年間にわたり、全世界において大ボリューム攻撃の規模と頻

度が著しく増加していることに注目してきました。この傾向は 3 年目に突入しています。

2016 年度は、すべてのリフレクション / アンプリフィケーション・

プロトコルにおいて攻撃行為が増加しました。 DNS は最も利用されているリフレクション・プロトコルであり、 NTP が僅差で続いています。また、調査結果によると、

SSDP 、 Chargen 、 SNMP が頻繁に利用されており、 Chargen の利用が 2015 年度比で最も急速に伸びています。

ネットワーク上でマルチベクトル型攻撃に遭ったと報告している回答者の割合も、 2015 年度の 56%

から 67% へと大幅に増加しています。アプリケーション層攻撃で最も標的とされたサービスは、 DNS 、 HTTP 、セキュア Web サー

ビス（ HTTPS ）となっています。

また、 DDoS 攻撃の頻度も増加しています。 2015 年度は、回答者の 44% が月当たり 51 回を超える攻撃に遭いました。 2016 年度はこの割合が 53% に上昇しています。

2016 年度では、オンラインゲームが DDoS 攻撃の動機の第 1 位に挙げられています。イデオロギー上のハクティビズム（ハッキング活動）が再び第 2 位となり、犯罪者による攻撃能力の誇示が僅差で第 3 位となりました。

2016 年度の回答者の 13% が IPv6 攻

撃に遭っています。これは 2015 年

度の 9% および 2014 年度の 2% から

の大幅な増加となっています。

DDoS 攻撃のベクトルが大幅に多様化する一方で、サイバー犯罪は利用手法を絶えず進化させることで、防御を回避しつつ目的を達成しています。一般的に、攻撃ベクトルは以下の 3 つのおおまかなカテゴリーに分類できます。

01

—

大ボリューム攻撃

このタイプの攻撃は、標的のネットワーク/サービス内の帯域幅または標的のネットワーク/サービスとその他インターネットとの間の帯域幅を枯渇させようとします。これによって、ネットワークの輻輳を引き起こします。

02

—

TCP状態枯渇攻撃

このタイプの攻撃は、ロード・バランサー、ファイアウォール、IPS、アプリケーション・サーバー自体など、

多くのインフラ・コンポーネントに存在する接続状態テーブルを枯渇させようとします。数百万の接続を保持できる大容量のデバイスでもダウンさせることができます。

03

—

アプリケーション層攻撃

このタイプの攻撃は、レイヤ 7のアプリケーションやサービスの一部の機能を標的にする最も高度で、ひそかに忍び寄る攻撃です。わずか 1台の攻撃マシンで低レートのトラフィックを生成するだけでも効果を発揮できます。このため、従来のフローベースのモニタリングソリューションを使用してそうした攻撃を予防的に検知するのは非常に困難です。このタイプの攻撃に対してリアルタイムで効果的な検知とミティゲーションを行うには、インライン型またはパケットベースのコンポーネントをDDoS防御策の一部として導入する必要があります。

今回の調査参加者が経験したさまざまな攻撃のタイプを見てみると、大ボリューム攻撃が依然として最も一般的であることが分かります。これは過去のすべての WISR と同様の結果です（図 12）。過去 2年間にわたり、全世界において大ボリューム攻撃の規模と頻度が著しく増加していることに注目してきました。この傾向は継続しています。本質的に大ボリュームである攻撃の割合は、2015年度の65%から73%へと増加しています。これは驚くにはあたらず、そうした上昇傾向は広く報告されており、リフレクション/アンプリフィケーションおよびIoTベースの攻撃において目にするものです。

2016 年度においては、アプリケーション層を標的にする攻撃の割合が比較的一定しています。しかしながら、アプリケーション層攻撃に遭った回答者の割合は、2014年度の 90%と 2015年度の93%から95%に増加しています。

