度が著しく増加していることに注 目してきました。この傾向は 3 年 目に突入しています。
2016 年度は、すべてのリフレク ション / アンプリフィケーション・
プロトコルにおいて攻撃行為が増 加しました。 DNS は最も利用され ているリフレクション・プロトコ ルであり、 NTP が僅差で続いてい ます。また、調査結果によると、
SSDP 、 Chargen 、 SNMP が 頻 繁 に利用されており、 Chargen の利 用が 2015 年度比で最も急速に伸 びています。
ネットワーク上でマルチベクトル 型攻撃に遭ったと報告している回 答者の割合も、 2015 年度の 56%
から 67% へと大幅に増加していま す。アプリケーション層攻撃で最 も 標 的 と さ れ た サ ー ビ ス は 、 DNS 、 HTTP 、セキュア Web サー
ビス( HTTPS )となっています。
また、 DDoS 攻撃の頻度も増加して い ま す 。 2015 年 度 は 、 回 答 者 の 44% が月当たり 51 回を超える攻撃 に遭いました。 2016 年度はこの割 合が 53% に上昇しています。
2016 年度では、オンラインゲーム が DDoS 攻撃の動機の第 1 位に挙げ られています。イデオロギー上のハ クティビズム(ハッキング活動)が 再び第 2 位となり、犯罪者による攻 撃能力の誇示が僅差で第 3 位となり ました。
2016 年度の回答者の 13% が IPv6 攻
撃に遭っています。これは 2015 年
度の 9% および 2014 年度の 2% から
の大幅な増加となっています。
DDoS 攻撃のベクトルが大幅に多 様化する一方で、サイバー犯罪は 利用手法を絶えず進化させること で、防御を回避しつつ目的を達成 しています。一般的に、攻撃ベク トルは以下の 3 つのおおまかなカ テゴリーに分類できます。
01
—大ボリューム攻撃
このタイプの攻撃は、標的のネットワーク/サービス内の帯 域幅または標的のネットワーク/サービスとその他インター ネットとの間の帯域幅を枯渇させようとします。これに よって、ネットワークの輻輳を引き起こします。
02
—TCP状態枯渇攻撃
こ の タ イ プ の 攻 撃 は 、 ロ ー ド ・ バ ラ ン サ ー 、 フ ァ イ ア ウォール、IPS、アプリケーション・サーバー自体など、
多くのインフラ・コンポーネントに存在する接続状態テー ブルを枯渇させようとします。数百万の接続を保持できる 大容量のデバイスでもダウンさせることができます。
03
—アプリケーション層攻撃
このタイプの攻撃は、レイヤ 7のアプリケーションやサー ビスの一部の機能を標的にする最も高度で、ひそかに忍び 寄る攻撃です。わずか 1台の攻撃マシンで低レートのトラ フィックを生成するだけでも効果を発揮できます。このた め、従来のフローベースのモニタリングソリューションを 使用してそうした攻撃を予防的に検知するのは非常に困難 です。このタイプの攻撃に対してリアルタイムで効果的な 検知とミティゲーションを行うには、インライン型または パケットベースのコンポーネントをDDoS防御策の一部と して導入する必要があります。
今回の調査参加者が経験したさまざまな攻撃のタイプを見てみる と、大ボリューム攻撃が依然として最も一般的であることが分か ります。これは過去のすべての WISR と同様の結果です(図 12)。過去 2年間にわたり、全世界において大ボリューム攻撃の 規模と頻度が著しく増加していることに注目してきました。この 傾向は継続しています。本質的に大ボリュームである攻撃の割合 は、2015年度の65%から73%へと増加しています。これは驚く にはあたらず、そうした上昇傾向は広く報告されており、リフレ クション/アンプリフィケーションおよびIoTベースの攻撃におい て目にするものです。
2016 年度においては、アプリケーション層を標的にする攻撃の 割合が比較的一定しています。しかしながら、アプリケーション 層攻撃に遭った回答者の割合は、2014年度の 90%と 2015年度 の93%から95%に増加しています。
図12:DDoS攻撃の種別
アプリケーション 層攻撃 状態枯渇
攻撃 大ボリューム
攻撃
図13:リフレクション/アンプリフィケーション攻撃で利用されるプロトコル
2016 年度の調査では、大ボリュームのリフレクション/ア ンプリフィケーション攻撃の生成に使用されるプロトコル について、具体的な質問をしました(図13)。2016年度は ほぼすべてのプロトコルで攻撃行為の増加を示しています が、DNS と NTP は依然として最も一般的に使用されるベ クトルとなっています。攻撃者は引き続き、能力を拡大す るために設定や防備が不十分なインフラを突いてきていま
す。ATLAS のリフレクションのセクションでは、ATLAS
のデータを使用してリフレクション/アンプリフィケーショ ンの傾向を詳細に掘り下げています。
マルチベクトル型攻撃は特に珍しいものではありません が、複雑さが増大していることにより、そのような攻撃に 対して防御側が正常なミティゲーションを行うのがますま す困難になっている可能性があります。ネットワーク上で マルチベクトル型攻撃に遭ったと報告している回答者の割 合も、2014年度の42%および2015年度の56%から67%
へと大幅に増加しています(図14)。Arbor Networksは、
現在DDoSサービス/ボットネットで利用できる攻撃能力の 多様性が劇的に増加していることを確認しています。そう した攻撃能力の拡大が、上記の回答者の割合の増加を招い ているものと思われます。
