2H 2014 NSFOCUS DDoS THREAT REPORT
“
DDoS攻撃に悪用可能な SSDPデバイスがグローバル
で 700万台以上発見されている…
Follow NSFOCUS on Twitter
@NSFOCUSJAPAN
Visit our Blog
http://nsfocusblog.com/
About NSFOCUS
2000 年に創設された NSFOCUS Inc.(NSFOCUS)は、分散型 DoS 攻撃(DDoS)ミ
チゲーション、ウェブ・セキュリティー、ネットワーク・セキュリティーソリューションと
サービスを全ての業態向けに提供しています。DDoS の研究開発・ミチゲーション
で 13 年以上の経験がある NSFOCUS は、世界中の顧客が高水準のインターネッ
ト・セキュリティー、ウェブサイト稼働率、事業運営を維持し、オンライン・システム
が常時利用可能な状態を保つことを支援してきました。NSFOCUS の Anti-DDoS
System(ADS)の利用により、単純なレイヤ攻撃から高度で甚大な損害を与えか
ねないアプリケーションレイヤ攻撃まで、さまざまな攻撃を発見、回避することがで
き、結果として正規トラフィックがネットワークに確実に到達できるようにします。詳
細は Webサイトを参照下さい。 www.nsfocus.co.jp
NSFOCUS Information Technology Co., Ltd.は中国におけるナスダックである深川
市場に、コード 300369 として 2014年 1月 29日に上場しました。
2H 2014 NSFOCUS DDoS THREAT REPORT 3
目次
エグゼクティブ・サマリー 4
調査結果 7
スマートデバイスを利用した DDoS攻撃が増加している 7
イベント 1: 2014年における最も大きい DDoS攻撃の 3分の 1がス
マートデバイスを攻撃元としたものであった 8
UDP Flood攻撃が主要な DDoS攻撃の手法となっている 10
イベント 2: SSDPに基づく DDoS リフレクション攻撃例の分析 11
オンラインゲームに対する DDoS攻撃が急増している 13
DDoS攻撃の 93%が 30分以内で終わっている 14
2015年の展望 16
DDoS攻撃のピークトラフィックは過去最高を記録するだろう 16
DDoS攻撃におけるリフレクション技術の進化は続いていくだろう 16
DNSサービスがさらに DDoS攻撃の標的になるだろう 16
新しい分野を標的とした DDoS攻撃が主流になるだろう 16
エピローグ 17
2H 2014 NSFOCUS DDoS THREAT REPORT
4
エグゼクティブ・サマリー
本レポートで述べられている内容は、2014年に実際に発生した DDoS攻撃に基づく統計分析結果と見解にな
ります。データはグローバル企業、インターネットサービスプロバイダ、キャリア、ホスティング事業者などから収
集しました。本レポートのハイライトは以下の通りです。
スマートデバイスからの DDoS攻撃が明らかに増加して
いる : 2014 年下期は、 Simple Service Discovery
Protocol (SSDP)を悪用した反射・増幅型の distributed
denial of service (DDoS)攻撃が最も強力かつますます
好まれる攻撃手法として表面化しました。この種の攻撃
はスマートデバイスを利用し 75 倍まで攻撃する帯域を
増幅します。
DDoS 攻撃に悪用可能な SSDP デバイスがグローバル
で 700万台以上発見されている
SSDP デバイスは弱いパスワードが利用され、脆弱性を
内包しています。攻撃者はそれらを乗っ取り、DDoS 攻
撃を実行することができます。IoT が膨大なデバイスを
オンラインにし、SSDP攻撃の増加をもたらしています。
UDP Flood 攻撃が主要な DDoS攻撃の手段になって
いる:
UDP Flood 攻撃は多くのゾンビ PC を必要としません。
攻撃を受けた側の観点からすると、全てのデータパケッ
トは特に問題がありませんが、すぐにサーバリソースま
たは帯域幅に大きなダメージを与えます。そのためこの
攻撃は効率的かつ効果的な手法になります。
2H 2014
UDP Flood
攻撃者はより賢くなっている:
DDoS攻撃の 90%が 30分以内で止んでいる一方、唯一
70時間続いた攻撃がありました。この攻撃時間を短くす
る戦略は、効率の向上とともに、管理者を実際に意図し
ている攻撃(例えばマルウェアの設置、データの窃盗)か
ら注意をそらす目的で利用され続けています。今日の
攻撃者はより賢く、洗練されてきていることを意味しま
す。
2H 2014
> 30分以内.
