DDoS脅威に備える–攻撃の手口とセキュリティ強化のポイント

今回は「DDoS脅威に備える–攻撃の手口とセキュリティ強化のポイント」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米国時間3月10日、「X」（旧Twitter）で複数の障害が発生し、何万人ものユーザーから同ソーシャルサイトがダウンしていると報告があった。複数回の障害が起きた後、Xはその日のうちに復旧したが、原因は何だったのだろうか。

　パレスチナを支持するハッカー集団Dark Storm Teamが、「Telegram」でXに対する分散型サービス拒否（DDoS）攻撃の犯行声明を出したが、同グループの犯行だという確証はない。

　DDoS防御サービスを提供するインターネットセキュリティ企業Cloudflareは、次のように指摘する。「送信元IPアドレスのスプーフィングは技術的に難しいことではない。インターネットに接続する全てのマシンは、任意のバイト数を送信することができ、例えば送信元IPアドレスフィールドに任意の値を設定することも可能だ」。実際に、送信元IPアドレスのスプーフィングは、DDoS攻撃を実行する手段の1つだ。

　誰の犯行かはさておき、今回のDDoS攻撃の手口はよく分かっている。

　Kevin Beaumont氏は、攻撃の発生元として考えられるのは「侵害されたカメラで構成される『Mirai』ボットネットの亜種だ」と説明した。「オリジンサーバーが（Cloudflareで）保護されていないTwitterのASN（自律システム番号）が標的になった」

　Miraiは、2016年にDynのマネージドDNSサービスに対する史上最大のDDoS攻撃で初めて使用されて以来、DDoS攻撃で繰り返し使われてきた。今回の攻撃はその最新の例に過ぎない。

　Beaumont氏は次のように語る。「このボットネットは多数の通信会社やビデオゲーム会社を標的に使われてきた。運営者は不明だが、APT、すなわちAdvanced Persistent Teenager（高度なスキルを持つ執拗なティーンエイジャー）の関与が疑われる」

　確かにそのようなグループが関わっている可能性はある。DDoS攻撃を仕掛けるのは簡単だ。実際に、ダークウェブでは長年にわたりDDoS-as-a-serviceベンダーが活動している。セキュリティ企業Heimdalによると、「サイバー犯罪者は割引やロイヤルティープログラム、メンバーシップ、サブスクリプションを提供している」という。

　Xへの攻撃はDDoSサービスプロバイダーによるものではなさそうだが、高度な技術的専門知識が必要な攻撃というわけでもない。攻撃が成功した理由は、Xの重要なASN（ネットワークルーティングポリシーを共有するIPネットワークグループの一意の識別子）が、Xの既存のCloudflare DDoS防御によって保護されていなかったことだ。Beaumont氏が指摘したように、「攻撃を受けたさまざまなサービスがファイアウォールでパブリックインターネットから保護」されると、攻撃は終了した。

　既知の不正なASNからのトラフィックをブロックすると、スパムやボットネット、DDoS攻撃などの悪意あるアクティビティーを防いで、セキュリティを強化できる。これを実現するのは、ファイアウォール、セキュリティ情報イベント管理（SIEM）システム、DNS設定だ。

　不正なASNとは、どんなものなのか。コンテンツ配信ネットワーク（CDN）企業のAkamaiによると、悪意あるASNには、フィッシングウェブサイトや悪意あるファイル、ボット、スキャナーをホストするためのIPがよく含まれているという。「おそらく悪意がある」ASNは、悪意あるIPに遭遇する確率が7分の1以上になる。おそらく悪意があるASNは、オンラインの全IPv4アドレスの2％未満だが、インターネットトラフィックの5％以上を受信している。

　さらに、「悪意があるかもしれない」というカテゴリーのASNは、インターネットの全IPv4アドレスの5％未満にもかかわらず、インターネットトラフィックの18％以上を受信している。このことから、悪意あるトラフィックと正当なトラフィックが、同じASNから提供されている可能性が考えられる。

　ファイアウォールやSIEMシステムでそれらをブロックすれば、サイトがダウンする可能性が大幅に低下する。