Arbor Networks について NETSCOUT のセキュリティ部門である Arbor Networks はインターネットのインフラやエコシステムを保護するための活動を行っています 2000 年に設立された Arbor Networks ではそうした理念が現在の業務にも受け継がれています

(1)

ワールドワイド・

インフラストラクチャ・

セキュリティ・レポート

Arbor Networks スペシャル・レポート

第

12 版

(2)

Arbor Networks について

—

NETSCOUT のセキュリティ部門である Arbor Networks は、イ

ンターネットのインフラやエコシステムを保護するための活動を行っています。_{2000 年に設立された Arbor Networks では、} そうした理念が現在の業務にも受け継がれています。_Arbor Networks の手法は、ネットワーク・トラフィックの研究に基づいています。視認性、_{DDoS 攻撃対策、高度化する脅威に対} するソリューションを備えた _{Arbor Networks のスイートで} は、ネットワークのミクロの観点を提供します。この観点は、当社の _{ATLAS のインフラを介したグローバルなインターネッ} ト・トラフィックや新たな脅威のマクロの観点によって精度が高められています。_{300 を超えるサービス・プロバイダから} データを収集している _{ATLAS は、グローバル・インターネッ} ト・トラフィックの約_{3 分の 1 に関する洞察に基づいたインテ}

リジェンスを提供します。_{Arbor Security Engineering &} Response Team（ASERT）、スマートなワークフロー、豊富なユーザー・コンテキストに支えられた _{Arbor Networks のネッ} トワークに関する洞察によって、組織が直面する非常に複雑かつ重大なセキュリティ課題の把握、理解、解決を支援します。詳細は、_{arbornnetworks.com をご参照ください。}

(3)

はじめに

... 6

調査方法

... 7

回答者に関する

_{基本統計データ ... 8}

図1：回答者の分類 ... 8 図2：サービス・プロバイダの種別 ... 8 図3：サービス・プロバイダ以外の企業種別 ... 8 図4：組織における回答者の役職 ... 9 図_5：回答者の地理的情報 ... 9

主な所見

... 10

サービス・プロバイダ

... 10

DDoS 攻撃 ... 10 データセンター運用者 ... 12 移動体通信事業者 ... 12 IPv6 ... 12 SON/NFV ... 13 組織セキュリティ対策 ... 13

企業

/行政機関/教育機関（EGE） ... 14

ネットワークセキュリティ ... 14 DDoS 攻撃 ... 14 SON/NFV ... 16 組織のセキュリティ ... 16

DNS 運用者 ... 17

サービス・プロバイダ

... 18

運用上の脅威

... 18

図_6：サービス・プロバイダが経験した脅威と問題 ... 19 図7：脅威検知ツールと脅威検知ツールの有効性 ... 20 図_8：ピーク攻撃サイズ（Gbps） ... 22 図9：攻撃の標的の割合 ... 23 図10：攻撃の標的となる顧客業種 ... 23 図11：クラウド・サービスを標的とする攻撃 ... 24

(4)

ATLAS スペシャル・レポート ... 25

攻撃サイズ

_{... 25}

図AT1： ATLAS がモニタリングした 2015 年と 2016 年のピーク攻撃サイズ（Gbps） ... 25 図AT2： 2015 年度比による大規模攻撃増加 ... 26 図AT3：攻撃サイズの分類 ... 26 図AT4： 2015 年度～2016 年度の平均攻撃サイズ（Mbps） ... 26 図AT5： 2015 年～2016 年の平均攻撃頻度 ... 27 図AT6： 2016 年の時間的な攻撃パーセンタイル（Mbps） ... 28

攻撃の継続時間

_{... 28}

図AT7：攻撃継続時間の分類 ... 28

標的にされた国

_{... 29}

図_AT8： DDoS 攻撃の標的になった国の上位（%） ... 29 図_AT9： 10Gbps 超の DDoS 攻撃の標的になった国の上位（%） ... 29

リフレクション

_{... 30}

図AT10： ATLAS のリフレクション攻撃（回/週） ... 30 図AT11： 2016 年現在の ATLAS のリフレクション/アンプリフィケーション攻撃（%） ... 30 図AT12： ATLAS のリフレクション/アンプリフィケーション攻撃の平均攻撃サイズ（Mbps） ... 31 図AT13： ATLAS のリフレクション/アンプリフィケーション攻撃の平均攻撃サイズの傾向 ... 31 図AT14： ATLAS のリフレクション/アンプリフィケーション攻撃のピーク攻撃サイズ（Gbps） ... 32 図AT15： ATLAS のリフレクション/アンプリフィケーション攻撃のピーク攻撃サイズの傾向（Gbps） ... 32

種別、頻度、動機

... 33

図12： DDoS 攻撃の種別... 34 図13：リフレクション/アンプリフィケーション攻撃で利用されるプロトコル ... 35 図_14：マルチベクトル型DDoS 攻撃 ... 35 図_15：アプリケーション層攻撃の標的 ... 36 図16：暗号化されたサービスを標的とする攻撃の種別 ... 36 図17：月当たりの攻撃頻度 ... 37 図18：最長の攻撃継続時間（過去12 カ月） ... 37 図19： DDoS 攻撃の動機... 38 図20： IPv6 DDoS 攻撃 ... 39

DDoS 脅威のミティゲーション ... 40

図21：攻撃に対するミティゲーション技術 ... 41 図22：攻撃のミティゲーションに要する時間 ... 42 図23：アウトバウンド/クロスバウンド攻撃の検知 ... 42 図24： DDoS 検知とミティゲーション・サービスに対する需要 ... 42 図25： DDoS 対処サービスを求めている業種 ... 43

データセンター運用者

_{... 44}

図26：データセンターの視認性 ... 45 図27：データセンターのトラフィックに対する視認性 ... 45 図28：データセンター境界でのセキュリティ技術 ... 45 図29：データセンターへのDDoS 攻撃の頻度 ... 46 図30： DDoS 攻撃に影響を受けたデータセンター・サービス ... 46

(5)

図31：データセンターへのDDoS 攻撃によるビジネスへの影響 ... 46 図32：データセンターのDDoS 攻撃に対するコスト ... 47 図_33：データセンターへのDDoS 攻撃の標的 ... 47 図34：データセンターのDDoS 攻撃対策技術 ... 48

移動体通信事業者

_{... 49}

図35：移動体通信加入者 ... 50 図36：侵害された加入者デバイス ... 50 図37：移動体通信のインフラまたはユーザーを標的にする月当たりのDDoS 攻撃回数 ... 50 図38： IP（Gi/SGi）バックボーンにおける視認性 ... 51 図39：（Gi/SGi）IP インフラを標的にする DDoS 攻撃の月当たりの回数 ... 51

IPv6 ... 52

図40：法人顧客におけるIPv6 の導入 ... 52 図41：一般加入者（個人顧客）におけるIPv6 の導入 ... 52 図_42： IPv6 フローテレメトリのサポート ... 53 図_43： IPv6 トラフィック量の増加予測 ... 53 図44： IPv6 セキュリティに対する懸念事項 ... 54 図45： IPv6 に対するミティゲーション機能 ... 54