51.9 %
93.1%
Vulnerable SSDP device distribution
2H 2014 NSFOCUS DDoS THREAT REPORT
5
オンラインゲームに対する DDoS攻撃が急増している:
オンラインゲームは消費者からの要求が最も厳しい業
界です。100%の可用性だけではなく最高のユーザエク
スペリエンスも要求されます。小規模な DDoS攻撃によ
ってもたらされるほんのわずかな遅延でさえ、ユーザエ
クスペリエンスを損ない、結果として利用者が離れてし
まいます。
2H 2014
オンライン
ゲーム
31.6%
“
2014年における最も大きい DDoS攻撃の 3
分の 1がスマートデバイスを攻撃元としたも
のであった…
2H 2014 NSFOCUS DDoS THREAT REPORT
7
調査結果
スマートデバイスを利用した DDoS攻撃が増加している
最近、スマートデバイスからの DDoS 攻撃が頻繁に検知されています。これはウェブカメラのようなスマートデ
バイスに以下の特徴があるからです。
• 比較的高帯域である
• アップグレードサイクルが長い。あるスマートデバイスは設置後にアップグレードされないものもある.
• 24x7オンラインである
強度の弱いパスワードが利用されている、またはデバイスに脆弱性がある場合、攻撃者はそれらを乗っ取り、
送信元として DDoS 攻撃を実行することができます。当社が最近実施したスマートデバイスの調査によると、
DDoS 攻撃に利用可能な約 700 万台のデバイスが発見されました。以下の図は攻撃に利用可能なデバイスの
分布を表しています。
2H 2014 NSFOCUS DDoS THREAT REPORT
8
イベント 1: 2014年における最も大きい DDoS攻撃の 3 分の 1がスマートデバイスを攻撃元としたものであった
2014 年 12 月 10 日より DNS トラフィックが世界規模で異常を示しました。これに対し、NSFOCUS セキュリティ
チームはこのイベントをすぐに分析及び処理しました。この DNS 攻撃イベントは複数の地域に影響を及ぼしな
がら拡大していきました。初期の予測では、DNS 攻撃のトラフィックは 100Gbps に達する見込みでした。シング
ルノードのピークトラフィックは約 70Gbps に達しました。疑いなく、このイベントは攻撃継続時間及びトラフィック
ボリュームにおいてここ数年で最も深刻な攻撃でした。攻撃者は a***k.org や n***c.com といったランダムなセ
カンドレベルドメイン名を継続してクエリし、結果として DNS Floodを引き起こしました。
この DDoS 攻撃はオンラインゲームサイトの権威 DNS サーバを攻撃するため、ボットネットを利用しオンライン
ゲームサイトのセカンドレベルドメイン名をクエリしていました(いわゆる DNS Slow Drip 攻撃) 。多くの企業は、
キャッシュ DNSサーバを自分の PCの DNS サーバに設定しています。膨大なゾンビ PCが攻撃リクエストを実
行した際、キャッシュサーバはオンラインゲームサーバのランダムなセカンドレベルドメイン名を送る必要があり
ます。これによりサーバのシステムリソースがかなり消費され、キャリアの名前解決サービスにも重大な影響を
及ぼします。この DDoS攻撃イベントにおいて、以下に注意を払う必要があります。
• 約 3分の 1の攻撃元がスマートデバイスであった
• DNSキャッシュサーバがユーザの設定によって重大な影響を受けた
• 攻撃を受けたドメイン名はオンラインゲームサイトのものであった
以下の表は 2014年 12月に発生した DNSサービスに対する DDoS攻撃(DNS Flood攻撃)及びその対策に
ついてのリストになります。2014年 12月の DDoS 攻撃
攻撃対象 Start Date 攻撃トラフィック 継続時間 解決策
DNS Simple① 12 月 1 日 約 25 Gbps 約 11 時間 20Gbpsのクリーニングデバイスの設置
1&1 Internet② 12 月 9 日 約 12 時間
China Telecom 12 月 10 日 100+ Gbps 4 日以上 DDoS クリーニングデバイスの設置
Telia③ 12 月 11 日 1 日以上
