9月はDDoS攻撃が猛威を振るう
[このブログは2019年9月16日に公開された NETSCOUT Blog の抄訳です]
全米対諜報セキュリティセンター(National Counterintelligence and Security Center, NCSC) および国家内部脅威タスクフォース(National Insider Threat Task Force, NITTF) がこの 9月を “National Insider Threat Awareness Month” に指定しましたが、DDoS の攻撃者にはこのメッセージが伝わっていないようです。
9月半ばの時点で、すでに人気のゲームサイトと世界最大のWebサイトの一つが DDoS 攻撃を受けてダウンしました。また、ボットマスターが法廷で裁かれ、香港の抗議行動のオンラインフォーラムが DDoS 攻撃を受けました。これらの出来事は1週間のうちに起きました。 DDoS は長い間脅威であり続けています。DDoS の標的、動機付け、ツール、テクニックにはほとんど限界がないのです。
DDoS 攻撃の一週間を振り返ってみましょう。
- 9月2日、ブルームバーグは以下のように報じました。「香港のデモ参加者が利用しているオンラインサービスは、週末に一時的にサーバーをダウンさせた大規模なデジタル攻撃は前例のないものであり中国の Web サイトから発生したものもある、と述べた。デモ参加者のグループは声明を発表し、今回の DDoS 攻撃はコンピュータを圧倒してサイトを無効にするフラッド攻撃で、サイトへの総要求は 15億に達し、ユニークビジター数は1時間あたり 650万人に急増したことを明らかにした」
NETSCOUT はこの 20年の間、オンライン抗議における DDoS 攻撃の使われ方を調査してきました。いわゆるハクティビズムは、苦情や問題を持つ誰もが簡単に攻撃を開始できる無料のオンラインツールの開発によって可能になりました。また、SAAS プロバイダーと同様に、実際に DDoS 攻撃サービスを販売する booter/stresser の出現についても調査しました。それらは機能やサポート、洗練度、サイズにおいて様々なレベルのサービスを提供します。場合によっては、購入する前に試してみることもできます。自分で攻撃するオンラインツールと安価な攻撃請負サービスの組み合わせにより、 DDoS 攻撃の頻度が爆発的に増加しました。
NETSCOUT の「年次ワールドワイド・インフラストラクチャー・セキュリティ・レポート 第14版」(WISR) では、政治的動機が DDoS 攻撃の原動力であることについて、次のように報告されています。
「2018年にサービスプロバイダーの60%が政府機関を狙った攻撃を経験しました。2017年は 37%でした。政治不安が世界で高まっているため、DDoS 攻撃が抗議行動の手法の一つとして引き続き需要があることを示しています」
- 9月5日、21歳のハッカーが出廷し、高度な Satori ボットネットを作成して利用したことを認めました。イギリスのニュースサイトである The Register の報道によると、その攻撃者は「数千ものデバイスをのっとり、 100Gbps を超える DDoS 攻撃の請負サービスに利用した」とのことです。
Satori は、NETSCOUT が何年にもわたり広範囲に調査してきた DDoS ボットネットです。2018年 1月には NETSCOUT のセキュリティ調査チームである ASERT(ATLAS Security Engineering and Response Team) が、IoT ボットネットの歴史についての考察に加えて、Satori の進化についても以下のように概観しました。
「どの新しいバージョンも、標的にするプラットフォームや増殖のテクニック、攻撃のタイプによる新たな組み合わせを提示してきます。機能が徐々に追加されていく従来のソフトウェアと比較すると、前進しているようにも後退しているようにも見えます。その歴史を紐解いてみることで、この進化し続ける脅威の本質を見抜くことができます」
- 9月6日には、一か月に 12億 2千万の訪問がある世界 2位の Web サイト、ウィキペディアが DDo S攻撃を受け、2日間にわたって9時間以上オフラインになるという被害にあいました。この攻撃の背後にあるのは Satori のような IoT ボットネットだったと報じられました。
- 9月7日には、大人気のオンラインゲーム、World of Warcraft ClassicがDDoS 攻撃によって停止させられました。Xbox やPlayStation のようなゲームプラットフォームは繰り返し DDoS 攻撃のターゲットになっており、プレイヤーによる攻撃やプレイヤー間の攻撃もとても一般的です。こうした攻撃が注目を浴びた理由は、犯行グループが宣伝活動として警告を出し、それをいたるところで誇示したからです。DDoS 攻撃の請負サービスを大々的にふれ回ったのです。
WISR では次のように指摘しています。
「最近は、多くの DDoS 攻撃に、booter あるいは stresser と呼ばれる、専門家が管理する DDoS 攻撃 のレンタルサービスが利用されており、それについては攻撃の動機の調査結果にも反映されています。例えば、2018 年の攻撃の動機として最多だったのは、犯罪者が潜在的な顧客に自らの能力を見せつけるというものでした」
この一週間はいろいろありました。DDoS脅威の状況は容赦なく、休んでいる暇がありません。いかに過酷な状況かは、NETSCOUTの脅威インテリジェンスチームが提供する新しいパブリックサービス、Cyber Threat Horizon で確認できます。私たちは、 DDoS 攻撃が世界中の組織に与える影響を心配している主要なステークホルダーに、もっと状況認識を高めてもらいたいと考えています。
NETSCOUT は、組織がさらに幅広く脅威の状況を理解するための支援に取り組んでいます。DDoS 攻撃によって世界で実際に何が起きているのか。新たに出現している最新の DDoS 攻撃はどんな傾向で何をターゲットにしているのか。組織にどんなインパクトをもたらすのか。
この一週間で見てきたとおりです。DDoS 攻撃は継続的に実行され、多くの場合成功し、全く予測できない場合があります。そのための準備はできていますか。
DDoS 脅威の最新状況については、NETSCOUT の「年次ワールドワイド・インフラストラクチャー・セキュリティ・レポート 第 14版」を参照してください。(トップページからダウンロードできます。)