金融・公共部門におけるDDoS攻撃トレンドと対策ソリューション
はじめに
昨今のDistributed Denial of Service (DDoS) 攻撃は世界的に増加傾向にあり、組織が最も注視すべき攻撃手法の一つとなっています。主な増加要因としては、ウクライナ情勢以降、地政学的なリスクに伴う攻撃が考えられ、Akamaiで観測した攻撃の統計と相関していることも確認されています。また、従来と比較して高度な攻撃をより安価で効率的に攻撃を行えるようになったことも要因として挙げられます。これは、ボットネットと呼ばれる攻撃者やサイバー犯罪者の制御下にある、悪性ソフトウェア (マルウェア) に感染したコンピューターのネットワークを活用し、機械的に攻撃リクエストを送る手法へシフトしてきているためです。
本記事では、私が担当する金融・公共部門におけるDDoS攻撃の傾向に加え、DDoS攻撃対策として有効なソリューションをいくつかご紹介します。
2023年上半期の金融・公共部門におけるDDoS攻撃の傾向
国内における金融部門においては、2023年2月中旬に親ロシア派ハクティビストグループであるKillNetやNoName057(16)が日本企業に対して攻撃を行ったとSNSで投稿され、同時期に複数の国内金融機関で一部のサービスに影響があったことが確認されました。翌月の2023年3月には国内金融機関全体で過去最高の検知件数を観測しています。
(Figure.1) )国内金融機関向けDDoS攻撃の検知状況の推移
また、2023年6月にはKillNetとその関係が深いとされる攻撃者グループが連携し、SWIFTなどを含む欧州の金融システムに大規模な攻撃を行うとSNSで投稿され、Akamai Security Operations Command Center (SOCC) が警戒体制に入るなど、依然として緊迫した状況は継続しています。
こうした攻撃者集団は、各国の政治動向を注視しており、反ロシア的な活動を行った国の機関や企業をターゲットとしてリスト化し、攻撃を成功させた場合にSNSツールを用いて成功を主張する傾向があります。
公共部門においては、2023年5月下旬に開催されたG7広島サミット期間中、複数の官公庁および地方自治体においてDNSおよびHTTPレイヤーのDDoS攻撃が行われ、広島市のホームページでは一時的に接続しづらい状態になるなどの事象が確認されました。特にDNSレイヤーのDDoS攻撃は、ランダムサブドメイン攻撃(別名:DNS水責め攻撃)と呼ばれる攻撃が年初より急増しており、地方自治体が利用する権威DNSサービスが相次いで機能不全となり、ホームページに接続できなくなるなど、これらの攻撃に起因すると思われる被害が確認されました。これらの攻撃は金融部門においても同様に観測されています。
(Figure.2) DNSレイヤーのDDoS攻撃が全体の攻撃ベクトルの約35%
また、2023年8月には、福島第一原子力発電所からの処理水の海洋放出への抗議の手段として、Anonymous系グループによる攻撃声明がSNSへ投稿され、同時期に複数の官公庁および電力系企業などを対象とする攻撃が確認されました。
公共部門では、このように政治的イベントに伴いDDoS攻撃を観測する傾向があります。
DDoS攻撃対策に有効なアカマイの多層防御ソリューション
前述の通り、昨今のDDoS攻撃は様々なベクトルの手法を組み合わせ、かつより巧妙に攻撃を仕掛けてくることが常態化しつつある状況です。特定の保護機能を有効化したから防げるというものではなく、お客様環境で利用可能な機能は有効化することを前提として、継続的に最新の攻撃トレンドや検知状況に合わせてお客様の設定をチューニングしていくことが最も重要な対策の一つです。
Akamaiでは、セキュリティエキスパートによる業界の検知傾向や知見の提供、およびお客様の検知状況の分析から推奨事項の提示、最終的な設定変更まで対応可能なセキュリティサービスを提供しています。是非ご活用ください。