North Korea④ 12 月 21 日 約 9.5 時間
Rackspace⑤ 12 月 22 日 約 12 時間
DNS インフラに影響が出る前に DDoS
クリーニングデバイスの設置
Source: 2014 NSFOCUS DDoS Threat Report
① http://blog.dnsimple.com/2014/12/incident-report-ddos/ ② http://blog.1and1.com/2014/12/10/information-on-the-dns-outage-at-11-on-december-9-2014 ③ http://www.telia.se/privat/driftinformation/2014/December/Problem-med-surf-och-digital-tv-avhj-lpt ④ http://www.northkoreatech.org/2014/12/23/north-koreas-internet-back-after-probable-attack/ ⑤ https://status.rackspace.com/index/viewincidents?group=14&start=1419224400
2H 2014 NSFOCUS DDoS THREAT REPORT
9
表にある幾つかの攻撃イベントは関連があるように思われます。攻撃者の観点では、これらの成功した攻撃は、
DNS サービスへの攻撃が最も威力があり攻撃者の目的を知らしめる効果的な手法であることを示しています。
このことはまた、DNSサービスに対するセキュリティの脆弱性も反映しています。スマートデバイスや IPv6 の増
加に伴い、そのような DDoS攻撃はより頻繁に発生し致命的となるかもしれません。
2H 2014 NSFOCUS DDoS THREAT REPORT
10
UDP Flood 攻撃が主要な DDoS 攻撃の手法となっている
2014年下期は DNS Flood攻撃を抜いて UDP Flood攻撃が主要な攻撃手段になりました。全体の 51.9%が UDP
Flood 攻撃になります。ネットワーク防御技術の向上のように、攻撃者は防御技術の 1 歩先を行くよう攻撃手法
を変えています。攻撃者は攻撃を実行する前に、ネットワーク上で脆弱性のある Web サイトを見つけるためス
キャンを実行します。企業が自社の DNS サーバのセキュリティを向上させたため、UDP Flood の特殊な攻撃タ
イプである、反射・増幅攻撃は主要な攻撃タイプとして表面化しました。
UDP 増幅攻撃は様々なタイプがあります。有名なものでは、NTP、Chargen、SNMP、SSDP が UDP で動いてい
ます。膨大な NTP 反射・増幅攻撃が主だった 2014 年上半期と比較すると下半期は SSDP に基づく反射・増幅
攻撃が主な攻撃手法となりました。ある事例の詳細を述べていきます。
4.6
%
4.7
%
20.9
%
0.9
%
12.2
%
50.1
%
6.6
%
0.6
%
0.4
%
11.4
%
0.9
%
31.2
%
42.0
%
13.5
%
0.1
%
0.2
%
0.3
%
1.9
%
8.1
%
37.5
%
51.9
%MIX_FLOOD OTHER HTTP_FLOOD ICMP_FLOOD TCP_FLOOD DNS_FLOOD UDP_FLOOD
2013-2H 2014-1H 2014-2H
Source: 2014 NSFOCUS DDoS Threat Report
DDoS 攻撃タイプ
%:トータルに対する該当期間の攻撃の割合
2H 2014 NSFOCUS DDoS THREAT REPORT
11
イベント 2: SSDPに基づく DDoS リフレクション攻撃例の分析
以下 2 つの図はこのような攻撃の基本的な手順になります。初めに、攻撃者は IP アドレスを偽装し多数の
UPnP デバイスへ M-SEARCH UDP パケットを送信します。その際、デバイスは標的となった IP アドレスへ
"return" 応答パケットを返します。結果として標的はリフレクション攻撃の膨大なトラフィックを処理できなくなり、
DoS (サービス拒否) 状態になります。 NSFOCUSの調査によると、SSDPに基づく DDoSリフレクション攻撃の
