1テラビットのDDoS攻撃がついに現実に

2018年3月1日 カルロス・モラレス アーバーネットワークス社技術役員

リフレクション(反射)とアンプリフィケーション(増幅)は、サイバー攻撃者が悪意ある攻撃の量を増やしたり、送信元を分かりにくくしたりするためのテクニックです。過去5年の間、この2種類の攻撃の組み合わせが攻撃者に好まれ続けるのには、もっともな理由があります。小さいリクエストをより大きく増幅させたレスポンスに変換するという、このシンプルな能力によって、DDoS攻撃の情勢が劇的に変わりました。リフレクションやアンプリフィケーションのテクニックの利用が増えることでDDoS攻撃の規模は急激に大きくなっています。

私はDDoS攻撃が激化する可能性はどのくらいあるのか問い続け、テラビット級の攻撃の可能性も大きな被害の可能性もあると考えていました。アーバーネットワークス社の脅威レベル解析システムであるATLASでも、テラビット級の攻撃を観測しました。下の図をご覧ください。現代の高度な攻撃者たちによって巨大な攻撃がなされたことは明白です。リフレクションとアンプリフィケーション、およびIoTボットネット出現の間で、この出来事は起こるべくして起こったのです。

当社はお客様やサービスプロバイダーのコミュニティー、業界全体と緊密に協業して、DDoSの脅威を転換する今回のような状況に対処するためのベストプラクティスを開発・実行してきました。今回と同等の攻撃やさらに巨大な攻撃が起きる可能性は十分にあります。こうした攻撃に備えたい場合は、当社の各国拠点までご連絡ください。

これまでどんな経緯をたどってきたか振り返ってみましょう。その背景には、攻撃者の知恵とパワフルなリフレクション/アンプリフィケーション攻撃の能力があります。

2013年~2014年:狙われたNTP

ネットワーク・タイム・プロトコル(NTP)は、ノートPCやスマートフォン、タブレット端末、その他のネットワーク機器の時計と同期するように設計されています。NTPは主要なOS、ネットワーク機器、組み込み機器にはすべて実装されてきました。不適切にインターネットに接続されて攻撃を受けやすいNTPサーバーは10万以上あります。不正侵入できるNTPは、DDoS攻撃の能力を増幅させようとしている攻撃者にとって宝の山です。

新しい攻撃方法を先駆けて開発する高度な攻撃者は、自らの能力を自動化したり収益化したりする傾向があります。実際、2013年にはマルウェアに弱点を突かれたNTPが武器化しました。NTPプロトコルを使った攻撃ツールやbooter、stresserなどの攻撃サービスが広く使用されるようになり、不平を持っていてインターネットに接続できる者なら誰にでも手の届くリフレクション攻撃もしくはアンプリフィケーション攻撃を大量に生み出しました。NTPはより大きな攻撃を可能にする潜在力があるため、DNSに代わってリフレクション攻撃やアンプリフィケーション攻撃のベクトルになりました。

ATLASのデータによると、NTPリフレクション/アンプリフィケーション攻撃の増殖によって引き起こされる大容量攻撃が、かつてないほど急増しました。

一連のNTPリフレクション/アンプリフィケーション攻撃は、複数のオンラインゲームに対して実行され、広範囲の機能停止を引き起こしました。当社のCTOであるDarren Ansteeは、「当社は2000年以来、DDoS攻撃を監視および緩和してきましたが、2014年の大規模化と頻度上昇はかつてないものになっています」とコメントしました。

2015年:インターネットのボットネットが急増

ボットネットは長い年月をかけて進化してきました。ここ2、3年だけでも、IoTデバイスの急激な増加やその乏しいセキュリティー機能が原因で、ボットネットは数も規模も劇的に拡大しています。リフレクションとアンプリフィケーションを組み合わせれば、かつてないほど強力な攻撃が可能です。

ユーザー・データグラム・プロトコル(UDP)は、インターネットの中核プロトコルです。2015年までは、UDPベースのリフレクション/アンプリフィケーション攻撃が、当時の過去最大の大容量攻撃の原因となっていました。その年の7月、ASERT(Arbor’s Security Engineering & Response Team)は、「Amplifying Black Energy」というレポートで新たなリフレクション/アンプリフィケーション攻撃が開発されたことについて警告を出しました。ASERTでは2007年から、Black Energyというマルウェアに関して報告しており、”比較的単純な” DDoS攻撃だと述べました。しかし、新たに出現したBlack Energy 2のプラグイン(ntp.dll)によって、”BE2″ ボットネットが分散型のNTPリフレクション/アンプリフィケーション攻撃を仕掛けてコントロールするようになりました。

ボットネットは、マルウェアに感染して乗っ取られたPC、サーバー、モバイル端末、IoTデバイスなどのインターネット接続機器がネットワーク化したものです。Black Energy 2のプラグインは、NTPベースのリフレクション/アンプリフィケーション攻撃を正確で効果的に実行する最初のコマンド&コントロール(C&C)Windowsボットの一つですから、とても重要です。強力なリフレクション/アンプリフィケーション攻撃と、なりすました要求フラッドの感染源としての “昔ながらの” Windowsボットネットを組み合わせることによって、Black Energyはこれまで以上に攻撃の激しさを増すことができたのです。

