LinuxベースのIoTデバイスへの攻撃は、「Mirai」マルウェアのソースコードが公開されたことから、今後もさらに増大するとみられます。また、従来の増幅攻撃の複雑化がサイバー攻撃者にとって非効率になっていることやHTTPSでの接続環境が増えている背景などから、暗号化ベースの攻撃も増加の一途を辿ると考えられています。
[本リリースは、2016年10月31日にKaspersky Labが発表したリリースに基づく参考資料です]
Kaspersky Labがまとめた2016年第3四半期のDDoS攻撃分析レポートによると、DDoS 攻撃用指令サーバー数と攻撃を受けたリソース数の両方において、中国、米国、韓国が前四半期と同様にトップ3を占めたことがわかりました。また、西ヨーロッパおよび日本に設置された攻撃用指令サーバーによる活動と、攻撃を受けた同地域のリソースも増加傾向にあります。さらに、暗号化されたトラフィックを利用した高度なDDoS攻撃が増えていることも判明しました。
■ Kaspersky DDoS Intelligenceによる観測 (第3四半期、7月~9月)
Kaspersky DDoS Intelligence ※1 は、指令サーバーからボットに送信されるコマンドを捕捉・解析しDDoS攻撃を早期に検知するシステムです。本統計は、Kaspersky Labによって検知・解析されたボットネットに限定されます。統計データはIPアドレスを分析したものです。
- 67か国のリソースがDDoS攻撃の標的となり、そのうち62.6%は中国でした。
- 中国、米国、韓国が、攻撃した数と攻撃を受けた数の両方で、第2四半期と変わらずトップ3を占めました。
- 日本のリソースに対する攻撃は前四半期対比で1.0ポイント増加しました。また、米国は9.8ポイント増加し、イタリアも1.0ポイント増加しています。一方で、中国と韓国に対する攻撃はそれぞれ8.7ポイント、2.3ポイント減少しています。
- 西ヨーロッパのイタリアとドイツが、1年ぶりに指令サーバーが設置された国トップ10に入り、関連する動向として、英国、フランス、オランダの指令サーバー数も増加しています。
- 最多の19回におよぶ攻撃を受けたのは、中国で人気の検索エンジンでした。また、最長の攻撃は184時間にわたり、その標的は中国のプロバイダーでした。 (第2四半期の最長は291時間)
- SYN-DDoSの攻撃数が5.5ポイント増加し全体の81%を占めた一方で、TCP-DDoS攻撃は8.2%、ICMP-DDoS攻撃は1.66%と、それぞれ低下しています。
- Linuxベースのボットネットによる攻撃は、Windowsベースの攻撃と比べ増加傾向にあり、第3四半期は、過去1年間で最高の79%となりました。この現象は、LinuxベースのIoTデバイスがDDoS攻撃に利用されるケースが増えていることが影響しているとみられ、IoTデバイスを主な感染対象とする「Mirai」マルウェアのソースコードが公開されたことから、今後もさらに増大すると考えられます。
第3四半期Kaspersky DDoS Intelligenceレポートの全文(英語)はSecurelist.comでご覧いただけます。
図1: DDoS攻撃の指令サーバーが設置された国別割合トップ10
2016年第3四半期と2016年第2四半期の比較)
図2: DDoS攻撃を受けたリソースの国別割合トップ10
(2016年第3四半期と2016年第2四半期の比較)
図3: ボットネット指令サーバーが設置された国別の割合(2016年第3四半期)
Kaspersky Labのエキスパートは、送信データの暗号化を利用する巧妙な攻撃の数が増加していることも確認しました。典型的な例は、Webサイトで高負荷となる検索フォームに、暗号化された接続を介して比較的少数のクエリーを送信するというものです。こうした攻撃は暗号化されたトラフィックの中に潜むことから、多くの専用保護ソリューションでも除去することが非常に難しくなっています。
Kaspersky DDoS Protectionの責任者であるキリル・イルガノフ(Kirill Ilganaev)は、次のように述べています。「暗号化ベースの攻撃が拡大している理由は、これまでの増幅攻撃が複雑になり、サイバー犯罪者にとって非効率になっていることです。脆弱なサーバーの数は減少し、セキュリティソリューションは大半の増幅攻撃を容易に特定できるようになりました。また、インターネットでは、ユーザーとWebリソースの接続が、従来のHTTPからHTTPSへと移行しています。以上のことから、暗号化ベースの攻撃は増加の一途を辿ると考えられるため、開発者はDDoS対策の保護手段の見直しに早急に着手する必要があります。さらに、Webリソースの所有者はセキュリティソリューションの選定に責任を持って取り組むことが求められます」
Kaspersky DDoS Protectionは、サイバー脅威対策におけるKaspersky Labの広範な専門知識をもとに独自に開発したソリューションです。複雑さや強度、持続期間にかかわらず、あらゆる種類のDDoS攻撃を防御します。
※1 Kaspersky DDoS Intelligenceは、Kaspersky DDoS Protectionの一部です。(Kaspersky DDoS Protectionは日本では未販売)