帯域増幅係数 (Bandwidth amplification factor 、BAF と略します。UDPペイロードの割合です。) は約 30 とな
ります。
以下の図は実際のネットワークで検知された SSDP に基づく DDoS リフレクション攻撃のデータになります。
(SSDP リフレクションを利用し DNSサーバを攻撃しています。)
攻撃中に送られたリクエストパケットの例になります。
2H 2014 NSFOCUS DDoS THREAT REPORT
12
上図は、攻撃者が UPnP デバイスへ M-SEARCH リクエストを送信し、ST(検索対象)に ssdp:all (全てのデバイ
スとサービスの検索)を設定したことを示す図になります。世界中の悪用可能な UPnP デバイスの数から考えま
すと、このような DDoS リフレクション攻撃がインターネットに大きな影響を与えることは想像に難くないと思いま
す。
統計によると、SSDPの BAFの平均は 37であり、最も一般的なものは 24 と 32でした。SSDP パケット増幅係
数(packet amplification factor、PAF と略します)の平均は 8.7になります。昇順で BAFを並び替えた場合、上位
10%の SSDPデバイスの BAF平均は 14ですが、下位 10%は 75でした。
以下のグラフは SSDPデバイスの BAFの分布を表しています。
SSDP に基づく増幅攻撃により引き起こされる影響は甚大であり早急な対応が求められます。そして様々な手
段で実行することが可能です。モノのインターネット (Internet of Things : IoT) の普及と共に、将来この種の攻
撃が拡大することが予想できます。増幅攻撃へ対処するには、最大限サービスの信頼性を確保するため様々
な側面からエンドユーザ、キャリア、セキュリティベンダーが協力して対応していく必要があります。
本レポートにおける BAF 及び PAF の計算式
BAF = サーバにより標的へ送信される UDPペイロードバイト数/攻撃者からサーバへ送信される UDPペイロードバイト数
PAF = サーバにより標的へ送信される IPパケット数/攻撃者からサーバへ送信される IPパケット数
注意: 2 つの計算式の"サーバ"は、リフレクション攻撃に利用可能な NTP, DNS, CharGen, または SSDPサーバになります。
不明な点がございましたら、[email protected] までご連絡ください。
8.5%
63.5%
25.5%BAF Up to 75
2.5%
0-20 20-40 40-70 70+
SSDPに基づく DDoS攻撃SSDPに基づく増幅攻撃に十分注意してください。攻撃には最大75のBAFをもつSSDPが
利用可能であり、その影響は計り知れません。エンドユーザ、キャリア、セキュリティベ
ンダーが協力して対応していく必要があります。
Source: 2014 NSFOCUS DDoS Threat Report
2H 2014 NSFOCUS DDoS THREAT REPORT
13
オンラインゲームに対する DDoS攻撃が急増している
NSFOCUSは 2013年から 2014年までに世界中で発生した重大な DDoS攻撃の情報を収集しました。オンライ
ンの小売業者、メディアへの攻撃は 2014年下期においても主要な攻撃対象でした。僅差でオンラインゲーム業
界が 3位に入っております。
2014 年上期と比較すると、キャリアへの攻撃がやや減少しています。その一方で、オンラインゲームや金融系
への攻撃が増加しています。2013年下期と比較した際の最も大きな違いはオンラインゲームに対するDDoS攻
撃の大幅な増加であり、急激な伸びをしめしています。 ゲーム業界は常に DDoS 攻撃の主要な標的の 1 つに
なります。オンラインゲームはゲームサーバの quality of service (QoS)が要求されます。DDoS 攻撃が通常の
ゲーム利用に影響を及ぼす場合、ユーザからはサーバが“重い、頻繁にオフラインになる”と苦情が上がります。
あまりにもその状況が頻繁に発生すると、ユーザはゲームをやめる可能性があり、その場合直接的に売り上