2016年:DNSが有力な踏み台として復活

攻撃者は概して賢い面もあれば怠惰な面もあります。時には新しいエクスプロイトを見つけることもせずに、無防備のままの古い脆弱性に回帰することもあります。DNSがいい例です。2,800万ものDNSリゾルバーが無防備にさらされています。これらのリゾルバーはリフレクション/アンプリフィケーションを利用するために作られたものです。MiraiやSatoriのような大規模なボットネットを使って、いとも簡単に大規模攻撃を仕掛けることができます。

2016年にATLASはDNSがリフレクション/アンプリフィケーション攻撃の踏み台にされている有力なプロトコルとして復活したと報告しました。この年、一週間に観測されるDNSリフレクション/アンプリフィケーション攻撃の数は10,500から18,500と約2倍になりました。他のプロトコルは少なくなり、DNS、NTP、Chargenがリフレクション/アンプリフィケーション攻撃のトップ3となりました。

2017年:攻撃の成功が新しい攻撃の開発を促進

2017年、攻撃者は引き続き、DNS、NTP、SSDP、CLDAP、Chargen、その他のプロトコルの脆弱性を突くリフレクション/アンプリフィケーションのテクニックを使って攻撃の規模を拡大しました。

いくつかのエクスプロイトの成功が大々的に報道されたためだと思われますが、DNSはリフレクション/アンプリフィケーション攻撃の最も一般的なベクトルであり続けました。実際に、DNSリフレクション/アンプリフィケーション攻撃の数は、他のすべての攻撃ベクトルを合わせた数よりも多くなりました。DNS攻撃の数は、その次に一般的なNTPリフレクション/アンプリフィケーション攻撃の2倍近くになりました。さらに攻撃者はこの年、新しいエクスプロイトを見つけました。CLDAPリフレクション/アンプリフィケーション攻撃です。この攻撃は2017年下半期に急激に増加しました。

当社の「ワールドワイド・インフラストラクチャー・セキュリティー・レポート 第13版」では、大容量のリフレクション/アンプリフィケーション攻撃に使われたプロトコルについて調査しました。2016年はほとんどすべてのプロトコルが使われましたが、DNSとNTPが最も一般的に使われたベクトルだったという調査結果となりました。

高度な攻撃者はこれまでにない新しい攻撃ベクトルを常に開発しています。残念なことに、攻撃者がその破壊力を拡散するために構成や防御が甘いインフラを活用できる状況が続いています。

2018年:memcached を踏み台にしたDDoS攻撃が増加

2018年に入って、広く利用されている分散型メモリキャッシュサーバー「memcached」が、高帯域幅のリフレクション/アンプリフィケーションのエクスプロイトに仲間入りしました。オープンソースのmemcachedはダイナミックなWebアプリケーションを最適化するための高性能な分散型メモリキャッシュサーバーです。この2月、インターネットデータセンターのネットワークにある不適切な構成のmemcachedサーバーの悪用が急増しました。US-CERTは、「memcachedには帯域幅のアンプリフィケーションの要因が10,000から51,000存在し、他のUDPプロトコルと比べて圧倒的に多い」と指摘しています。複数の独立した研究者が現在、こうしたアンプリフィケーションの要因を観察しています。これにより、標的に対する潜在的な影響は、リフレクション/アンプリフィケーション攻撃に利用されたシステムからのトランジットリンクの能力次第になっています。

memcachedサーバーは現在、極めて大容量のUDPリフレクション/アンプリフィケーション攻撃を実行するためのリフレクターおよびアンプとして使われています。memcachedサーバーが高帯域のアクセスリンクを持っていて、高速のトランジットアップリンクを備えるネットワークに存在するので、とりわけ効力を発揮しています。そのため、memcachedサーバーは高帯域幅のリフレクション/アンプリフィケーション攻撃に理想的なのです。

上の図を見れば、memcachedの攻撃がこの数か月の間、コンスタントに観測され続けたことが分かります。帯域幅の総量を調べれば明らかなように、今年の初めに急に激しくなりました。

ASERTではmemcachedリフレクション/アンプリフィケーション攻撃のかなりの増加を確認しました。数百Mbpsから最大で500Gbps以上の規模を観測しています。

memcached を踏み台にしたDDoS攻撃は、他のほとんどのDDoS攻撃の方法と同じく、当初はそれほど頻繁でなく、高度な技術を持った攻撃者によって手動で実行されました。しかし、その後武器化され、booterやstresserと呼ばれる有料のDDoSボットネットを通じてあらゆる攻撃者が使えるようになりました。この攻撃がこれほど早く普及したということは、こうした比較的新しい攻撃が武器化され、攻撃者に広く使われるようになるのに、それほど時間がかからないことを示しています。