脅迫を伴うDDOSの急速な復活
※本ブログは、Tom Emmonsによる6月1日付のブログ記事から内容を抜粋したものです。
脅迫を伴うDDoS がバックミラーから遠く姿を消すかと思われていた矢先、再び猛スピードで復活を遂げました。Akamaiは、5月末から攻撃の増加が急速に加速していることをデータで確認し、新たなビットコインの要求、新しい攻撃者の名前、新しい攻撃の戦術、技術と手口といった新たな脅迫の波について、複数の企業や組織から直接報告を受けるようになりました。
もしかすると、脅迫を伴うDDoS攻撃の急速な復活は、Colonial Pipeline の莫大な身代金の支払いに触発されて拍車がかかった可能性もあります。
攻撃者の動機が何であれ、悪性のアクティビティが急増し、新規のお客様からは DDoS 防御目的の緊急インテグレーションへのニーズが高まり、その数は昨年 8 月にキャンペーンが過熱して以来、最高に達しました。
最近登場した攻撃の特徴と、それに備えて組織は今何をすべきかを、もう少し詳しく見ていきましょう。
夏に近づくと、攻撃アクティビティは過熱する
2つの脅迫を伴うDDoS(いずれも攻撃中に Akamai Prolexic ネットワークにルーティングされたもの)についてはAkamaiで直接データが取れていますが、Akamai Prolexic プラットフォームを緊急で利用開始したお客様や見込み客からも、それ以外に 6 つの攻撃の波があったとの報告を受けています。
これらの攻撃がAlways-Onでサービスを保護しているお客様を標的としている例はまだ確認しておらず、そのことから攻撃者はインラインでの防御を行っていない、より脆弱なターゲットを狙っていることがわかります。これまでの脅迫キャンペーンアクティビティと同様に、旅行 & ホテル、小売/e コマース、ハイテク/ソフトウェア、消費者向けパッケージ商品など、さまざまな業界の組織を標的とした最新の攻撃が確認されています。特に、COVID-19 に関連した規制緩和によって、夏の旅行で大きな累積需要が期待される一部の業界に付け入ろうとする攻撃者もいます。
当社が可視化した攻撃データによると、最初の威嚇攻撃は 150 Gbps を超え、1 時間続きましたが、別のお客様に対する 2 回目の攻撃はさらに大きく 250 Gbps 以上で、1 時間以上続きました。これらの攻撃の規模は、数百ギガビット/秒を超える帯域幅が複数の宛先 IP に拡散されているという点で、これまでの脅迫アクティビティと一致しています。最初の攻撃では 11 の宛先(それぞれ約 10 Gbps)が標的となり、2 番目の攻撃では 7 つの宛先が標的となりました。
攻撃キャンペーンごとの傾向
当社は 2020 年 8 月以降、いくつかの異なる脅迫キャンペーンの波を、攻撃者の技術と手口の盛衰、重複、共存について時系列で追跡してきました。攻撃者は悪名高い APT の名前を組み合わせて、脅迫キャンペーンを復活させて楽しんでいるとさえ言えます。こうした最新の攻撃は、標的の拡散という点で 我々がv2 攻撃として記録し緩和した攻撃と最も密接に連動し、図の v1 の DDoS 攻撃ベクトルの特性の上に重なっています。
脅迫スタイル | v1 | v2 | v3 | なし |
---|---|---|---|---|
戦術 | 多様なベクトル(ARMS/WSD) ほとんどの場合、単一の宛先IP が標的 |
攻撃はさまざまな宛先 IP(5~12)に拡散 | 非常に大規模な2つの連続した攻撃 新しいDCCPベクトル 単一の顧客でさまざまな宛先IP |
DDoS アクティビティの明確な兆候がない。 |
平均Gbps | 99Gbps | 144Gbps | 733Gbps | 6.8Gbps |
平均持続時間* | 44分 | 53分 | 77分 | 9分 |
攻撃を受けた業界 | ビジネスサービス、金融サービス、ホテル・旅行、小売 & 消費財 | すべての業界 | メディアおよびエンターテイメント | すべての業界 |
*あらゆる種類の DDoS 脅迫攻撃は、それ以外の攻撃よりも大幅に平均継続時間が長く、平均攻撃量が大きくなっています。
2021 年 5 月の脅迫を伴うDDoSの活動について
Apple Remote Management Service(ARMS)のほか、WS-Discovery(WSD)と呼ばれる UDP 増幅テクニックも利用されました。これは、2019 年秋に Akamai SIRT が最初に発見し報告したもので、これまでの DDoS 脅迫アクティビティにも関連付けられていました。
確認された攻撃はそれほど高度なものではありません。悪性トラフィックの 99% は 2 つのパケット長から成り、簡単にブロックできるベクトルで構成されていました。これは、障壁が非常に低く、「エントリーレベル」の DDoS 攻撃を開始するもので、帯域幅の点では大きな影響がありながらも、より高度な脅威攻撃に見られる複雑さはないと考えられます。
最近、ダークウェブツールキットから DDoS 攻撃を開始するコストが 10 ドルから 5 ドルに下がったと言われています(攻撃ツールはインフレの影響を受けていないようです)。アクセスの増加に関係なく、最新の脅迫攻撃は、最も頻繁にブロックされる DDoS ベクトルの一部で構成されており、新規顧客が当社のプラットフォームにルーティングされた時点で、大部分は 0 秒 SLA で着実に緩和されています。
攻撃元の場所に関しては、最初の攻撃からのトラフィックは主にロシアとアジアで発信されましたが、最新のラウンドでは欧州、オーストラリア、南北アメリカの発信元も検知されました。DDoS 攻撃の発信元 IP は簡単に偽装できますが、特にロシアから集中してトラフィックが発信されているのが確認されました。
推奨するDDoS 対策
2020 年の夏後半のケースと同様、当社は常にデータで見られるよりも多くの攻撃について報告を受けており、攻撃を受けたお客様にはDDoS対策の緊急インテグレーションのリクエストを頂いています(お客様に当社サービスを利用開始頂くまでトラフィックは把握できません)。攻撃者は適切な防御策を導入していない組織に標的を変える傾向があるため、サブネットと IP 領域が当社のサービスにルーティングされて保護されると、攻撃の試みやそれに続く攻撃も減少します。
攻撃キャンペーンは継続しており、攻撃の主なきっかけとなる脅迫が収まる兆候がないため、組織ではすべての重要な資産(顧客と社内の両方)に対する DDoS 防御を検討することをお勧めします。また、COVID-19 によりランブックや攻撃の机上演習を更新していない企業は、DDoS イベントを経験した後ではなく、今すぐインシデント対応計画やプロセスを最新の状態にしてください。
現在攻撃を受けている、あるいは脅迫の脅威にさらされているという場合は、Akamai DDoS ホットライン(03-4589-6640)に連絡して、今すぐサポートをお受けください。また、脅迫メールを受け取った場合は、地域の法的機関に連絡してください。法的機関に寄せられる相談件数が多くなれば、犯罪行為を阻止できる可能性が高くなります。
本稿に関連する以下のブログ記事もご覧ください