げの減少を招きます。攻撃者は (脅迫による) 不法利得や不当な商戦を目的する傾向にあります。
12.8
% 15.4
%
20.5
%
10.3
%
41.0
%
0.0
%
21.9
%
31.3
%
12.5
%
34.4
%
5.3
%
10.5
%
36.8
%
31.6
%
15.8
%
F I NANCE ISP ONL INE RET A IL / M ED IA
ON- L INE G AM ING OT HER
DDOS攻撃の対象
2013-2H 2014-1H 2014-2H
2H 2014 NSFOCUS DDoS THREAT REPORT
14
DDoS攻撃の 93%が 30分以内で終わっている
2013年から取得しているデータによると、DDoS攻撃の約 90%の攻撃継続時間は変わらず、30分以内になりま
す。最近の DDoS 攻撃は時間が短くボリュームが大きいという特徴があります。攻撃者は以下を考えこの攻撃
を用います。
注意をそらすもの: 攻撃者は標的の IT 管理者を DDoS 攻撃に引き付け、他の攻撃への注意をそらします。そ
れはマルウェアの設置や情報の盗難かもしれません。
効率性: DDoS 攻撃の効率性を向上させるため、攻撃者は攻撃検知やトラフィッククリーニングまでの時間より
攻撃の継続時間を短くしようとします。被害者がクラウドベースのDDoSミチゲーションサービスのみ利用してい
る場合、その効果は明らかです。この場合、ミチゲーションが開始されクリーントラフィックが戻されるまで 30 分
以上かかるかもしれません。ゲリラ戦のようなこの時宜を得た攻撃は、数回の大規模攻撃に比べ長期的に被
害者へ甚大な被害を与えるかもしれません。
DDoS攻撃に関し、攻撃検知からトラフィッククリーニングまでのセキュリティデバイスのレスポンスタイムが攻撃
ミチゲーションの有効性を向上するための主要因の 1 つになります。一方で長期間継続する DDoS 攻撃ももち
ろんあります。2014年下期にNSFOCUSセキュリティオペレーションセンターが検知した最も時間が長い攻撃は
70時間継続しました。このような攻撃は重大なビジネス損失をもたらします。そのため、企業はDDoS攻撃防御
の備えを継続して評価する必要があります。
86.2
%
2.2
%
4.4
%
4.9
%
2.3
%
93.5
%
2.3
%
3.3
%
0.7
%
0.2
%
93.1
%
2.5
%
3.9
%
0.5
%
0.1
%
0-30min 30min-1h 1h-8h 8h-64h 64h+
2013-2H 2014-1H 2014-2H
DDoS攻撃の継続時間
Source: 2014 NSFOCUS DDoS Threat Report www.nsfocus.com
2015年の展望
“
2015年の DDoS攻撃のピークトラフィックは
2014年を超え、1Tbpsに達すると予測され
る…to 1 Tbps …"
2H 2014 NSFOCUS DDoS THREAT REPORT 16
2015年の展望
2014 年に観測された DDoS 攻撃やその傾向に基づき、世界を驚かすような技術革新や大きな混乱がなけれ
ば、2015年の DDoS攻撃について以下が予測されます。
DDoS攻撃のピークトラフィックは過去最高を記録するだろう
DDoS 攻撃のピークトラフィックは攻撃技術の継続した開発とネットワーク帯域の向上そしてその他の悪用可能
なリソースのために年々増加しています。そのため2015年のDDoS攻撃のピークトラフィックは 2014年を超え、
1Tbpsに達すると予測されます。
DDoS攻撃におけるリフレクション技術の進化は続いていくだろう
防御側の観点からすると、DDoS リフレクション攻撃は検知・ミチゲーションは容易です。なぜなら攻撃パケット
の多くは同じポートへ送信されるからです。攻撃側の観点からすると、この攻撃は攻撃者自身を隠すことができ、
ボットネットが不要で、ネットワーク帯域をそれほど必要としません。2014 年下期には、SSDP に基づく DDoS リ
フレクション攻撃の数が急激に増加しました。IoT によるインターネットの進化のように、新しく費用対効果の高
い攻撃技術が生まれ、攻撃者が利用するようになることが予測されます。
DNSサービスがさらに DDoS攻撃の標的になるだろう
