2014ÂÌÃ˿Ƽ¼DDoSÍþв±¨¸æ

Transcription

1 DDoS 攻撃に悪用可能な SSDP デバイスがグローバル で 700 万台以上発見されている Follow NSFOCUS on Visit our Blog

2 About NSFOCUS 2000 年に創設された NSFOCUS Inc.(NSFOCUS) は 分散型 DoS 攻撃 (DDoS) ミチゲーション ウェブ セキュリティー ネットワーク セキュリティーソリューションとサービスを全ての業態向けに提供しています DDoS の研究開発 ミチゲーションで 13 年以上の経験がある NSFOCUS は 世界中の顧客が高水準のインターネット セキュリティー ウェブサイト稼働率 事業運営を維持し オンライン システムが常時利用可能な状態を保つことを支援してきました NSFOCUS の Anti-DDoS System(ADS) の利用により 単純なレイヤ攻撃から高度で甚大な損害を与えかねないアプリケーションレイヤ攻撃まで さまざまな攻撃を発見 回避することができ 結果として正規トラフィックがネットワークに確実に到達できるようにします 詳細は Web サイトを参照下さい NSFOCUS Information Technology Co., Ltd. は中国におけるナスダックである深川 市場に コード として 2014 年 1 月 29 日に上場しました

3 目次 エグゼクティブ サマリー 4 調査結果 7 スマートデバイスを利用した DDoS 攻撃が増加している 7 イベント 1: 2014 年における最も大きい DDoS 攻撃の 3 分の 1 がス マートデバイスを攻撃元としたものであった 8 UDP Flood 攻撃が主要な DDoS 攻撃の手法となっている 10 イベント 2: SSDP に基づく DDoS リフレクション攻撃例の分析 11 オンラインゲームに対する DDoS 攻撃が急増している 13 DDoS 攻撃の 93% が 30 分以内で終わっている 年の展望 16 DDoS 攻撃のピークトラフィックは過去最高を記録するだろう 16 DDoS 攻撃におけるリフレクション技術の進化は続いていくだろう 16 DNS サービスがさらに DDoS 攻撃の標的になるだろう 16 新しい分野を標的とした DDoS 攻撃が主流になるだろう 16 エピローグ 17 3

4 エグゼクティブ サマリー 本レポートで述べられている内容は 2014 年に実際に発生した DDoS 攻撃に基づく統計分析結果と見解にな ります データはグローバル企業 インターネットサービスプロバイダ キャリア ホスティング事業者などから収 集しました 本レポートのハイライトは以下の通りです スマートデバイスからの DDoS 攻撃が明らかに増加している : 2014 年下期は Simple Service Discovery Protocol (SSDP) を悪用した反射 増幅型の distributed denial of service (DDoS) 攻撃が最も強力かつますます好まれる攻撃手法として表面化しました この種の攻撃はスマートデバイスを利用し 75 倍まで攻撃する帯域を増幅します DDoS 攻撃に悪用可能な SSDP デバイスがグローバルで 700 万台以上発見されている SSDP デバイスは弱いパスワードが利用され 脆弱性を内包しています 攻撃者はそれらを乗っ取り DDoS 攻撃を実行することができます IoT が膨大なデバイスをオンラインにし SSDP 攻撃の増加をもたらしています Vulnerable SSDP device distribution UDP Flood 攻撃が主要な DDoS 攻撃の手段になっている : UDP Flood 攻撃は多くのゾンビ PC を必要としません 攻撃を受けた側の観点からすると 全てのデータパケットは特に問題がありませんが すぐにサーバリソースまたは帯域幅に大きなダメージを与えます そのためこの攻撃は効率的かつ効果的な手法になります 51.9 % 2H 2014 UDP Flood 攻撃者はより賢くなっている : DDoS 攻撃の 90% が 30 分以内で止んでいる一方 唯一 70 時間続いた攻撃がありました この攻撃時間を短くする戦略は 効率の向上とともに 管理者を実際に意図している攻撃 ( 例えばマルウェアの設置 データの窃盗 ) から注意をそらす目的で利用され続けています 今日の攻撃者はより賢く 洗練されてきていることを意味します 93.1% 2H 2014 > 30 分以内. 4

5 オンラインゲームに対する DDoS 攻撃が急増している : オンラインゲームは消費者からの要求が最も厳しい業界です 100% の可用性だけではなく最高のユーザエクスペリエンスも要求されます 小規模な DDoS 攻撃によってもたらされるほんのわずかな遅延でさえ ユーザエクスペリエンスを損ない 結果として利用者が離れてしまいます 31.6% 2H 2014 オンライン ゲーム 5

6 2014 年における最も大きい DDoS 攻撃の 3 分の 1 がスマートデバイスを攻撃元としたも のであった

7 調査結果 スマートデバイスを利用した DDoS 攻撃が増加している 最近 スマートデバイスからの DDoS 攻撃が頻繁に検知されています これはウェブカメラのようなスマートデバイスに以下の特徴があるからです 比較的高帯域である アップグレードサイクルが長い あるスマートデバイスは設置後にアップグレードされないものもある. 24x7 オンラインである強度の弱いパスワードが利用されている またはデバイスに脆弱性がある場合 攻撃者はそれらを乗っ取り 送信元として DDoS 攻撃を実行することができます 当社が最近実施したスマートデバイスの調査によると DDoS 攻撃に利用可能な約 700 万台のデバイスが発見されました 以下の図は攻撃に利用可能なデバイスの分布を表しています 7

