2016年、世界で増加するDDoS攻撃からの教訓

2016年3月末にかけて、主に海外のサイトで大きなDDoS攻撃と見られる被害が発生しました。ひとつはスウェーデンのメディアのオンライン版サイトが対象となり、もうひとつはUSのWebホスティング企業を対象としたものです。どちらもヨーロッパで発生した被害ではありますが、インターネットというグローバルな環境に国境はありません。同様の手口の被害にあわないため、日本国内の企業、組織に対しても注意喚起をさせていただきます。

その1: 3月19日、スウェーデンの各種メディアオンライン版への攻撃

DDoS Handbook

DDoSのすべてがわかる?

大好評のテキストダウンロード提供中

DDoS対策でお困りの際はこちら

ブログリストへ戻る

メールアドレス(必須)*

姓(必須)*

名(必須)*

お勤めの会社、組織について

会社名(必須)*

ご所属

お電話番号(必須)*国番号は不要です

国

Dagens Nyheter, Svenska Dagbladet などのスウェーデンのメディアサイトが2016年3月19日、約3時間にわたる回線飽和型攻撃を受けてダウンしました。2016年に入ってからDDoS攻撃ツールに目覚しい発展が見られ、攻撃対象に対して、より、強力な攻撃を仕掛けることが可能になったことが技術的背景として考えられます。攻撃の背景にはロシアが関係していると思われ、これは、スウェーデン政府による、ロシア政府の「侵略正当化」を考慮した軍備政策に反対するものという報道もあります。実際、攻撃者を自称する @_notJ というツイッターアカウントが、スウェーデン各誌の主張は間違っているというツイートを行っています。のちにスウェーデン警察による調査が入り、@_notJのアカウントは停止されました。

また、最近になって、メディアサイトがDDoS攻撃ツールの効果測定の対象として用いられるということがありました。2016年3月18日(スウェーデンへの攻撃の前日)に、CBS.com およびBBC のサイトに対し、602Gbpsもの大規模攻撃が発生しています。

攻撃に利用されたサービス

今回の一連の攻撃を行ったツールは、DNSやNTP, SNMPを悪用したリフレクション攻撃を行ったものと見られます。リフレクション攻撃は、少ないパケットを元に大量のトラフィックを生み出すことから、回線飽和型攻撃によく用いられます。

その2: 英国ホスティングサービスへの攻撃

2016年2月に、英国のホスティングサービスを対象とした攻撃が観測されています。その後も、対象を拡大し、英国内にとどまらず、全世界各地に攻撃対象を拡大してきています。2016年の初頭からWebサイトやcloudホスティングサービスを対象とした攻撃の増加傾向が見られます。これらの攻撃の特徴は、上記メディアに対する攻撃と異なり、L3/L4 に対するフラッド攻撃であること、TCPやHTTPなどの上位プロトコルを狙ったリソース枯渇を目的とした攻撃であるという点です。これらの攻撃を受けた各社の提供するサービスはSLAを守れない状態となり、結果として、ダウンタイムロスや復旧の手間だけでなく、顧客離れや評判低下などの悪影響をこうむることとなります。

これらの攻撃に備えるには？

回線飽和型攻撃とアプリケーション層を狙った攻撃に対しては異なる対策が求められます。Radwareでは、回線飽和型攻撃に対してDefensePipeサービスを、アプリケーション層を狙った攻撃を含めた総合的なオンプレミスDDoS対策ソリューションとしてDefensePro を提供しています。また、実際に攻撃を受けてしまった時の対策として、Emergency Response Team (ERT) と呼ばれる専門チームによる緊急対応もご用意しています。