SDN/NFV ... 55

図46： SDN/NFV 導入 ... 55 図47： SDN/NFV の主要な障壁 ... 56 図48： SDN/NFV ネットワーク・ドメイン ... 56 図49： NFV テクノロジー ... 57 図50： SDN テクノロジー ... 57 図_51：サービス・チェイニング ... 57

組織のセキュリティ

_{... 58}

図52：セキュリティ専任担当者 ... 59 図53：セキュリティ・ベスト・プラクティス ... 59 図54： DDoS シミュレーション ... 60 図55： OPSEC チームの課題 ... 60

ASERT スペシャル・レポート ... 61

IoT ボットネットの年 ... 61

IoT とは ... 62 IoT セキュリティ ... 63 IoT ボットネットの増加 ... 64 ミティゲーション ... 67 結論 ... 68

ATLAS スペシャル・レポート ... 69

IoT ボットネットの追跡 ... 69

図AT16：時間当たりのログイン試行数 ... 70 図AT17：時間当たりの固有IP ... 70 地域的な視点 ... 71 図AT18：ログイン試行間隔の平均時間（秒） ... 71 図AT19：地域当たりの時間ごと平均ログイン試行数 ... 71 図AT20：ログイン拠点マップ ... 72

(6)

企業

/行政機関/ 教育機関（EGE） 73

ネットワークセキュリティ

_{... 73}

図56： EGE にとっての脅威 ... 74 図57： EGE の懸念 ... 74 図58：脅威検知 ... 74

DDoS 攻撃 ... 75

図59：月当たりのDDoS 攻撃の頻度 ... 76 図60： DDoS 攻撃の標的 ... 76 図61： DDoS 攻撃の継続時間 ... 77 図62：攻撃カテゴリーによる分類 ... 77 図_63：アプリケーション層攻撃の標的 ... 78 図_64：暗号化されたアプリケーション層攻撃 ... 78 図65：マルチベクトル型攻撃 ... 79 図66： DDoS 攻撃の動機 ... 79 図67： DDoS ミティゲーション技法 ... 80 図68：最も有効なDDoS ミティゲーション技法 ... 81 図69： DDoS 攻撃のミティゲーションに要する時間 x ... 81 図70： DDoS 攻撃によるビジネスへの影響 ... 82 図_71：インターネット・サービスのダウンタイムによる損害 ... 82 図_72： DDoS 攻撃の損害 ... 83 図73： DDoS のリスク解析 ... 83

IPv6 ... 84

図_74： IPv6 サービスの利用 ... 84 図75：内部ネットワークへのIPv6 の導入 ... 85 図_76： IPv6 フローテレメトリのサポート ... 85 図77： IPv6 セキュリティに対する懸念事項 ... 86 図78： IPv4 サービス（デュアルスタック・デバイス）における IPv6 の影響 ... 86

SDN/NFV ... 87

図79：企業/行政機関/教育機関（EGE）の SDN/NFV 導入 ... 87 図80：企業_{/行政機関/教育機関（EGE）における SDN/NFV の主要} な障壁 ... 87 図81：企業/行政機関/教育機関（EGE）の SDN/NFV ネットワーク・ドメイン ... 88 図82：企業/行政機関/教育機関（EGE）の NFV テクノロジー... 88 図_83： EGE の NFV 機能 ... 89 図_84：企業/行政機関/教育機関（EGE）の SDN テクノロジー ... 89 図85：企業/行政機関/教育機関（EGE）におけるサービス・チェイニング ... 89

組織のセキュリティ

_{... 90}

図86：企業/行政機関/教育機関（EGE）のセキュリティ専任担当者 ... 91 図87：企業_{/行政機関/教育機関（EGE）のセキュリティ・オペレー} ション・センター ... 91 図88：企業/行政機関/教育機関（EGE）における OPSEC チームの課題 ... 91 図89：企業/行政機関/教育機関（EGE）のセキュリティ・ベスト・プラクティス ... 92 図90： DDoS シミュレーション ... 92

(7)

DNS 運用者 ... 93

図91： DNS セキュリティに関する責任の所在 ... 94 図92： DNS の視認性 ... 94 図93： DNS サービスに影響を与える DDoS 攻撃 ... 95 図94：サービス・プロバイダDNS のセキュリティ対策 ... 95 図95：企業DNS のセキュリティ対策 ... 96

結論

... 97

著者の紹介

_{... 99}

用語集

... 100

(8)

はじめに

本レポートは、

Arbor Networks の調査結果を

提供する「第

12 版年次ワールドワイド・イン

フラストラクチャ・セキュリティ・レポート」

（

WISR）です。 WISR に含まれるデータ

は、セキュリティの運用に携わる全世界の関

係者の経験、考察、懸念事項に基づいて作成

されています。

Arbor Networks は、2016 年

10 月に実施された調査を通じてデータを収集

しました。

Arbor Networks は、過去 12 年にわたり、

WISR を発行してきました。WISR では、ネッ

トワーク事業者が直面する脅威に関する詳細

情報のほか、データを総合的にまとめ、自由

に閲覧できる情報源として提示しています。

WISR は創刊以来、日々のセキュリティ運用に

直接関与している現場担当者から収集した調

査データに基づいており、継続的な調査活動

として実施されています。過去

12 年間にわた

り、調査の対象と規模は大きく変化してきま

したが、運用の面でインフラのセキュリティ

に対する有用な洞察を提供することを一貫し

て中核的な目的としています。

WISR は、企業や組織が現在直面して

いる脅威における主要な動向に焦点を

当て、そうした脅威に対して企業や組

織が講じるべき対策を示唆するもので

す。

(9)

調査方法

—

第12 版年次の WISR は、自由記述式と選択式からなる_{133 問の質問で構成されており、2015 年度の} 質問数172 問から大きく削減されています。質問数は少なくなりましたが、特定の論理の流れに沿って回答できるようになっており、サービス・プロバイダおよび企業/行政機関/教育機関は自らの分類に基づいて、異なる一連の質問を確認できます。質問事項は回答者の分類によって異なります。これは、_{2015 年度の回答者からのフィードバックに} あった、質問の数を減らしてほしいという要望に応えるものです。 2015 年度と同様に、脅威に関する展望およびテクノロジーの変化とともに、2015 年度の調査結果に質問項目を対応させるために質問内容を修正しました。2016 年度の調査は、DDoS 攻撃、企業ネットワークセキュリティ、IPv6、データセンター、モバイル・ネットワークなどのセクションに分割して、それぞれのトピックをカバーしています。各セクションには、回答者の考察や懸念事項のほか、必要に応じて、懸念事項への対策としての防御メカニズムが含まれています。 Arbor Networks は、セキュリティの実態を可能な限り正確に把握するため、セキュリティの運用に携わる関係者を特定し、WISR の調査表を配布しています。ネットワークやセキュリティの直接的な運用経験がない回答者は対象外としているにもかかわらず、回答者数は増加し続けています。_{2015 年度の} 回答者数は354 名でしたが、2016 年度の回答者数は356 名となっています。