マルチベクトル型攻撃を防御することはより困難になって います。最善のソリューションは多層防御です。多層防御 は標的にひそかに忍び寄る攻撃を組織が事前にブロックす ることを可能にする一方、十分な容量のある上流でより大 規模な大ボリューム攻撃のミティゲーションを行います。
DNS NTP SSDP Chargen SNMP Portmap MSSQL QOTD BITTORENT N/A その他
分からない
ない
ある
図14:マルチベクトル型DDoS攻撃
マルチベクトル型
DDoS 攻撃
48% 34% 29% 22% 18%
アプリケーション層攻撃は往々にして、ステルス型攻撃またはロー・アンド・スロー(低帯域幅、低速度)攻撃と呼ばれています。
2016 年度は、DNS がアプリケーション層攻撃の最も一般的な標的となるサービスとなり、回答者の 81%から報告がありました(図 15)。HTTP は 2015年度以前から標的とされるサービスのトップとなっており、依然として1位と僅差になっています。現在では、
80%超がDNSおよびHTTPサービスを標的にしているアプリケーション層攻撃に遭っており、これは2015年度の75%より上昇して います。また、セキュアWebサービス(HTTPS)を標的とする攻撃に遭っている回答者の割合は、2015年度の47%から52%に上昇 しています。残念ながら、完全転送秘密(PFS)をサポートしている暗号スイート製品の利用が増加しているため、HTTPS の復号化 はより困難になっています。復号化はミティゲーションの遂行に必ずしも必要ではありませんが、PFSでは復号化のための完全プロキ シが必要になります。
図15:アプリケーション層攻撃の標的
暗号化されたサービスを標的とする攻撃につい てさらに詳しく見てみると、これらは以下の 4 つのカテゴリーに分類できます。
01 / SSL/TLSのネゴシエーションを標的とする攻撃
02 / SSL/TLSのネゴシエーションを標的とする攻撃
03 / サービス・ポートでトラフィック・フラッドを引き 起こす大ボリューム攻撃
04 / 完全にネゴシエーションされた SSL/TLS 接続上の ベース・サービスを標的とするアプリケーション層 攻撃
2016年度もまた回答者の約5分の1が少なくとも1つのカ テゴリーで攻撃に遭っています(図16)。SSL/TLSポートに 対するプロトコル/接続攻撃は最大の上昇を示しており、この 攻撃に遭った回答者は2015年度の22%から29%へと増加し ています。多くの暗号化アプリケーション(特に金融および E コマースの組織が提供しているもの)は重要であることか ら、攻撃が成功すると深刻な影響が出る可能性があります。
81%
80%
52%
19%
17%
6%
7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
DNS HTTP HTTPS
SIP/VoIP SMTP IRC その他
該当なし/分からない
SSL/TLSサービス・ポートを
標的にする大ボリューム攻撃
SSLサービス・ポートに対す るプロトコル/接続攻撃
SSL/TLS上で稼働するベー
ス・サービスに対するアプリ ケーション層攻撃
SSL/TLSのネゴシエーション
を標的にする攻撃
図 16:暗号化されたサー ビスを標的とする攻撃の 種別
図17:月当たりの攻撃頻度 図18:最長の攻撃継続時間(過去12カ月)
回答者が経験した月当たりの攻撃の数は再び増加していま す(図17)。2015年度は、回答者の44%が月当たり51回 を超える攻撃に遭いました。2016 年度はこの割合が 53%
に上昇しています。わずか 4年前には月当たり51 回を超 える攻撃に苦慮しているのは 25%のみだったことから、攻 撃頻度は極めて急速に増加している傾向にあるといえま す。
この調査データの傾向は、ATLAS のデータと Arbor Networksの顧客からのフィードバック事 例によって裏打ちされており、2016 年度の調 査期間中に顧客がより頻繁かつ大規模な攻撃に 遭ったことを示唆しています。
2016年度は攻撃継続期間が減少しています(図18)。モニタリン グした攻撃の最長時間が 12 時間を超えたことを示しているのは 約25%です。これは、37%が12時間超と回答した2015年度よ りも、大幅な低下となっています。
これまでの調査と同様に、自社のネットワーク上でモニタリング したDDoS攻撃の背後にある動機として、回答者が一般的と考え るものは何かを質問しました。2015 年度では、DDoS 攻撃の背 後にある動機の第1位は、犯罪者による攻撃能力の誇示で、第2 位はゲーム、第 3 位は犯罪者のゆすり行為でした。2015年度は
DD4BCやArmada Collectiveなどのグループが非常に活発だった
ことから、そうした結果がもたらされた可能性があります。以前 の年度では、ニヒリズム/バンダリズムやイデオロギー上のハク ティビズム(ハッキング活動)が動機のトップとして挙げられて いました。
10%
14%
14%
15%
22%
7%
18%
9%
8%
14%
2%
5% 2%
35%
26%
攻撃頻度
(月当たり)
月に1回未満
月に1~10回
月に11~20回
月に21~50回
月に51~100回
月に101~500回
月に500回超
1時間未満
1~6時間
7~12時間
13~24時間
1~3日
4~7日
1~4週
1カ月超