香港を標的としたDDoS攻撃が急増

投稿者:Kirk Soluk

はじめに

ASERT (Arbor Security Engineering & Response Team)は、Arbor Networksの顧客に向けて週に一度、脅威インテリジェンスを発表しています。一週間のセキュリティに関するニュースを洞察して、ASERTの脅威に関する研究活動を見直すほか、匿名のトラフィック統計とDDoSイベントデータを共有している330社を超える世界中のインターネット・サービス・プロバイダによって報告された各週のDDoS攻撃データをまとめています。

以下は、3月23日付の週次DDoS統計情報の抜粋です。


3月23日付のASERTの週刊脅威レポートによるDDoS統計情報

DDoS攻撃の標的となる最上位国はたいてい米国であることが分かります。しかし最近、その傾向に少し変化がありました。4月6日付と4月13日付の統計情報では、香港が10Gbpsを超える攻撃を受けた最上位国でした。


4月13日付のASERTの週刊脅威レポートによるDDoS統計情報

セキュリティ担当者は異変に関心があるので、香港を標的としたDDoS攻撃が他のDDoS攻撃と著しく異なるところがないかどうかを1カ月間観察してみることにしました。

攻撃の頻度とサイズ

以下のチャートが示すとおり、香港では4月1日から4月8日までで、通常よりもDDoS攻撃を受けた頻度が明らかに高まっており、4月3日には最高の909回の攻撃が報告されています。


3月15日から4月14日までの香港を標的とした1日当たりの攻撃数

以下の表は、上のチャートで示された4月1日以前と4月8日以降の期間の1日当たりの平均攻撃数を示しています。

4月に入ってからの最初の8日間で、攻撃数は「通常」(今回の場合、当該期間の前の29日間および後の6日間)と比べると67%増加しています。

以下の表は、平均的な攻撃サイズが4月1日から4月8日まで大きく変わらなかったことを示しています。

実際に、4月1日から4月8日の平均的な攻撃サイズは、当該期間の前の29日間と比べるとわずかに縮小しています。その一方で、攻撃の頻度は増加しているため、以下の攻撃の累積攻撃サイズでは、香港を標的とした攻撃は4月2日の累積で5.841Tbpsと最大に達しています。


3月15日から4月14日までの香港を標的とした攻撃の累積攻撃サイズ

攻撃タイプ

4月1日から4月8日までの香港を標的とした攻撃の中でも、UDPベースのリフレクション/アンプリフィケーション攻撃とTCP SYN攻撃が突出しています。報告された合計6,827件の攻撃のうち40%(2,723件)が、プロトコルとソースポートを使用していました。また、それらのうち32%(876件)が、NTPリフレクション/アンプリフィケーションのコンポーネント(UDP/123から)、17%(455件)がSSDPリフレクション/アンプリフィケーションのコンポーネント(UDP/1,900から)、7%(184件)がDNSリフレクション/アンプリフィケーションのコンポーネント、32%(879件)がTCP SYNのコンポーネントを含んでいました。


既知のソースポートの攻撃についての4月1日から4月8日までの攻撃タイプの内訳

注目すべきは、報告された攻撃のほとんどが複数の攻撃タイプから構成されていることです。例えば、NTPリフレクション/アンプリフィケーションのコンポーネントを含んだ876件の攻撃のうちわずか101件(12%)が、NTPリフレクションのコンポーネントのみを含んでいました。つまり、攻撃には複数のタイプが混合していたことになります。

また、送信先ポートが使用された攻撃のうち49%で、TCP/80もしくはUDP/80、またはその両方が送信先ポートとして報告されました。

発信源の国

以下の表は、発信源が1カ国のみだった攻撃に対して報告された上位3カ国を一覧にしたものです。


4月1日から4月8日までの攻撃の発信源の国

言うまでもなく、特にUDPベースのリフレクション/アンプリフィケーション攻撃などのなりすまし攻撃については、適切な状況で地理位置情報を取得する必要があります。UDPベースのリフレクション/アンプリフィケーション攻撃の場合、攻撃者は地理的な場所を問わず、NTP、DNS、SSDPなどの構成が脆弱なサーバーに、そのサーバーの位置にかかわらず簡単にバウンス攻撃を行うことができます。その概念は以下の図のとおりです。この事例では、米国の攻撃者が中国に設置されているNTPサーバーを利用して、香港の被害者にDDoS攻撃を仕掛けています。香港の被害者が確認できるのは、中国からのトラフィックです。