(10)

回答者に関する

基本統計データ

回答者の

分類

(11)

2015 年度の結果と同様に、全回答者の 3 分の 2 がセキュリティ担当、ネットワーク担当、運用担当のプロフェッショナルです（図 4）。中でもセキュリティのプロフェッショナルが最も多く、このバックグラウンドを持つ回答者が 40%いることになります。調査では、あらゆる地域における幅広い回答者を対象としています（図 5）。米国とカナダが回答者の地域のトップとなっており、西/中央/東ヨーロッパが僅差でそれに続いています。2016 年度は、アジア太平洋とオセアニアの回答者が大幅に増加し、それに応じて南米と中近東_{/アフリカの割合がわ} ずかに減少しています。図_{5：回答者の地理的情報} 40% 1% 16% 12% 23% 5% 3% 45% 45% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 28% 32% 23% 25% 41% 23% 7% 10% 図_{4：組織における回答者} の役職米国/カナダ中南米西ヨーロッパ/中央ヨーロッパ/東ヨーロッパ（ロシアおよびアイスランドを含む）中近東/アフリカアジア太平洋/オセアニア米国/カナダ中南米西ヨーロッパ/中央ヨーロッパ/東ヨーロッパ（ロシアおよびアイスランドを含む）中近東/アフリカアジア太平洋/オセアニア本部または本社組織をどこに置いていますか？どの地域でネットワーク運用を展開していますか？

組織における

回答者の役職



その他

(12)

主な所見

サービス・プロバイダ

—

運用上の脅威

• 顧客への DDoS 攻撃は、サービス・プロバイダが共通して経験している運用上の第1 位の脅威です。 • 好ましい傾向としては、障害またはコンフィギュレーション・エラーによるインフラの機能停止を経験した回答者の割合が減少し続けていることが挙げられます。 • 2017 年度のセキュリティに関する懸念事項としては、DDoS 攻撃が引き続き大半を占めており、次に帯域幅飽和攻撃が続いています。 • 過去の年度から一貫して、NetFlow アナライザーが脅威検知の手法として最も一般的に採用されており、次いでファイアウォール・ログが位置しています。また、回答者は _{SNMP ベースの手法やインライン型 DDoS の検知とミティゲー} ションのシステムの利用も増加していることを示唆しています。 • NetFlow アナライザーは引き続き脅威検知の最も有効な手法となっていますが、ファイアウォール・ログは 2016 年度も有効性の面では不十分と見なされています。

DDoS 攻撃

回答者によって_{2016 年度報告された最大} 規模の攻撃は800Gbps であり、2015 年度から_{60%拡大しています。その他、大規模} な攻撃として、600Gbps、550Gbps、 500Gbps の攻撃が他の回答者によって報告されました。また、ATLAS のデータは極めて大規模な攻撃の頻度が2016 年度では劇的に増加していることを示しています。依然として、サービス・プロバイダは DDoS 攻撃の最大の標的であり、攻撃の割合は増加しています。クラウドベースのサービスを標的とする攻撃に遭った回答者の割合は、2015 年度の 3 分の1 からわずか 4 分の 1 へと大幅に減少しています。

(13)

2016 年度も、さらに多くの回答者（83%）が、DDoS 攻撃のミティゲーションのために、イン テリジェント DDoS ミティゲーション・システム（IDMS）を使用しているという好ましい結果 が出ています。回答は、ファイアウォールやロード・バランサーなどの非効果的なソリューションの使用機会が著しく減少していることを示唆しており、これもまた好ましい傾向です。 • 2016 年度は、約 3 分の 1 の回答者が 100Gbps を超えるピーク攻撃サイズを経験したと回答しており、回答者の 8 分の 1 は 200Gbps を超えていたと回答しています。 • 2016 年度も再び、DDoS 攻撃の標的にされる顧客のうちで最も多い種別は、エンドユーザー/サービス利用企業となっています。また、行政機関が金融機関とホスティング事業者を上回り、第2 位となっています。 • 過去 2 年間にわたり、全世界において大ボリューム攻撃の規模と頻度が著しく増加していることに注目してきました。この傾向は継続しています。 • 2016 年度は、サービス・プロバイダの 95%がアプリケーション層攻撃に遭いました。 • 2016 年度は、すべてのリフレクション/アンプリフィケーション・プロトコルにおいて攻撃行為が増加しました。DNS は最も利用されているリフレクション・プロトコルであり、 NTP が僅差で続いています。また、調査結果によると、SSDP、Chargen、SNMP が頻繁に利用されており、_{Chargen の利用が 2015 年} 度比で最も急速に伸びています。 • サービス・プロバイダの 67%がネットワーク上でマルチベクトル型攻撃に遭っており、 2015 年度の 56%および 2014 年度の 42%から著しく伸びています。 • アプリケーション層攻撃で最も標的とされたサービスは、DNS、HTTP、セキュアな Web サービス（HTTPS）でした。 • DDoS 攻撃の頻度は増加しており、回答者の 53%が月当たり 51 回を超える攻撃に遭っており、2015 年度の 44%から上昇しています。 • 2016 年度では、オンラインゲームが DDoS 攻撃の動機の第 1 位に挙げられています。イデオロギー上のハクティビズム（ハッキング活動）が再び第 _{2 位となり、犯罪者による攻} 撃能力の誇示が僅差で第3 位となりました。 • 2016 年度は、回答者の 13%が IPv6 DDoS 攻撃に遭っており、2015 年度の 9%および 2014 年度の 2%から大幅に増加しています。 • DDoS 攻撃に対して 20 分未満でミティゲーションを行う対策を講じている回答者の割合は、2014 年度の 68%、2015 年度の 74%から再び増加し、77%に達しています。 • DDoS の検知とミティゲーションのサービスに関心を抱いている回答者の割合が増加する傾向は 2016 年度も続いており、サービス・プロバイダの 78%（2015 年度から 4%増加）が顧客からの需要増加を認識しています。_{2016 年度は、行政機関と金融機関が需} 要増の第1 位であり、それらのサービスに対する需要を促進する二大業種となっています。

(14)

