Endpoint Protection

 View Only

短時間でも強力な分散サービス拒否(DDoS)攻撃 

Oct 23, 2014 02:34 AM

LinkWP.png
『増加を続ける DDoS 攻撃(The continued rise of DDoS attacks)』と題したホワイトペーパー(英語)をここからダウンロードいただけます。

分散サービス拒否(DDoS)攻撃は、目新しい攻撃手法ではありませんが、その影響が大きいことはすでに実証されています。ここ数年で攻撃の数も威力も増大している一方、たいていの攻撃期間は数時間程度にまで短縮しています。攻撃者にとっては単純な手法ですが、標的企業は大きな被害を受ける可能性があります。現在は特に、比較的小規模なボットネットを利用して大規模な標的に打撃を与えることが可能な増幅攻撃(アンプ攻撃)が多用されています。この手の攻撃では、偽装されたトラフィックがサードパーティのサービスに送信され、その応答が偽装先の標的に返されます。攻撃者は、応答トラフィックを増幅させるために、サービスからの応答が非常に大きくなるようなクエリーを選びます。たとえば、DNS サーバーにすべてのレコードを要求するものや、NTP サーバーの monlist コマンドを使用するものがあります。このような効果を得られるプロトコルがいくつか存在しており、増幅率が最大で 500 倍に達する場合もあります。

Fig1_20.png
図 1. DDoS 増幅攻撃の仕組み

2014 年 1 月から 8 月にかけて DNS 増幅攻撃は 183% も増加しており、シマンテックの Global Intelligence Network で最も多く観測された手口です。NTP を利用した DDoS 増幅攻撃は第一四半期に突出していましたが、その後は徐々に減少しています。これは、対象となるサーバーの多くでアップグレードや設定変更が実施されたためだと思われます。攻撃者は、SNMP v2(簡易ネットワーク管理プロトコル)や、9 月に悪用事例が確認された SSDP(簡易サービス発見プロトコル)といった他のプロトコルも試し始めています。多くの場合、攻撃の回避や緩和を困難にするために複数の手法を組み合わせているのです。さらに困ったことに、アンダーグラウンドのフォーラムでは DDoS 攻撃サービスが 10 米ドル未満で販売されています。

Fig2_12.png
図 2. DDoS 攻撃サービスの価格表

2014 年の傾向としては他に、Unix サーバーへの侵害が増加していることと、その高い処理能力が DDoS 攻撃に利用されていることがあげられます。これまでも、脅威の実例としては PHP.BrobotBackdoor.Piltabe がありましたが、Bash の ShellShock 脆弱性がその発見から数時間と経たずに悪用されたことで、再びこの傾向が目立ってきています。これにより、攻撃者は、数多くのサーバーに DDoS スクリプトをインストールできてしまいます。脆弱性を突いて、さまざまな DDoS スクリプトや悪質な ELF ファイルがダウンロードされた結果、強力な DDoS ボットネットが構築されたのです。

今後の見通し
今後の見通しは明るいとはいえません。11 月 5 日のガイフォークスデイには DDoS 攻撃が多数実行されると思われます。すでにアノニマスは Operation Remember と称して、さまざまな攻撃活動を行うことを発表しています。また、DDoS 攻撃を実行するのは、思想や信条に基づく抗議活動を行うハクティビストだけではありません。金銭的な恐喝が行われた事例や、特定の標的を狙う際に、DDoS 攻撃を利用して地域の CERT チームの注意をそらせている間に真の攻撃を実行した事例もあります。

緩和策
DDoS 攻撃の影響を緩和するのは簡単ではありませんが、被害を軽減するのに役立つ基本対策(ベストプラクティス)をいくつかご紹介します。

  • インシデント対応計画を策定し、発生時の連絡先を把握する
  • サーバーの構成を確認し、保護対策を実施する
  • 多層的な防御策を採用し、外部のサービスプロバイダと連携する
  • 拡張性と柔軟性を備えた環境を構築する
  • 平常時のネットワークの動作を把握する

増加を続ける DDoS 攻撃の技術的な詳細については、ホワイトペーパー(英語)を参照してください。

次の解説画像では、DDoS 攻撃の要点を図解しています。

DDoS-Infographic.png

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.