対してWebアプリケーションとAPIの保護を提供し、サービスとして利用できるDistributed Cloud Servicesを発表しました。今日の相互接続された世界ではサイバー脅威が増加しており、組織は重要なインフラストラクチャを新しい、進化し続ける攻撃から保護する態勢を整えなくてはなりません。最も一般的なタイプのサイバー攻撃の一つが、DDoS攻撃(分散型サービス拒否攻撃)です。この攻撃は最大規模のWebサイトやオンライン サービスでも停止させてしまう場合があります。
先頃、Killnetとして知られるロシア寄りの有名な政治的ハッカー グループが、欧州の大規模組織に対して巧妙なL7 DDoS攻撃を仕掛けました。この攻撃は、会社のサーバーに最大120,000 RPSの攻撃トラフィックによって、ユーザーがWebサイトにアクセスできなくすることを目的としたものでした。しかし、F5 Security Operations Center(SOC)の努力とF5 Distributed Cloud Servicesの高度なDDoS緩和機能によって、攻撃の緩和に成功し、攻撃中もWebサイトの運用を継続させることができました。この攻撃は、同グループを発端とし、過去数週間にわたって繰り広げられていた複数のDDoSキャンペーンの一つでした。
注:これは一週間にわたって行われた一連の激しい攻撃キャンペーンですが、緩和に成功した結果、このブログに掲載できることとなりました。
このDDoS攻撃は、世界中の複数の地域から仕掛けられました。上の地図の灰色の点は攻撃元を表し、赤い四角マークはF5 Global Networkの接続拠点で、アプリケーションの攻撃トラフィックをフィルターで遮断し、正当なトラフィックが受け入れられた場所を表しています。
Killnetからの攻撃の主な特徴の一つは、アプリケーション層(L7)を狙うという点です。これらの攻撃は特に検知や緩和が困難です。それは、攻撃が正常なユーザー行動を模倣する(正当なトラフィックとの区別が困難)だけでなく、複数のアプリケーション攻撃ベクトルや改変機能(さまざまなソース ロケーション、IP、その他の攻撃要素の循環など)が関与しているためです。
たとえトラフィック源が19か国の35個の異なるIPアドレスに分散されていても、攻撃トラフィックの攻撃元となっているのはわずか3つのTLSフィンガープリントです。上の図にあるように、攻撃トラフィックの72%が1つのTLSフィンガープリントから仕掛けられています。このフィンガープリントはTofseeマルウェアとの関連性があるとされ、Tofseeに感染したシステムがDDoSボットネットの一部として利用されます。
F5 SOCでは、トラフィック フィルタリング、IPインテリジェンス、レート制限など、攻撃から防御するためにさまざまな戦略をとっています。このような多岐にわたる戦略によってチームは、正当なトラフィックをWebサイトに受け入れながら、悪質なトラフィックのみを識別してブロックすることができます。悪質なトラフィックの緩和に必要なもう一つの重要な要素は、リアルタイムの脅威インテリジェンスとL7 DDoS自動緩和機能をチームで使用することです。これによって、人間が介在する必要なく攻撃をあらゆる側面から阻止できます。この情報を使用すると、地理的場所、さまざまなIPアドレス、新しい攻撃経路をたどるうちに攻撃が進化していっても、攻撃者を出し抜いて防御対策を迅速に調整することができます。
KillnetなどのグループによるL7 DDoS攻撃の緩和に成功したことは、ニューノーマルを表しているといってよいでしょう。このように攻撃が抑制されたことで、複数の階層にわたるセキュリティ インフラストラクチャを整備し、十分な訓練を受けたセキュリティ チームがリアルタイムでサポートすることの重要性が明らかになりました。トラフィックのフィルタリング、レート制限、クラウドベースのDDoSスクラビング、リアルタイムの脅威インテリジェンス、綿密な障害復旧計画を組み合わせて利用することにより、組織はインフラストラクチャやアプリケーションを標的とする非常に巧妙なDDoS攻撃からも身を守ることができます。
現在攻撃を受けていて、緊急にF5 Distributed Cloud Servicesについて情報を入手されたい場合は、当社の緊急サポート窓口((866) 329-4253または+1 (206) 272-7969)までご連絡ください。