主な所見

サービス・

プロバイダ

—

データセンター運用者

• 回答者の約 3 分の 2 が、マネージド・ホスティング、コロケーション、パブリック/プライベート・クラウドのサービスを運用しています。マネージド・ホスティングとコロケーション同様にクラウドが一般化している事実は、クラウドベースのデータ_{/アプリケーション・サービスが} いかに急速に採用されているかを示しています。 • ほぼ 4 分の 1 の回答者が 10 万ドルを超える主要 DDoS 攻撃の損害を確認しており、回答者の 5%が 100 万ドル超の損害があったと述べています。これは、優れた _{DDoS 攻撃対策の重要性を示していま} す。 • 2015 年度と同様、DDoS 攻撃の標的は第 1 位が顧客、第 2 位がサービス・インフラとなっています。 • 回答者の 60%超が攻撃によってデータセンターの帯域幅が完全に飽和することを確認しており、2014 年度の 3 分の 1 および2015 年度の 2 分の 1 から増加しています。 • 多層構造によるインテリジェント DDoS 攻撃対策を利用している回答者の割合は、51%から 56%に増加しています。また、OOB 管理ネットワークを利用している回答者の割合は _{44%から 52% へ、} uRPF を利用している回答者の割合は 40%から 48%へとそれぞれ増加しています。回答者の60%がデータセンターを標的にしたDDoS 攻撃に遭っており、これは2015 年度の 55%から上昇しています。攻撃頻度は再び大幅に増加しており、月当たり_{50 回を超える攻撃} に遭った回答者は、2015 年度は 8%にすぎませんでしたが、2016 年度は21%になっています。

移動体通信事業者

• セキュリティの強化は視認性の向上から始まります。移動体通信事業者は、全体的な視認性能を向上させるべく投資を行ってきました。 • 2016 年度の回答者は、加入者デバイスの侵害検知（37%）およびレイヤ3、レイヤ 4、レイヤ 7 における視認性の両方が増加していると答えています。 • 移動体通信事業者は、モバイル・インフラ/ ユーザーを標的にした DDoS 攻撃（74%）、および Gi/SGi インターフェースを標的にした DDoS 攻撃（72%）が大幅に増加していると回答しています。

IPv6

• 2015 年度は、自社ネットワークに IPv6 を導入済みか導入予定があるサービス・プロバイダの割合は 10%の伸びでしたが、2016 年度は 78%になりました。 • IPv6 サービスを利用しているエンドユーザー_{/サービス利用企業の割} 合はいずれも伸び続けています。 • 2016 年度は、IPv6 ネットワークのトラフィック・レベルのピークが 6Tbps と回答されており、2015 年度から 20%増加しています。経験データは比較的急速なトラフィック量の増大を示しているにもかかわらず、増加率の見通しは低い水準のままです。 • サービス・プロバイダの 76%が IPv6 攻撃のミティゲーションに IDMS を利用しており、2015 年度から9%増加しています。 DDoS 防御にファイアウォールを利用している回答者の割合は、 71%から 40%へと大幅に低下しており、極めて好ましい結果となっています。回答者の43%が DDoS 攻撃の最中にファイアウォールまたは IPS/IDS デバイスの機能停止が発生したり、それらのデバイスが機能停止の原因になったりしたことがあると回答しています。

DDoS 攻撃はサービ

ス・プロバイダに

とって

IPv6 セキュリ

ティ懸念事項のトッ

プとなっています。

(15)

主な所見

データセンターは

SDN/NFV にとって最も一般

的な場所となります。また、固定回線サービス

における

SDN/NFV 導入に対する関心は、前年

と比較しても大幅に増加しています。

組織セキュリティ対策

• スプーフィング防止フィルターを導入している割合は2015 年度の 37% から 48%へ増加しました。それでもなお、インターネット上でのリフレクション/アンプリフィケーション DDoS 攻撃が引き続き発生していることから、さらに大幅な増加が予測されています。 • 回答者の 57%が DDoS 防御シミュレーションを実施していると答えています。この割合は、2015 年度の 46%から増加して、過去 4 年間の調査で最高のレベルとなっています。さらに好ましいのは、少なくとも四半期ごとにインシデント対応の訓練時間を設けるサービス・プロバイダ組織が増加していることです。 • 残念ながら、経路ハイジャックをモニタリングしている回答者の割合が、2015 年度の 54%から 29%に減少しています。 • リソース不足や、雇用と運用資金調達の難しさが、効果的な運用セキュリティ（OPSEC）チームを設立し、維持する上での最大の課題となっています。

SDN/NFV

• 2015 年度の調査で集めた回答と比較すると、ISP 環境における SDN/NFV テクノロジーの導入に劇的な減少が見られます。2016 年度は、回答者の 9% のみが本稼働ネットワークに SDN/NFV テクノロジーをすでに導入しており、およそ27%がこのテクノロジーについて検討中またはテスト中であると答えています。 • サービス・プロバイダ・ネットワーク全体における SDN/NFV テクノロジーの導入を妨げている障壁を見てみると、運用上の懸念が53%で第 1 位、次いでコストの 45% 、相互運用性の 41%という結果になっています。サービス・プロバイダの87%がセキュリティの専任担当者を有しており、そのうちおよそ_{3 分の 1 が} 1～5 人、4 分の 1 が 30 人超となっています。2%のみがセキュリティ・オペレーション・センター（SOC）を外部委託しています。グローバルな OPSEC グループへの参加については、 41%から 26%へと劇的に減少しており、過去3 年間で最低のレベルとなっています。

(16)

主な所見

企業

/行政機関/教育機関（EGE）

—

ネットワークセキュリティ

• DDoS は、2015 年度の調査結果と同様に、今回の調査期間において EGE 回答者が経験した最も一般的な脅威です。2015 年度において共通して報告された脅威の第3 位だった偶発的なデータ損失が、第 2 位に上昇しています。 • さらに、企業回答者の 60%超が APT を第 1 位の脅威としており、第 2 位の DDoS 攻撃を上回っています。 • 2015 年度と同様に、EGE 回答者のネットワーク内の脅威検知において最も一般的に利用されているツールは、ファイアウォール、IDS、SIEM となっています。 • インライン型 DDoS の検知とミティゲーションのシステムは、2016 年度の回答者のおよそ半数が脅威検知に利用しており、NetFlow ベースのアナライザーがそれに僅差で続いています。

DDoS 攻撃

EGE 回答者は、インフラは最も一般的な攻撃対象であり続けていると答えています。回答者のおよそ60%がダウンタイムのコストを500 ドル/分を超えるものと見積もっており、中にはさらに莫大な出費になるという意見もあります。攻撃頻度は上昇傾向にあり、回答者の 45%が月当たり 10 回超の攻撃に遭っており、_{38%が年々増加していると回答して} います。

(17)

2016 年度の結果は、企業/行政機関/教育機

関（

_{EGE）の回答者の 42%が 2015 年度中}

において

_{DDoS 攻撃に遭ったことを示して}

おり、これは

2015 年度から 8%増加して

います。また、銀行

_{/金融機関および行政機}

関の回答者も著しく高い割合で攻撃に遭っ

たと答えています。

IPv6 • 現在、EGE の回答者の 67%が IPv6 上でのインターネット向けサービスを提供しています。 • 回答者のおよそ半数が、デュアルスタック・デバイスに対するIPv6 攻撃や関連するIPv4 サービスへの潜在的影響について適度または大きな懸念を抱いています。

