引き続き大好評!DDoSのすべてがわかる?
 DDoS Handbook はこちらから

20164-6月期

世界の脅威まとめ

 本年第2四半期に見られた、DDoSを中心とした世界の攻撃ニュースおよびその傾向についてまとめます。今回は、増加する「ランサムDDoS攻撃」、金融機関を狙う「#OpIcarus」、「医療機関や学校を狙う攻撃」についてご紹介します。
ランサムDDoS攻撃

脅迫文が送られてきた後、15分ほどの大規模なDDoS攻撃を仕掛けることから始まるランサムDDoS攻撃は、身代金を支払っても攻撃が継続する事例も発生しています。また、有名なランサム攻撃集団であるDD4BC(DDos For Bit Coin)Armada Collective の用いる脅迫文を模倣し、実際にDDoS攻撃を行う能力のない組織が身代金を請求してくることもあります。

ERT Alert

「身代金を支払わなければDDoS攻撃を食らわす」

>>

ランサムDDoSに負けないネットワークとは

>>

こういった脅迫に煩わされないためにも、DDoS攻撃に強いネットワークを構築しておく必要があります。特にランサムDDoSでは各種リフレクション攻撃など、数100Gbpsに上る大規模な攻撃を仕掛けてくることから、スクラビングセンターによる攻撃トラフィックの除去による対策が有効です。

金融機関を狙う#OpIcarus

証券取引所などが攻撃される

>>

Low&Slow 攻撃に備えるために

>>

例えばTorHammer は、HTTPPOSTを分割してゆっくりとサーバに送ることにより、サーバ側のリソースを枯渇させる攻撃です。Torを使ってIPスプーフィングを行うため、特定のIPアドレスをブロックすることも困難です。このようなLow&Slow攻撃の特徴は、ネットワーク負荷は変わらないまま、サーバに甚大な負荷をかけることにあり、しきい値ベースのDDoS攻撃対策では検知ができません。Low&Slow攻撃対策が可能なDDoS対策を行うことで、同様の被害を防ぐことができます。

医療機関、学校を狙う攻撃

医療機関への攻撃

>>

今年に入って、カナダやアメリカなどで、ランサムウェアやSQLインジェクションをきっかけとした情報漏えい、DDoS攻撃の被害が発生しています。SQLインジェクションは、webアプリケーションサーバのコーディング上の脆弱性を利用した攻撃で、SQLクエリを通じてアクセス権のないデータを参照し、書き換えたり窃取することを目的とします。

SQLインジェクションの防御にはWeb Application Firewall(WAF)などによる保護が有効です。

>>

まとめ

日本国内でも話題を集めている「ランサム(身代金)ウェア」のDDoS攻撃版が世界中で問題となっています。ランサムDDoSは「回線飽和型攻撃」と呼ばれる大規模なネットワーク攻撃を用いるため、スクラビングセンターの利用が有効です。

またその正反対とも言える、SlowLoris に代表されるようなLow&Slow攻撃も根強く残っています。銀行を狙ったOpIcarus などで用いられたこの手法に対抗するためには、しきい値ベースの検出だけではなく、シグネチャーベースの検出が有効です。

SQLインジェクションも根強く用いられる攻撃手法の一つとして散見されています。Webアプリケーションの脆弱性を狙うこの攻撃の防御には、WAFが有効です。

攻撃者は、複数の攻撃手段を用いて攻撃する傾向にあります。これを、マルチベクタ攻撃と呼びます。ネットワーク層だけ、アプリケーション層だけ、という対策だけではなく、幅広い方向(=マルチベクタ)への備えが重要です。


5月に大阪府教育委員会配下の400を超えるwebサーバがダウンするという攻撃がありました。これは、教師に恨みを持つ高校生による犯行であり、ダークネットと呼ばれる裏ネットで入手したソフトウェアを利用して行ったもので、当該高校生は書類送検処分を受けています。海外でも、テスト時期の混乱を目的とした攻撃や、評価を書き換える攻撃などが確認されています。攻撃手法には医療機関同様SQLインジェクションや各種フラッディング攻撃が用いられており、WAFのほか、DDoS攻撃対策が有効です。

Copy right Radware Inc. 2016

2月に30日間のDDoSキャンペーンを試みて失敗したAnonymousは、再度攻撃ツールなどを見直して大規模なキャンペーンを計画しました。その結果、オランダやギリシャの銀行のサイトがダウン。TorsHammer, SlowLoris などの Low&Slow攻撃を行うツールが用いられました。

学校を狙った攻撃