1.7Tbps DDoS攻撃後の考察

2018年3月12日 トム・ビエンコスキー 製品担当ディレクター

最新の年次「ワールドワイド・インフラストラクチャー・セキュリティー・レポート」(WISR 2018)を発行したのは今年の1月でした。本レポートでは650GbpsのDDoS攻撃が年間で最大だったと報告しました。その前年の800Gbpsよりも規模が小さくなっています。また、最大は650GBpsに留まりましたが、攻撃サイズの総計は依然として増えています。例えば、1Gbpsを超える攻撃の割合は、3年連続で増加し、22%になりました。そして、このレポート発行から間もなく、1.7TbpsものDDoS攻撃が発生します。

2018年3月5日、当社の脅威レベル解析システムでるATLASが米国のサービスプロバイダーの顧客を狙った1.7Tbpsのリフレクション/アンプリフィケーション攻撃を確認しました。

それは、分散型メモリキャッシュサーバー「memcached」(メム・キャッシュ・ディー)のリフレクション/アンプリフィケーションベクトルを悪用して、このような大規模な攻撃を完遂しました。

memcachedリフレクション/アンプリフィケーション攻撃は以前から確認されていましたが、急速に数が増えて規模も大きくなり、この攻撃テクニックが武器化してきたことがわかります。つまり、Hire Boot Stresserを使って攻撃を仕掛ける程度の攻撃者でも、このテクニックを使用できるようになったということです。

最近のDDoS攻撃の特徴

しかし、すべての攻撃がこれほど大規模なわけではありません。実際、87%という圧倒的多数が2Gbps以下の攻撃です。

現代のDDoS攻撃は複雑で、少なくとも3つの異なる攻撃をダイナミックに組み合わせて実行されます。

1つ目は、memcached攻撃に代表される帯域幅の飽和を目的としたテラビット級のボリューム型攻撃です。WISR 2018によると、全攻撃の52%がこうしたボリューム型攻撃です。
2つ目は、TCP状態枯渇攻撃です。ファイアウォールやIPSデバイスなどによる防御を破壊しようとするものです。このTCP状態枯渇攻撃の割合は16%です。
3つ目は、スロー攻撃など検出が難しいアプリケーション型攻撃です。重要なアプリケーションを停止させます。アプリケーション型攻撃の割合は32%で、前年から26%増えています。

攻撃者はこの3つの攻撃ベクトルを同時に使って、防御しにくくします。

これらの攻撃を阻止するベストプラクティス

マルチベクトルDDoS攻撃を阻止するには、多層防御もしくはハイブリッド防御のアプローチをとる必要があります。ボリューム型攻撃を阻止するには、クラウドしかありません。

ISPもしくはDDoS保護サービス事業者のクラウドサービスを利用して、スクラビングセンターに攻撃のトラフィックの経路を切り替えます。TCP状態枯渇攻撃もしくはアプリケーション型攻撃に対しては、クラウドだけでは検出と阻止が困難です。

この場合、オンプレミスのシステムが防御に最適です。最も重要な社内のデータセンターにDDoS保護を展開します。データセンターで動作しているアプリケーションのポリシーをカスタマイズします。そして、TCP状態枯渇攻撃から保護するため、ファイアウォールの前に導入します。

アーバーネットワークスは、オンプレミスとクラウドのDDoS攻撃保護を完全に統合したソリューションを提供しています。さらにそれが、ATLASによって可視化された脅威に対する知見で裏打ちされています。

  1. Arbor APSは、あらゆるDDoS攻撃を自動的に検出・阻止できるオンプレミス用の製品です。特に得意とするのはアプリケーション型攻撃です。
  2. 大規模攻撃の際は、クラウドシグナリングと呼ばれる機能を使って、攻撃のトラフィックをAbor Cloudへ自動的にリダイレクトします。
  3. Arbor Cloudは、全世界のスクラビングセンターを経由して数Tbpsのミティゲーション(攻撃緩和)を提供するDDoS攻撃保護のマネージドサービスです。
  4. これらの製品やサービスは、脅威レベル解析システムであるATLASとセキュリティー調査チームのASERTによる世界レベルの脅威インテリジェンスによって継続的に強化されています。

DDoS攻撃は今回の1.7Tbpsのmemcached攻撃のように大規模化し、より複雑にもなっています。攻撃からの総合的な保護には、世界レベルの脅威インテリジェンスによって継続的に強化された、オンプレミスとクラウドのDDoS攻撃保護を完全に統合したソリューションが必要です。
memcached攻撃について説明した動画「What is a Memcached DDoS Attack? And How You Can Stop It」もご覧ください。

当社のDDoS攻撃保護製品およびサービスの詳細は、http://jp.arbornetworks.com/ をご参照ください。