自社ネットワークに

IPv6 を

導入済みまたは導入予定があ

ると答えた

EGE 回答者の割

合が大幅に伸びており、

2015

年度はわずか

26%だったのが

今回は

38%まで上昇していま

す。

• 回答者の 4 分の 1 がアプリケーション層を標的にした攻撃に苦慮しており、これはサービス・プロバイダ回答者が答えた 16%よりも大幅な高水準となっています。Web サービス（HTTP）は標的のトップとなります。 • 全体的に DDoS の脅威の理解度が上昇するとともに、_{IDMS（44%）とベスト・プラクティスに基づ} くハイブリッド型の防御（30%）の両方を導入している組織の数が増加傾向にあります。また、24 時間無停止のデバイスまたはサービスを利用している組織の数も同じく増加傾向にあります（26%）。 • ファイアウォール、ロード・バランサーおよび CDN は、DDoS 攻撃に対するミティゲーションの有効性において、すべて同率最下位となります。 2015 年度と同様に、回答者のおよそ半数は攻撃中にファイアウォールまたは IPS デバイスの機能停止が発生したり、それらが機能停止の原因になったりしたことがあると回答しています。 • 2016 年度の調査結果では、最も一般的に認識されているDDoS 攻撃の最大の動機は、政治/ イデオロギー上の論争と犯罪者のゆすり行為となっています。 • 調査結果は、DDoS 攻撃の成功によるブランドへの影響と運用上の被害出費に関してよく理解していることを示しており、これがDDoS 攻撃および防御戦略に対する注力を促しています。

IPv6

(18)

主な所見

企業

/行政機関/

教育機関（

EGE）

—

SON/NFV

組織のセキュリティ

• 2016 年度の EGE 回答者の 93%が少なくとも数名のセキュリティの専任担当者を有しており、サービス・プロバイダ回答者よりも高い割合となっています。ただし、大規模なセキュリティ・チームを有する割合ははるかに低くなります。 • 回答者の 9%が SOC を外部委託しており、これはサービス・プロバイダよりもさらに高い割合となっています。 • 今回は回答者の 54%が DDoS 防御シミュレーションを実施していると答えており、およそ30%が少なくとも四半期ごとにシミュレーションを行っています。

EGE 回答者が効果的な

OPSEC チームを設立し

て維持する場合、雇用

の難しさとリソースの

不足が主な課題となり

ます。

EGE 回答者のおよそ 40%が SDN/NFV テクノロジーの導入を予定していますが、現在においてソリューションについて検討中またはテスト中であるのは21%にすぎません。 EGE 回答者の SDN/NFV 利用予定数はサービス・プロバイダの予定数よりも少なくなっています。 EGE のネットワーク・インフラにおいてSDN/NFV 導入の障壁の第1 位となっているのがコストで、56%となっています。サービス・プロバイダと同様に、運用上の懸念も 51%となり、リストの上位に位置しています。

(19)

主な所見

DNS 運用者

—

• DNS の専用セキュリティ機能の割合は、2015 年度の 28%から 22%に低下しています。これは大幅な下落であり、残念な結果となっています。 • DNS インフラを標的とし、なおかつサービスに影響する_{DDoS 攻撃に遭っ} た回答者の割合は、2015 年度の 30% から27%へと若干低下しています。大方の予想どおり、サービス・プロバイダが攻撃に遭う可能性の方が高いようです。 • サービス・プロバイダにとって、インテリジェント _{DDoS ミティゲーショ} ン・システム（IDMS）は DNS インフラの保護に使用する最も一般的なセキュリティ対策であり、第 2 位に ACL、第 3 位にファイアウォールが続いています。 DNS トラフィックの視認性は改善されています。2016 年年度の回答者の4 分の3 がレイヤ 3/レイヤ_{4 の視認性がある} と述べており、2015 年度の63%よりも上昇しています。ファイアウォール、 IPS/IDS、iACL は、依然としてDNS インフラ保護に使用される最も一般的なテクノロジーです。

企業は依然として、

DDoS の脅威からインフラを保護する上で、専用設計さ

れたセキュリティ・ソリューションよりも汎用のセキュリティ・ソリュー

ションを好んでいます。

(20)

サービス・プロバイダ

—

運用上の脅威

顧客への

DDoS 攻撃は、サービス・プロバイ

ダにとって共通して経験している運用上の第

1 位の脅威です。好ましい傾向として、障害ま

たはコンフィギュレーション・エラーによる

インフラの機能停止を経験した回答者の割合

が減少し続けていることが挙げられます。

2017 年度のセキュリティに関する懸念事項と

しては、

DDoS 攻撃が引き続き大半を占めて

いますが、これが

IoT ボットネットベースの

DDoS 攻撃の増加によって裏打ちされたもの

であることは間違いありません。また、帯域

幅飽和攻撃についても懸念の高まりが顕著で

す。

依然として、

NetFlow アナライザーが脅威検

知用に最も一般的に使用されるツールとなっ

ており、次いでファイアウォール・ログが位

置しています。また、

NetFlow アナライザー

は引き続き脅威検知の最も有効な手法となっ

ていますが、ファイアウォール・ログは

2016

年度も有効性の面では不十分と見なされてい

ます。また、回答者は

SNMP ベースの手法や

インライン型

DDoS の検知とミティゲーショ

ンのシステムの利用も増加していることを示

唆しています。

(21)

この第

12 版年次 WISR に

おいても、再び

_{DDoS 攻撃}

はサービス・プロバイダが

経験する極めて一般的な脅

威となっています。

DDoS 攻撃に遭ったサービス・プロバイダの割合は、2015 年度の 77%から 86%へと上昇しました（図6）。DDoS 攻撃に遭ったサービス・プロバイダの割合の永続的な増加は、攻撃の発生数と広範にわたる標的の多さを示すものとなっています。また、2017 年へ向けたサービス・プロバイダの懸念事項の第 1 位も、引き続き DDoS 攻撃となります。第 2 位は 7%上昇した帯域幅飽和攻撃で、比較的安定した割合を保っていたインフラの機能停止から変わっています。IoT ボットネットのすう勢と顕著な攻撃が持続していることにより、DDoS 攻撃は 2017 年度も第一の懸念事項を維持するものと予想されます。図_{6：サービス・プロバイダが経験した脅威と問題} 88% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 86% 3% 2% 37% 46% 12% 46% 42% 29% DDoS 攻撃インフラの機能停止（障害もしくはコンフィギュレーション・エラーによる一時的停止または完全停止）

帯域幅飽和攻撃（ストリーミング、OTT（Over The Top）サービス、ユニーク・イベント、フラッシュ・クラウド）

コマンド＆コントロール・ネットワークの侵害

その他

DDoS 攻撃

インフラの機能停止（障害もしくはコンフィギュレーション・エラーによる一時的停止、または完全停止）

帯域幅飽和攻撃（ストリーミング、OTT（Over The Top）サービス、ユニーク・イベント、フラッシュ・クラウド）

コマンド＆コントロール・ネットワークの侵害その他サービス・プロバイダが経験した脅威サービス・プロバイダの懸念事項

(22)

その他

(23)