2014 年下期には、主要な DDoS 攻撃の殆どが DNS Flood に起因しました。DNS プロトコルの設計不良と多く
の DNS サーバの運用・保守におけるセキュリティの危険性が、DNS サーバを DDoS 攻撃の主要な標的とさせ
る 2つの要因になります。
新しい分野を標的とした DDoS攻撃が主流になるだろう
オンラインの小売業者、ゲーム、金融業界は長い間 DDoS 攻撃に苦しめられています。しかしながら、最近で
は、エネルギー、政府系、その他の分野への DDoS攻撃も頻繁に発生しています。そのため、企業や公共機関
が重要なバリュードライバーとしてインターネットへの露出を増加するにつれ、DDoS はすぐにセキュリティ問題
の本流になることでしょう。様々な DDoS ミチゲーション技術は進化し続けていますが、実行するのが容易で安
く、効果的である限り、DDoS攻撃は続きます。
2H 2014 NSFOCUS DDoS THREAT REPORT 17
エピローグ
DoS攻撃の起源はインターネットアーキテクチャの欠陥にあります。RFC 4732によると, "…オリジナルのインタ
ーネットアーキテクチャにおいてサービス拒否(DoS)攻撃に対して考慮していませんでした。 その結果、ほとん
ど全てのインターネットのサービスが大規模なサービス拒否(DoS)攻撃に対し脆弱です。" 過去 5 年の DDoS
攻撃とその防御は攻撃技術の進化の歴史です。それは拡大するネットワーク帯域を悪用することで影響を拡
大させる Floodとリソース枯渇を組み合わせた攻撃です。攻撃に対応するため、防御側はトラフィッククリーニン
グデバイスを利用すべきです。
年間を通したサポートや分析から NSFOCUS が得た DDoS データによると、攻撃者の振る舞いは変化し続け、
ネットワーク環境の進化は状況をより複雑化させています。本レポートに記載された視点が将来の攻撃手法の
予測に役立ち、企業や組織が自身のソリューションをさらに改善していく手助けになればと思います。
"相手によって戦略を変えることができ、それにより常に勝利する人が優れたリーダーと呼ばれるでしょう。" ま
さに、耐えざる変化と DDoS攻撃の影響に直面しています。準備は宜しいですか?
免責事項
本レポートの全てのデータは当社製品、ネットワーク監視、パートナーより提供されたものに基づいています。
データは分析前に匿名化され、公開されることはありません。そのため、顧客に関連する情報が本レポートに
記載されることはありません。
ご意見、ご要望がございましたら下記までご連絡頂ければと思います。
03-6206-8156
執筆者及び寄稿者
執筆者::
Zhao Gang NSFOCUS脅威レスポンスセンター主任研究員
Ma Lele NSFOCUS北京 R&Dセンター技術員
寄稿者:
He Kun,Liu Yonggang,Zhao Gangku,Zhang Zhenfeng
DDoS Threat Report
“
NSFOCUS脅威レスポンスセンターは、
DDoS攻撃について最新の情報を皆様へ
提供するため、発生するサイバー攻撃に常
に注意を払い、監視していきます …
2H 2014 NSFOCUS DDoS THREAT REPORT 19
DDoS Threat Report
ネットワークセキュリティの脅威はその標的、手段、発信元が変化し続けることにより、より複雑化しています。
そのような背景において、企業や組織は、絶えず変化する複雑性に対処する前に、将来起こりえる悪意のある
攻撃を理解し準備するために、最新の傾向を追い求める必要があります。
NSFOCUS 脅威レスポンスセンターは、DDoS 攻撃について最新の情報を皆様へ提供するため、発生するサイ
バー攻撃に常に注意を払い、監視していきます。本レポートは皆様へ以下を提供します。
• DDoS攻撃の最新の傾向を理解
• ソリューションを最適化するためにネットワークセキュリティの啓蒙
DDoS Threat Reportに興味がございますか?
本プロジェクトの最新情報は
DDoS セキュリティレポート http://nsfocusblog.com/
NSFOCUS on Facebook https://www.facebook.com/nsfocus
Twitter @ NSFOCUSJAPAN