NTPベースのUDPリフレクション/アンプリフィケーション攻撃の図

インターネットは地球規模であるということや、攻撃者は世界中で利用可能なリソースで攻撃を行うということは、覚えておく必要があります。

標的の分析

4月1日から4月8日の香港を標的とした6,827件の報告された攻撃のうち15%(1,028件)が、匿名化されていなかった送信元IPアドレスを含んでいました。そのうち330件がユニークソースでした。サンプル数は少ないですが、これらの攻撃の標的についてある程度の洞察を得ることができます。

以下は、330件のユニークソースのターゲットIPアドレスと、それに対応するAS番号の関係を、実際のIPアドレスまたはAS番号を表記することなく可視化したMaltegoグラフです。

ターゲットIPとAS番号の節点解析。クラスタリングが不十分であることに注意。

グラフが示すとおり、ターゲットIPアドレスは、52の異なるAS番号に分散しています。

以下は、PassiveTotalからのpDNS情報に基づき、4月1日から4月8日までのある時点において、ターゲットIPアドレスをこれらのIPアドレスに対して割り出されたドメインに関連付けたMaltegoグラフです。

ターゲットIPとドメインの節点解析。クラスタリングが不十分であることに注意。

ここでも、ターゲットIPアドレスは、500を超える異なるドメインに割り当てられているため、1つのドメインのみをホストしていたターゲットIPアドレスのドメインに注目しました。このような事例は94件ありました。そのうち半分は、おおよそ以下のように分類できました。


シングルテナントのドメインに対するWebプロパティの分類

オンラインギャンブルのサイトはカジノゲームに特化していた一方で、オンラインゲームのサイトにはくじ引きが含まれ、他のサイトもゲーム結果に基づいた金銭的なコンポーネントを含んでいました。

結論

国レベルでは、香港で、2017年4月の最初の8日間にDDoS攻撃数が大幅に増加し維持されていたことが分かりました。平均的な攻撃サイズは拡大しませんでしたが、1日当たりの攻撃数が増加しました。攻撃のほとんどで攻撃タイプが混合されており、特にUDPリフレクション/アンプリフィケーション攻撃とTCP SYN攻撃の混合が多いことが分かりました。攻撃の発信源は中国が最上位国ですが、リフレクション/アンプリフィケーション攻撃はどこからでも仕掛けることができます。

匿名化されていなかった送信元IPアドレスへの攻撃の少数サンプル(15%)に基づくと、500を超えるさまざまなドメインに直接的または間接的に影響を及ぼす52の異なるAS番号にわたって何百ものユニークソースのIPアドレスに及んでいることから、攻撃は複数の組織を標的としていると考えられます。少数のシングルテナント型攻撃の分析に基づくと、攻撃者は、この期間にオンラインギャンブル/ゲームのサイトを狙うつもりだったようです。地政学的な動機は、国レベルでのアクティビティと関連することが多いですが、複数の異なるギャンブル/ゲームサイトを標的としていることが浮上したため、DDoS攻撃による脅迫が最も可能性の高い動機であるという考えに至りました。DDoS攻撃の場合にはよくあることですが、これは、共同設置されたサイトや、上記の病院に対する2例などの集中攻撃に遭ったサイトに巻き添え被害をもたらす可能性があります。

さらに、今回の事例のように、標的から長い間外されていたような特定の地域や産業が、突如として標的とされるような異変は、企業が常に自社のインフラを保護するためにベストプラクティスを活用すべき理由、取り組みを続けなければならない理由、DDoS攻撃に対する模擬演習を定期的に実施して従業員を教育すべき理由を例証しています。Arbor TMSやAPSなどのIntelligent DDoS Mitigation System(IDMS)を活用して準備を整えている企業は、全く問題なくそうしたタイプの攻撃のミティゲーションを行うことができます。