DDoS 攻撃の

規模と標的

—

回答者によって

2016 年度報告された最大規

模の攻撃は

800Gbps でした。この他に

600Gbps 、 550Gbps 、 500Gbps の攻撃が

あったと報告する回答者もいました。最大

規模の

DDoS 攻撃が顕著に増加している傾

向は過去数年にわたり継続しています。ま

た、データは極めて大規模な攻撃の頻度が

2016 年度に劇的に増加していることを示し

ています。莫大な量のトラフィックを生成

する攻撃者の能力は、かつてないほど顕著

になっています。

依然として、サービス・プロバイダ顧客が

DDoS 攻撃の第 1 位の標的であり、サービ

スおよびネットワークのインフラがそれに

続いています。

2016 年度も再び、標的にさ

れる顧客のうちで最も一般的な種別は、エ

ンドユーザー

/サービス利用企業となってい

ます。

2016 年度は、行政機関が金融機関と

ホスティング事業者を上回り、第

2 位と

なっています。クラウドベースのサービス

を標的とする攻撃に遭った回答者の割合

は、

2015 年度の 3 分の 1 からわずか 4 分の

1 へと大幅に減少しています。

回答者によって

2016 年度報告された最

も大規模な

_{DDoS 攻撃は 800Gbps とな}

りました。

(24)

2016 年度の調査期間全体を通して、攻撃者がリフレクション/アンプリフィケーション技術を使用して、 DNS、NTP、SSDP、Chargen などのプロトコルに存在する脆弱性を悪用することにより、攻撃規模の最大化を図るという傾向が続いています。また、スプーフィングやリフレクション/アンプリフィケーション技術を用いない、IoT デバイスの脆弱性の悪用による大規模パケット・フラッド生成の増加が顕著となっています。回答者によって 2016 年度報告された最大規模の攻撃は 800Gbps でした。この他に 600Gbps、 550Gbps、500Gbps の攻撃があったと報告する回答者もいました（図 8）。 2015 年度は、およそ 4 分の 1 の回答者が 100Gbps を超えるピーク攻撃サイズを経験したと回答し、大規模攻撃に関する_{DDoS 問題の幅広さを強調する結果となりました。2016 年度は、およそ 3 分の 1 の回答者が} 100Gbps を超えるピーク攻撃サイズを経験したと回答し、さらに 8 分の 1 の回答者が 200Gbps 超の攻撃に遭ったと答えています。概して 2016 年度は、大規模攻撃のピーク攻撃サイズと頻度が劇的に増加しています。これは_{ATLAS のデータに裏付けられたものです（ATLAS の攻撃サイズ参照）。} 図_{8：ピーク攻撃サイズ（Gbps）}

800

Gbps

概して

_{2016 年度は、大規模攻撃のピーク攻撃サイ}

ズと頻度が劇的に増加しています。これは

_ATLAS

のデータに裏付けられたものです（

_{ATLAS の攻撃}

サイズ参照）。

309

Gbps

100

Gbps

24

Gbps

(25)

調査参加者がモニタリングした DDoS 攻撃の標的を見てみると、依然として顧客が最大の標的となっています（図_{9）。2016 年度は攻撃の 4 分の 3 が顧客を狙ったものであるのに対} して、2015 年度はこの割合が 3 分の 2 にすぎませんでした。サービスおよびネットワークのインフラを標的にする攻撃の割合も、2015 年より大幅に減少しています。これは、攻撃者が間接的攻撃による巻き添え被害を期待するよりも、標的への直接的な攻撃を指向する傾向にあることを示しています。 2016 年度も再び、標的にされる顧客のうち最も一般的な種別は、エンドユーザー/サービス利用企業となっています（図10）。エンドユーザー加入者は一般に、個人間のいさかいや対戦型ゲームに関連した攻撃の標的となっています。行政機関は金融機関とホスティング事業者を上回り、第2 位となっています。2015 年度は第 3 位だった E コマースは第 5 位となり、ゲーム・サイトと僅差になっています。

攻撃の標的となる

顧客業種

69%

エンドユーザー/サービス利用企業

48%

行政

41%

金融

40%

ホスティング

36%

E コマース

35%

ゲーム・サイト

31%

教育

13%

司法

10%

医療

10%

エネルギー/公益事業

9%

ギャンブル・サイト

7%

製造

7%

その他図_{10：攻撃の標的となる} 顧客業種図_{9：攻撃の標的の割合} 0% 20% 40% 60% 80% 30% 10% 50% 90% 70% 100%

75%

11%

13%

サービス・インフラ（DNS、Web ポータルなど）

依然として、顧客は最大の標

的であり、攻撃の

_{4 分の 3 が}

顧客を狙ったものです。

₂₀₁₅

年度のこの割合は

_{3 分の 2 に}

すぎませんでした。

ネットワーク・インフラ（ルーター、ファイアウォールなど）顧客

(26)

19%

21%

35%

25%

クラウド・サービスは急速に成長を続けており、クラウドベースのアプリケーションやサービスの採用を予定する組織がますます多くなっています。クラウド・サービスは、顕著なパフォーマンス、柔軟性、コスト・メリットをビジネスにもたらす可能性を示しています。しかしながら、クラウド・サービスの可用性は顧客との接続性によって決まります。2016 年度におけるクラウドベースのサービスを標的とする攻撃に遭った回答者の割合は、2015 年度の 3 分の 1 からわずか 4 分の1 へと減少しています（図 11）。興味深いことに、2016 年度は「該当なし」の割合も増加しています。これは、サービス・プロバイダ回答者がクラウド・サービスの利用や準備から、何らかのかたちで撤退していることを示唆している可能性があります。クラウド・サービスを標的とする攻撃に遭った回答者の割合が低下しているとしても、マルチテナント型のクラウド・サービスの場合は、 DDoS の脅威に対して保護対策を講じる正当な理由があります。1 人の顧客を標的にした攻撃が意図しない他の標的にまで影響する巻き添え被害は、クラウド・サービスの全顧客に対する甚大なリスクを意味します。

—

たった

1 人に対する攻撃が他の大勢の

人にも影響する可能性があるのです。

分からない該当なし

クラウド・

サービスを標的と

する攻撃

あるない図_{11：クラウド・サービスを標的とする攻撃}

(27)

