高度化が続くDDoS攻撃
~ MiraiによるDDoS攻撃はIoTからLinuxサーバーに移行 ~
2019年6月27日
NETSCOUTが本年4月に発行した「年次ワールドワイド・インフラストラクチャー・セキュリティ・レポート 第14版(WISR)」では、防御と攻撃によるモグラたたきゲームの様相が明らかになっています。しかし、過去のWISRを振り返ってみると、変化しているように見えて本質はそれほど変わっていません。
新たなエクスプロイトが出現すると決して消えることはありません。数年という周期で急激に増えては減少しますが、再び息を吹き返します。Memcachedサーバーとその乱用の可能性を検証すると、それがよくわかります。
Memcachedを狙った攻撃が増大
悪用される可能性のあるセキュアでないMemcachedサーバーが数多く存在することが指摘されたのは、2010年のBlackHat USA(セキュリティに関する国際会議)の講演でした。それ以来、ほとんど何も起こりませんでしたが、2018年初頭にNETSCOUTの脅威インテリジェンスチームが「大量のUDPリフレクション / アンプリフィケーション攻撃の要因となるリフレクター / アンプとして、インターネットデータセンターの誤った構成のMemcachedサーバーが悪用されるケースが急増していることを確認した」と警告しました。
その数週間後の2018年2月、史上初のテラビット級のDDoS攻撃が発生し、その数日後にはその2倍近くの1.7Tbpsの攻撃が観測されました。
エクスプロイトが確認されると、乱用され、そのうち下火になりますが、攻撃者は成功する方法を常に探しています。彼らは脆弱なリンクがないか調査しています。WISRではこれまで14年の間、攻撃側と防御側の攻防を観察してきました。防御が確立されれば、攻撃者は別の場所に移ります。新しいサービスが開始されれば、その回復力(レジリエンス)を試します。
絶えず高度化が進むDDoS攻撃
- 2007年のWISRでは、リンクやホストのDDoSフラッド攻撃に対する大きな懸念が示されました。その結果、ISPはこうした攻撃を阻止するためにミティゲーション能力を増強しました。2008年のWISRでは、リンクやホストのDDoSフラッド攻撃に対するISPの懸念は24%から11%に減少しました。攻撃者は次に、アプリケーションを狙い始めていました。
- 2009年は、ネットワーク事業者が低帯域幅ネットワークおよびアプリケーション層を狙ったDDoS攻撃に対する防御に力を入れました。このため、2010年は攻撃者の戦術が変わり、ボリューム型攻撃に回帰しました。WISRでは「帯域幅攻撃が大幅に増加したのは、ネットワーク事業者が低帯域幅ネットワークおよびアプリケーション層を狙ったDDoS攻撃に対する防御に集中したことも要因の一部だと考えられる。攻撃者はその防御と帯域幅を圧倒するために攻撃水準を上げた可能性がある」と指摘しました。
- 2012年までネットワーク事業者は、低帯域幅ネットワークとアプリケーション層攻撃に対するオンプレミス環境の保護、およびボリューム型攻撃に対するクラウド環境の保護の両方に投資していました。そこで攻撃者は再び戦術を変更しました。ボリューム型攻撃、アプリケーション層攻撃、ステートフル攻撃を一度の持続的な攻撃で行う複雑なマルチベクター攻撃を実行しました。
2013年のWISRでは、「アプリケーション層攻撃およびマルチベクター攻撃が高度化を続け、ボリューム型攻撃に関してはサイズが頭打ちになりつつある。86%がWebサービスを狙ったアプリケーション層攻撃を経験した一方で、マルチベクター攻撃の急激な増加が最大の懸念事項となった。攻撃者は、高度で寿命の長いマルチベクター攻撃にシフトしている」と指摘しました。
今年発行した最新のWISRでは、ファイアウォールとIPSデバイスを狙ったステートフル攻撃に再度シフトしていることが明らかになりました。こうした攻撃を経験した回答者は、2017年の16%が2017年には31%になり、ほぼ2倍となりました。この要因の一つは、ファイアウォールとIPSデバイスを狙ったステートフル攻撃は成功する可能性がかなり高いということです。2018年にステートフル攻撃を経験した回答者のうち、43%がファイアウォールとIPSデバイスの両方もしくはどちらかが攻撃時の障害の一因になったと回答しています
もう一つの興味深いポイントは、SaaSやクラウド、データセンターサービスのすべてにおいて、DDoS攻撃が増加したことです。新しいサービスは、十分に対策がされておらず脆弱であると見なされ、攻撃者のターゲットにされやすいのです。
SaaS、クラウド、データセンターを狙うDDoS攻撃
- SaaS サービスへの DDoS 攻撃を経験した企業は 3 倍に増加しています。2017 年は13%、2018 年は41%でした。
- 外部委託しているデータセンターサービスやクラウドサービスへの攻撃を経験した企業も 3倍 に増加しています。2017 年は11%、2018 年は34%でした。
- サービスプロバイダーにおいても、クラウドベースのサービスに対するDDoS攻撃が徐々に増えています。2年前の2016年には25%でしたが、2018年は47%でした。
来年に向けて脅威の進化は続きます。今回のWISR調査の終了以降、NETSCOUTの脅威インテリジェンスチームは以下の新しい情報を公開しました。
- MiraiによるDDoS攻撃は、対象をIoTからLinuxに移行しています。攻撃者はIoTマルウェアの経験から学び、Linuxサーバーに重点を置くようになっています。例えば、Hadoop YARNの脆弱性は当初、DDoSマルウェアの一つであるDemonBotのIoTデバイスへのデリバリーに使われていましたが、すぐにLinuxサーバーにMiraiをインストールするために使われるようになり、IoTとサーバーのマルウェアの境界があいまいになりました。
- 携帯電話がDDoS攻撃に使われるようになってきました。本年1月にNETSCOUTの脅威インテリジェンスチームは、攻撃者が最近、CoAPリフレクション/アンプリフィケーション攻撃を始めたと警告を出しました。CoAPは主に中国において携帯電話に使われていますが、IoTデバイスの急増とともに普及が期待されているプロトコルです。他のリフレクション/アンプリフィケーション攻撃と同様に、攻撃者は悪用可能なアドレスをスキャンすることから始めて、標的の発信元アドレスになりすました大量のパケットを流します。
DDoS攻撃は常に進化しています。攻撃者は新しい標的を探し、新しい手法を身につけています。このような動きに対応するために、NETSCOUTはステートフルインフラとアプリケーショのためのオンプレミス環境の保護およびボリューム型攻撃に対するクラウド環境の保護の組み合わせたマルチレイヤー型防御を、過去10年にわたって提唱してきたのです。