MS、過去最大規模3.47TbpsのDDoS攻撃を阻止
今回は「MS、過去最大規模3.47TbpsのDDoS攻撃を阻止」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
Microsoftは、これまでに報告された最大規模の分散型サービス拒否(DDoS)攻撃が2021年11月に発生し、それを阻止したことを明かした。同社は10月、2.4Tbpsという大規模なDDoS攻撃を阻止したことを公表している。当時はこれが史上最大規模のDDoS攻撃と考えられていたが、今回明らかにされた攻撃はそれを上回る3.47Tbpsの規模だった。
DDoS攻撃は、セキュリティが侵害された多数のデバイスの接続機能を利用して、ウェブサイトやインターネットサービスといった特定の標的に大量のパケットを送信し、オフラインに追い込むことを目的としている。
現在では、Tbpsという単位が用いられる大規模なDDoS攻撃が一般的になりつつある。「Microsoft Azure」ネットワーキングチームのプロダクトマネージャーのAlethea Toh氏によると、Microsoftは12月に2.5Tbpsを超えるほかの2つのDDoS攻撃も阻止したという。
史上最大規模の3.47TbpsのDDoS攻撃は、米国、中国、韓国、ロシア、タイ、インド、ベトナム、イラン、インドネシア、台湾の約1万台のインターネット接続デバイスから仕掛けられた。「これは今までに報告された最大規模の攻撃だったとわれわれは考えている」(Toh氏)
2021年の最大規模の攻撃では、「User Datagram Protocol」(UDP)が使用されたのに対し、ゲームサーバーを標的とする攻撃は、「Mirai」DDoSボットネットマルウェアの亜種を使用して実行された。Miraiは、セキュリティが侵害されたPCやモノのインターネット(IoT)デバイスを利用する。
2021年のほかの大規模なDDoS攻撃と同様、3.47TbpsのDDoS攻撃の手法もUDP「リフレクション攻撃」だった。この攻撃では、攻撃者によって偽装された送信元のインターネットプロトコル(IP)アドレスを使用して、UDP要求パケットに対するUDP応答パケットをローカルネットワーク内に送信させる。
攻撃者は、標的のIPアドレスをUDP送信元のIPアドレスとして偽装する有効なUDP要求を作成することにより、UDPを悪用する。攻撃者は、偽装したUDP要求を仲介サーバーに送信する。仲介サーバーは、攻撃者の実際のIPアドレスではなく、標的のIPアドレスに大量のUDP応答パケットを送信する。この手法はDDoS攻撃の規模を増幅させるが、UDPは、「Domain Name System」(DNS)や「Network Time Protocol」(NTP)、「memcached」など、増幅に悪用される複数のインターネットプロトコルの1つに過ぎない。
3.47TbpsのUDPリフレクション攻撃は15分間しか続かなかった、とToh氏はブログ投稿で説明している。2.5Tbpsを超えたほかの2つの攻撃も、アジアのサーバーを標的とする短時間のバースト攻撃だった。これら3つの攻撃すべてでUDPが使用された。こうした攻撃でUDPが使われることが増えているのは、オンラインゲームサーバーは、たとえ短時間であっても、バースト攻撃に耐えることができないからだ。また、UDPはゲームやストリーミングアプリケーションで使用されることが多い。
「ゲーム業界への攻撃の大部分は、Miraiボットネットの亜種と小規模なUDPプロトコル攻撃である。圧倒的多数はIPアドレスの偽装を伴うUDPフラッド攻撃だったが、ごく一部はUDPリフレクションおよび増幅攻撃であり、ほとんどはSSDP、memcached、およびNTPだった」(Toh氏)
「マルチプレーヤーゲームサーバーなど、遅延の影響を受けやすいワークロードは、このような短時間のバーストUDP攻撃に耐えることができない。わずか数秒の障害が発生しただけで、真剣な試合に影響が及ぶこともある。障害が10秒以上続けば、多くの場合、試合は終了する」(Toh氏)
Microsoftによると、ゲーム業界は2021年、複数のDDoS攻撃に見舞われ、「Titanfall」「Escape from Tarkov」「Dead by Daylight」「Final Fantasy」が影響を受けたという。Voice over IP(VoIP)サービスプロバイダーもDDoS攻撃の標的になることが多かった。
12月に発生した2.5Tbps超のほかの2つの攻撃は、UDP攻撃だった。1つはアジアのポート80とポート443に対するUDP攻撃で、15分間続いた。ピークは全部で4回あり、1回目は3.25Tbps、2回目は2.54Tbps、3回目は0.59Tbps、4回目は1.25Tbpsだった。もう1つの攻撃はポート443に対する2.55TbpsのUDPフラッド攻撃で、5分間だけ続き、ピークは1回だけだった、とToh氏は述べている。
2021年、DDoS攻撃の約55%でUDPスプーフィングの手法が使用された。2021年後半には、UDPスプーフィングが主要な手法になった。
米国は54%のDDoS攻撃の標的になった。次に多かったのは、23%の攻撃の標的になったインドだ。その一方で、欧州を標的とするDDoS攻撃は2021年の前半(19%)から後半(わずか6%)にかけて減少し、東アジア(8%)よりも少なくなった。2021年に発生した2.4Tbpsの攻撃は、欧州のAzureクラウドユーザーを標的としていた。繰り返しになるが、東アジアは、ゲームの人気が高いことから、攻撃の標的になることが増えている。