AT

LA

S

ATLAS スペシャル・レポート

—

攻撃サイズ

今回の調査期間において、

ATLAS

®

_{システムは世界中の}

₅₀₀

人超の

Arbor Networks SP の顧客

から統計データを収集しました。

その中でも

330 人の顧客には日常

的に参加していただきました。統

計データは

1 時間ごとに共有さ

れ、その中には、ネットワークの

境界をまたぐトラフィックについ

ての集計情報に加え、モニタリン

グした

DDoS 攻撃の詳細も含まれ

ます。

Arbor のチームはこの一連の固有データセットをまとめて解析し、 DDoS 攻撃行為の主な傾向を見極めます。さらに、このデータは、業界カンファレンスのプレゼンテーションや研究レポートにおいて幅広いセキュリティ運用関係者に公開されます。 Arbor Networks は 2016 年の各種フォーラムにおいて、攻撃の規模や頻度の急速な増加について、攻撃能力に寄与するリフレクション /アンプリフィケーションおよび IoT ボットネットとともに強調してきました。今回の調査期間において ATLAS がモニタリングした最大の攻撃は 579Gbps を記録しました。この攻撃の対象は英国でした。WISR の調査データを見てきたとおり、これはもちろん _{2016 年度に発生し} た最大規模の攻撃ではありません。ATLAS が示しているものは、超大規模攻撃がいかに定常的に世界中で発生しているかという事実（図AT1）であり、週単位のピーク攻撃サイズは 2015 度に確認したものよりも大きくなっています。

2016 年 12 月現在、

ATLAS は、インターネッ

トの約

_{3 分 1 についての}

情報を提供し、週に約

₁₃

万

_{5,000 回のホスト悪用に}

よる

_{DDoS イベントを追}

跡しています。

579

Gbps 図_{AT1：ATLAS がモニタリングした 2015 年度と 2016 年度のピーク攻撃サイズ（Gbps）} 1 週目 10 週目 20 週目 30 週目 40 週目 50 週目

(28)

AT

LA

S

2016 2014 2013 2015 39 159 223 16 558 87 0 100 200 300 400 500 600 01/04/15 03/08/15 05/17/15 0 26/157/ 10/04/15 1 13 /152/ 02/21/16 05/01/16 0 10/167/ 09/18/16 11/27/16 2016 年度は、ATLAS がモニタリングした超大規模攻撃の数が急速に増加し続けています（図 AT2）。2015 度と比較すると、2016 年度に追跡した100Gbps 超の攻撃数は 2 倍を超えています。2015 年度に ATLAS が 100Gbps 超の攻撃を223 回追跡したのに対し、2016 年度は 558 回であり、また 200Gbps 超の攻撃については、2015 年度の 16 回に対して 87 回になっています。異なる攻撃サイズが混在する全体でも、割合の面でも急増しています。_{2015 年度は攻撃の} 16%が 1Gbps 超でした。2016 年度は、この割合が20%に上昇しています。しかしながら、図AT3 は、攻撃の大多数は依然として比較的小規模なものとなっていることを示しています。実際、88%が 2Gbps 未満です。500Mbps～2Gbps のサイズの攻撃でも、多くの企業のインターネット接続性を容易に飽和させる能力があります。このカテゴリーの攻撃はATLAS がモニタリングした DDoS 攻撃の約18%を占め、2016 年度においては 110 万を超えるイベント数となっています。平均攻撃サイズは、_{2015 年度の 760Mbps から} 931Mbps へと増加し、23%の伸びとなりました（図_AT4）。 70% 1% <1% 10% 8% 7% 3% 100Gbps 超図_{AT2：2015 年度比による大規模攻撃増加} 200Gbps 超図_{AT3：攻撃サイズの分類}

攻撃サイズの

分類

現在の増加傾向

が続いた場合、

平均攻撃サイズ

は

_{2017 年度末ま}

でに約

_1.2Gbps

に達することに

(29)

AT

LA

S

攻撃頻度は全体的に

増加しており（図

AT5 ）、 1 ～ 10Gbps

レンジの攻撃頻度が

最速で伸びていま

す。

図_{AT5：2015 年～2016 年の平均攻撃頻度} 01/04/15 03/08/15 05/17/15 07/26/15 10/04/15 1 13 /152/ 02/21/16 05/01/16 0 10/167/ 09/18/16 11/27/16 7/ 0 26/15 01/04/15 03/08/15 05/17/15 10/04/15 1 13 /152/ 02/21/16 05/01/16 0 10/167/ 09/18/16 11/27/16 01/04/15 03/08/15 05/17/15 0 26/157/ 10/04/15 1 13 /152/ 02/21/16 05/01/16 0 10/167/ 09/18/16 11/27/16 2～10Gbps の攻撃 _2～5Gbps _5～10Gbps 10～50Gbps の攻撃 _10～20Gbps _20～50Gbps 50～250Gbps の攻撃 _50～100Gbps _{100～250Gbps}

(30)

AT

LA

S

2015 年度における 50 パーセンタイル、75 パーセンタイル、90 パーセンタイル、95 パーセンタイルの攻撃サイズを見てみると、全体的に増加しているのが分かります（図 AT6）。75 パーセンタイルは最速で増加しており、2016 年度のデータによると約 _{36 週で 2 倍と} なっています。また、90 パーセンタイルの攻撃サイズも1 年弱で 2 倍となることが予想されます。図_{AT6：2016 年の時間的な攻撃パーセンタイル（Mbps）}

攻撃の継続時間

ATLAS システムは攻撃の継続時間の

追跡も行います。

2016 年度の ATLAS は、2015 年度から一貫している傾向として、攻撃の約91%が 1 時間未満で終了したことを示しています（図 AT7）。 2016 年度の攻撃の平均継続時間は 55 分であり、2015 年度に報告された58 分より若干短くなっています。これも 2014 年度から一貫していることです。ただし、個々の ATLAS がモニタリングしたイベントのほとんどは攻撃継続時間が _{1 時間未満ですが、往々にしてそうした攻撃は、攻撃} 者が長期にわたって攻撃の開始/停止を散発的に繰り返す、マルチイベント・キャンペーンの一部である可能性があります。これは、多層化された DDoS 防御戦略を運用していない組織に対して、ミティゲーションをより複雑にするために意図的に行われます。そのような組織は、攻撃を受けるごとに、トラフィックをサービス・プロバイダまたはクラウドベースの DDoS ミティゲーション・サービスに振り向ける必要があります。 01/04/15 03/06/15 05/15/15 07/24 /15 10/02/15 12/11/15 84% 2% <1% 6% 5% 1% 1% 90 75 50 95 図_{AT7：攻撃継続時間の分類}

攻撃継続時間

の分類



30 分未満

(31)

AT

LA

S

22% 12% 7% 4% 3% 3% 3% 2% 2% 2% 0% 5% 10% 15% 20% 25% 20% 10% 8% 7% 7% 5% 4% 4% 3% 3% 0% 5% 10% 15% 20% 25%

標的にされた国

2016 年度は、最も

頻繁に

DDoS 攻撃

の標的となる上位

2 カ国に変化がありま

した（図

AT8）。

2015 年度は、米国が第 1 位、中国が第 2 位になっていました。2016 年度は、米国は第 1 位のままですが、中国が韓国と入れ替わって第3 位になりました。米国は依然として第 1 位であるものの、米国を標的にした攻撃の割合は32%から 22%へと大幅に低下しています。注意しなければならないのは、DDoS 攻撃元/攻撃先の IP アドレスを地理的位置にマッピングするのが課題であることです。その理由は、攻撃者が自らの行為を分かりにくくするために使用するIP スプーフィングなどの技術に対処するためです。 2016 年度における 10Gbps 超の攻撃の標的は、米国とサウジアラビアがトップでした（図 AT9）。米国の大規模攻撃の割合は 2015 年度と類似しています。しかしながら、サウジアラビアの攻撃の割合は 2015 年度の 1.4%から 9.6%へと飛躍的に伸びており、年間で 10Gbps 超の攻撃が約 9,000 回に上りました。また、英国を標的にした攻撃の割合が若干伸びているのに対して、フランスを標的にした攻撃の割合は2015 年度からやや低下していることは注目に値します。