図12：DDoS攻撃の種別

アプリケーション層攻撃状態枯渇

攻撃大ボリューム

攻撃

図13：リフレクション/アンプリフィケーション攻撃で利用されるプロトコル

2016 年度の調査では、大ボリュームのリフレクション/アンプリフィケーション攻撃の生成に使用されるプロトコルについて、具体的な質問をしました（図13）。2016年度はほぼすべてのプロトコルで攻撃行為の増加を示していますが、DNS と NTP は依然として最も一般的に使用されるベクトルとなっています。攻撃者は引き続き、能力を拡大するために設定や防備が不十分なインフラを突いてきていま

す。ATLAS のリフレクションのセクションでは、ATLAS

のデータを使用してリフレクション/アンプリフィケーションの傾向を詳細に掘り下げています。

マルチベクトル型攻撃は特に珍しいものではありませんが、複雑さが増大していることにより、そのような攻撃に対して防御側が正常なミティゲーションを行うのがますます困難になっている可能性があります。ネットワーク上でマルチベクトル型攻撃に遭ったと報告している回答者の割合も、2014年度の42%および2015年度の56%から67%

へと大幅に増加しています（図14）。Arbor Networksは、

現在DDoSサービス/ボットネットで利用できる攻撃能力の多様性が劇的に増加していることを確認しています。そうした攻撃能力の拡大が、上記の回答者の割合の増加を招いているものと思われます。

マルチベクトル型攻撃を防御することはより困難になっています。最善のソリューションは多層防御です。多層防御は標的にひそかに忍び寄る攻撃を組織が事前にブロックすることを可能にする一方、十分な容量のある上流でより大規模な大ボリューム攻撃のミティゲーションを行います。

DNS NTP SSDP Chargen SNMP Portmap MSSQL QOTD BITTORENT N/A その他

分からない

ない

ある

図14：マルチベクトル型DDoS攻撃

マルチベクトル型

DDoS 攻撃

48% 34% 29% 22% 18%

アプリケーション層攻撃は往々にして、ステルス型攻撃またはロー・アンド・スロー（低帯域幅、低速度）攻撃と呼ばれています。

2016 年度は、DNS がアプリケーション層攻撃の最も一般的な標的となるサービスとなり、回答者の 81%から報告がありました（図 15）。HTTP は 2015年度以前から標的とされるサービスのトップとなっており、依然として1位と僅差になっています。現在では、

80%超がDNSおよびHTTPサービスを標的にしているアプリケーション層攻撃に遭っており、これは2015年度の75%より上昇しています。また、セキュアWebサービス（HTTPS）を標的とする攻撃に遭っている回答者の割合は、2015年度の47%から52%に上昇しています。残念ながら、完全転送秘密（PFS）をサポートしている暗号スイート製品の利用が増加しているため、HTTPS の復号化はより困難になっています。復号化はミティゲーションの遂行に必ずしも必要ではありませんが、PFSでは復号化のための完全プロキシが必要になります。

図15：アプリケーション層攻撃の標的

暗号化されたサービスを標的とする攻撃についてさらに詳しく見てみると、これらは以下の 4 つのカテゴリーに分類できます。

01 /^SSL/TLSのネゴシエーションを標的とする攻撃

02 /^SSL/TLSのネゴシエーションを標的とする攻撃

03 / サービス・ポートでトラフィック・フラッドを引き起こす大ボリューム攻撃

04 / 完全にネゴシエーションされた SSL/TLS 接続上のベース・サービスを標的とするアプリケーション層攻撃

2016年度もまた回答者の約5分の1が少なくとも1つのカテゴリーで攻撃に遭っています（図16）。SSL/TLSポートに対するプロトコル/接続攻撃は最大の上昇を示しており、この攻撃に遭った回答者は2015年度の22%から29%へと増加しています。多くの暗号化アプリケーション（特に金融および E コマースの組織が提供しているもの）は重要であることから、攻撃が成功すると深刻な影響が出る可能性があります。