本章ではDDoS攻撃対策として有効なソリューションについて、いくつかご紹介します。これらの機能や製品も組み合わせで利用し、多層で防御していく考え方が重要となります。
Client Reputation (IPレピュテーション脅威インテリジェンス)
Client Reputationは、Akamaiの有する比類のない脅威インテリジェンス情報を活用することにより、全世界のIPアドレスをリアルタイムに評価(レピュテーション)し、悪性IPアドレスを自動で検知・遮断することが可能な機能です。例えるなら全世界のAkamaiのお客様で集団免疫を獲得し、未知を既知に変えることにより、ゼロデイ攻撃やDDoS攻撃などに対して有効に動作します。特に同業界内で横断的に行われる攻撃に対して強力な機能です。
以下はKillNetによるDDoS攻撃を観測した際に有効に動作した例を表しています。こちらで観測された攻撃元IPアドレスは数日〜数週間からボットネットを使用した探索活動を実施しており、本番の攻撃時には既にスコア値(悪性度)が満点となっていたために、遮断することに成功しています。
(Figure.3) KillNetのDDoS攻撃の遮断に成功した例
Bot Manager (ボットアクセスの管理)
Bot Managerはボットによる機械的なリクエストかどうかを識別し、アラートや遮断などのアクションを指定可能なボットアクセス管理のソリューションです。前述の通り、近年のDDoS攻撃は大規模に分散されたボットネットから効率的に行われることが主流であり、こうしたボットネットはダークウェブをはじめとするプラットフォームで安価で売買され、攻撃者は容易に入手可能となりました。
また、従来は特定ページに対して大量のGETリクエストを行うHTTPフラッド攻撃が主流でしたが、近年では、脆弱性やアプリケーションロジックの悪用を含めた形でリクエストを行い、オリジンサーバー側の処理負荷を高めることにより、比較的少量のリクエストで攻撃を成立させる手法も確認されております。
このようにエンドポイントを狙ったより高度な攻撃へ対処していく方法の一つとしてBot Managerは有効です。
EdgeDNS (分散権威DNSサービス)
Edge DNSは、世界に数百ヵ所に何千台ものDNSサーバーをエニーキャストネットワークとして分散配置することにより、100%アップタイムSLAで提供可能なクラウド型の権威DNSサービスです。最大規模のDDoS攻撃に対しても十分余裕をもって緩和可能なキャパシティを持ち、たとえ攻撃の最中であっても正当なユーザーリクエストに対してエクスペリエンスを維持することができます。
前述のランダムサブドメイン攻撃は、ターゲットとするドメイン名にランダムな文字列を付加して大量にクエリを送る攻撃手法です。フルサービスリゾルバーはキャッシュ応答が出来ないため、常に権威ネームサーバーに問い合わせますが、正当なクエリとの判別がつかないために全てのクエリに対して応答をする必要があります。これにより、自社運用の権威ネームサーバーは勿論のこと、ISPの運用するサービスへの影響も確認されております。
名前解決は基本的に全てのリクエストの最初に行われる重要なステップとなります。こうした攻撃傾向を踏まえ、AkamaiのEdge DNSへの移行やセカンダリーとしての利用を検討してみてはいかがでしょうか。
おわりに
本記事では、金融・公共部門における2023年上半期のDDoS攻撃の傾向と対策として有効なソリューションをご紹介しました。
依然として緊張が高まる状況が継続しています。本記事をご覧になりましたら、是非現状でお客様がとられている対策が十分であるか、改善できる余地がないか検討してみてください。ご相談事項やソリューションに関するお問い合わせがありましたら弊社までご連絡ください。
尚、本記事ではご紹介しきれなかったProlexic (プロレキシック)と呼ばれるDDoS緩和専用ソリューションに関しては、以下の記事にてWAAPとの併用によるベストプラクティスをご紹介しています。是非併せてご参照ください。