米国と韓国は

_DDoS

攻撃の標的となる上

位

_{2 カ国となってい}

ます。

米国とサウジアラビ

アは

_{10Gbps 超の}

DDoS 攻撃の標的と

なる上位

_{2 カ国と}

なっています。

米国中国フランス韓国オーストラリアトルコブラジル英国ベルギー米国マレーシアサウジアラビアフランスカナダ英国クウェート韓国オーストラリアドイツカナダ図_{AT8：DDoS 攻撃の標的になった国の上位（%）} 図_{AT9：10Gbps 超の DDoS 攻撃の標的になった国の上位（%）}

(32)

AT

LA

S

47% 1% <1% 29% 11% 10% 2%

リフレクション

過去

2 年間、Arbor Networks はリフレクション/アンプリフィケーション攻

撃ベクトル専用の詳細セクションを設け、それらの進化と利用についての詳

細を追加で提供してきました。

2016 年度においては、リフレクション/アン

プリフィケーション攻撃ベクトルが世界中の攻撃者によって活用され続けて

いますが、変化もありました（図

ATLAS の

リフレクション

_/

アンプリフィケー

ション攻撃

(33)

AT

LA

S

リフレクション/アンプリフィケーション攻撃の平均攻撃サイズが、DDoS 脅威全体でより一般的な攻撃のサイズより大きいとしても納得できます（図_AT12）。平均攻撃サイズはすべてのプロトコルで_{1Gbps を超} えます。リフレクション/ アンプリフィケーションを活用した標準的な攻撃で、多くの企業のインターネット接続性を飽和させることができます。リフレクション_{/アンプリフィケーショ} ンは、攻撃者が引き起こす大ボリューム攻撃のサイズを最大化するための手段となっています。

—

しかしながら興味深

いことに、

_{2016 年}

度は攻撃の平均サイ

ズが概して低下傾向

にあり（図

_AT13）、

全体的な攻撃サイズ

の傾向と反していま

す。

図_{AT13：ATLAS のリフレクション/アンプリフィケーション攻撃の平均攻撃サイズの傾向} 0 2,500 2,000 1,500 1,000 500 3,000 3,500 3, 08 3 1, 99 2 2, 19 5 2, 03 5 1, 48 4 1, 55 3 2, 23 3 01/03/15 03/06/15 05/15/15 07/24/15 10/02/15 12/11/15 01/03/15 03/06/15 05/15/15 07/24/15 10/02/15 12/11/15 図_{AT12：ATLAS のリフレクション/アンプリ} フィケーション攻撃の平均攻撃サイズ（Mbps） DNS アンプリフィケーション NTP アンプリフィケーション SSDP アンプリフィケーション Portmap アンプリフィケーション SNMP アンプリフィケーション Chargen アンプリフィケーション MSSQL アンプリフィケーション



MSSQL アンプリフィケーション

(34)

AT

LA

S

2016 年度にモニタ

リングした最大のリ

フレクション

_/アン

プリフィケーション

攻撃は

_{NTP を利用}

しており、そのサイ

ズは

_{498.3Gbps で}

した（図

_AT14）。

—

これは、_{2015 年度にモニ} タリングしたピーク攻撃サイズの 252.64Gbps （SSDP を利用）から 97%拡大していることを示しています。実際、 2016 年度に確認した DNS と NTP では最大攻撃が 400Gbps 超、 Chargen を使用した最大攻撃では 200Gbps 超となっています。しかしながら、ピーク攻撃サイズの傾向は年間を通して完全に横ばいとなっています（図AT15）。図_{AT15：ATLAS のリフレクション/アンプリフィケーション攻撃のピーク攻撃サイズの傾向（Gbps）} 0 400 300 200 100 500 600 49 8 48 0 23 8 13 7 10 1 83 11 9 01/03/15 03/06/15 05/15/15 07/24/15 10/02/15 12/11/15 01/03/15 03/06/15 05/15/15 07/24/15 10/02/15 12/11/15 図_{AT14：ATLAS のリフレクション/} アンプリフィケーション攻撃のピーク攻撃サイズ（Gbps） Chargen アンプリフィケーション NTP アンプリフィケーション SSDP アンプリフィケーション



MSSQL アンプリフィケーション Portmap アンプリフィケーション SNMP アンプリフィケーション Chargen アンプリフィケーション MSSQL アンプリフィケーション

ワールドワイド・

インフラストラクチャ・

セキュリティ・レポート

Arbor Networks スペシャル・レポート

第

12 版

Arbor Networks について

目次

はじめに

... 6

調査方法

... 7

回答者に関する

基本統計データ ... 8

主な所見

... 10

サービス・プロバイダ

... 10

企業

/行政機関/教育機関（EGE） ... 14

DNS 運用者 ... 17

サービス・プロバイダ

... 18

運用上の脅威

... 18

ATLAS スペシャル・レポート ... 25

攻撃サイズ

... 25

攻撃の継続時間

... 28

標的にされた国

... 29

リフレクション

... 30

種別、頻度、動機

... 33

DDoS 脅威のミティゲーション ... 40

データセンター運用者

... 44

移動体通信事業者

... 49

IPv6 ... 52

SDN/NFV ... 55

組織のセキュリティ

... 58

ASERT スペシャル・レポート ... 61

IoT ボットネットの年 ... 61

ATLAS スペシャル・レポート ... 69

IoT ボットネットの追跡 ... 69

企業

/行政機関/ 教育機関（EGE） 73

ネットワークセキュリティ

... 73

DDoS 攻撃 ... 75

IPv6 ... 84

SDN/NFV ... 87

組織のセキュリティ

... 90

DNS 運用者 ... 93

結論

... 97

著者の紹介

... 99

用語集

... 100

はじめに

本レポートは、

Arbor Networks の調査結果を

提供する「第

12 版年次ワールドワイド・イン

フラストラクチャ・セキュリティ・レポート」

（

WISR）です。 WISR に含まれるデータ

は、セキュリティの運用に携わる全世界の関

係者の経験、考察、懸念事項に基づいて作成

されています。

Arbor Networks は、2016 年

10 月に実施された調査を通じてデータを収集

しました。

Arbor Networks は、過去 12 年にわたり、

_{基本統計データ ... 8}

_{... 25}

_{... 28}

_{... 29}

_{... 30}

_{... 44}

_{... 49}

_{... 58}

_{... 73}

_{... 90}

_{... 99}

サービス・プロバイダ以