81%

80%

52%

19%

17%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

DNS HTTP HTTPS

SIP/VoIP SMTP IRC その他

 ^該当なし/分からない

 SSL/TLSサービス・ポートを

標的にする大ボリューム攻撃

 SSLサービス・ポートに対するプロトコル/接続攻撃

 ^SSL/TLS^{上で稼働するベー}

ス・サービスに対するアプリケーション層攻撃

 SSL/TLSのネゴシエーション

を標的にする攻撃

図 16：暗号化されたサービスを標的とする攻撃の種別

図17：月当たりの攻撃頻度図18：最長の攻撃継続時間（過去12カ月）

回答者が経験した月当たりの攻撃の数は再び増加しています（図17）。2015年度は、回答者の44%が月当たり51回を超える攻撃に遭いました。2016 年度はこの割合が 53%

に上昇しています。わずか 4年前には月当たり51 回を超える攻撃に苦慮しているのは 25%のみだったことから、攻撃頻度は極めて急速に増加している傾向にあるといえます。

この調査データの傾向は、ATLAS のデータと Arbor Networksの顧客からのフィードバック事例によって裏打ちされており、2016 年度の調査期間中に顧客がより頻繁かつ大規模な攻撃に遭ったことを示唆しています。

2016年度は攻撃継続期間が減少しています（図18）。モニタリングした攻撃の最長時間が 12 時間を超えたことを示しているのは約25%です。これは、37%が12時間超と回答した2015年度よりも、大幅な低下となっています。

これまでの調査と同様に、自社のネットワーク上でモニタリングしたDDoS攻撃の背後にある動機として、回答者が一般的と考えるものは何かを質問しました。2015 年度では、DDoS 攻撃の背後にある動機の第1位は、犯罪者による攻撃能力の誇示で、第2 位はゲーム、第 3 位は犯罪者のゆすり行為でした。2015年度は

DD4BCやArmada Collectiveなどのグループが非常に活発だった

ことから、そうした結果がもたらされた可能性があります。以前の年度では、ニヒリズム/バンダリズムやイデオロギー上のハクティビズム（ハッキング活動）が動機のトップとして挙げられていました。

10%

14%

15%

22%

18%

14%

5% 2%

35%

26%

攻撃頻度

（月当たり）

 ^月に¹^回未満

 ^月に^1～10^回

 ^月に11～20回

 ^月に21～50回

 ^月に51～100回

 ^月に101～500回

 ^月に500回超

 ¹^時間未満

 ^1～6^時間

 ^7～12^時間

 13～24時間

 1～3日

 4～7日

 1～4週

 1カ月超

最長の攻撃継続時間

（過去 12 カ月）

ドキュメント内 Arbor Networks について NETSCOUT のセキュリティ部門である Arbor Networks はインターネットのインフラやエコシステムを保護するための活動を行っています 2000 年に設立された Arbor Networks ではそうした理念が現在の業務にも受け継がれています (ページ 35-54)

年間にわたり、全世界にお いて大ボリューム攻撃の規模と頻

度が著しく増加していることに注 目してきました。この傾向は 3 年 目に突入しています。

2016 年度は、すべてのリフレク ション / アンプリフィケーション・

プロトコルにおいて攻撃行為が増 加しました。 DNS は最も利用され ているリフレクション・プロトコ ルであり、 NTP が僅差で続いてい ます。また、調査結果によると、

SSDP 、 Chargen 、 SNMP が 頻 繁 に利用されており、 Chargen の利 用が 2015 年度比で最も急速に伸 びています。

ネットワーク上でマルチベクトル 型攻撃に遭ったと報告している回 答者の割合も、 2015 年度の 56%

から 67% へと大幅に増加していま す。アプリケーション層攻撃で最 も 標 的 と さ れ た サ ー ビ ス は 、 DNS 、 HTTP 、セキュア Web サー