8 イベント 1: 2014 年における最も大きい DDoS 攻撃の 3 分の 1 がスマートデバイスを攻撃元としたものであった 2014 年 12 月 10 日より DNS トラフィックが世界規模で異常を示しました これに対し NSFOCUS セキュリティチームはこのイベントをすぐに分析及び処理しました この DNS 攻撃イベントは複数の地域に影響を及ぼしながら拡大していきました 初期の予測では DNS 攻撃のトラフィックは 100Gbps に達する見込みでした シングルノードのピークトラフィックは約 70Gbps に達しました 疑いなく このイベントは攻撃継続時間及びトラフィックボリュームにおいてここ数年で最も深刻な攻撃でした 攻撃者は a***k.org や n***c.com といったランダムなセカンドレベルドメイン名を継続してクエリし 結果として DNS Flood を引き起こしました この DDoS 攻撃はオンラインゲームサイトの権威 DNS サーバを攻撃するため ボットネットを利用しオンラインゲームサイトのセカンドレベルドメイン名をクエリしていました ( いわゆる DNS Slow Drip 攻撃 ) 多くの企業は キャッシュ DNS サーバを自分の PC の DNS サーバに設定しています 膨大なゾンビ PC が攻撃リクエストを実行した際 キャッシュサーバはオンラインゲームサーバのランダムなセカンドレベルドメイン名を送る必要があります これによりサーバのシステムリソースがかなり消費され キャリアの名前解決サービスにも重大な影響を及ぼします この DDoS 攻撃イベントにおいて 以下に注意を払う必要があります 約 3 分の 1 の攻撃元がスマートデバイスであった DNS キャッシュサーバがユーザの設定によって重大な影響を受けた 攻撃を受けたドメイン名はオンラインゲームサイトのものであった 以下の表は 2014 年 12 月に発生した DNS サービスに対する DDoS 攻撃 (DNS Flood 攻撃 ) 及びその対策に ついてのリストになります 2014 年 12 月の DDoS 攻撃 攻撃対象 Start Date 攻撃トラフィック 継続時間 解決策 DNS Simple 1 12 月 1 日 約 25 Gbps 約 11 時間 20Gbps のクリーニングデバイスの設置 1&1 Internet 2 12 月 9 日 約 12 時間 China Telecom 12 月 10 日 100+ Gbps 4 日以上 DDoS クリーニングデバイスの設置 Telia 3 12 月 11 日 1 日以上 North Korea 4 12 月 21 日 約 9.5 時間 Rackspace 5 12 月 22 日 Source: 2014 NSFOCUS DDoS Threat Report 約 12 時間 DNS インフラに影響が出る前に DDoS クリーニングデバイスの設置

9 表にある幾つかの攻撃イベントは関連があるように思われます 攻撃者の観点では これらの成功した攻撃は DNS サービスへの攻撃が最も威力があり攻撃者の目的を知らしめる効果的な手法であることを示しています このことはまた DNS サービスに対するセキュリティの脆弱性も反映しています スマートデバイスや IPv6 の増加に伴い そのような DDoS 攻撃はより頻繁に発生し致命的となるかもしれません 9

10 0.6% 0.1% 0.4% 0.2% 0.3% 0.9% 0.9% 1.9% 4.6% 4.7% 8.1% 6.6% 11.4% 12.2% 13.5% 20.9% 31.2% 42.0% 37.5% 50.1% 51.9% UDP Flood 攻撃が主要な DDoS 攻撃の手法となっている 2014 年下期は DNS Flood 攻撃を抜いて UDP Flood 攻撃が主要な攻撃手段になりました 全体の 51.9% が UDP Flood 攻撃になります ネットワーク防御技術の向上のように 攻撃者は防御技術の 1 歩先を行くよう攻撃手法を変えています 攻撃者は攻撃を実行する前に ネットワーク上で脆弱性のある Web サイトを見つけるためスキャンを実行します 企業が自社の DNS サーバのセキュリティを向上させたため UDP Flood の特殊な攻撃タイプである 反射 増幅攻撃は主要な攻撃タイプとして表面化しました DDoS 攻撃タイプ %: トータルに対する該当期間の攻撃の割合 H H H MIX_FLOOD OTHER HTTP_FLOOD ICMP_FLOOD TCP_FLOOD DNS_FLOOD UDP_FLOOD Source: 2014 NSFOCUS DDoS Threat Report UDP 増幅攻撃は様々なタイプがあります 有名なものでは NTP Chargen SNMP SSDP が UDP で動いてい ます 膨大な NTP 反射 増幅攻撃が主だった 2014 年上半期と比較すると下半期は SSDP に基づく反射 増幅 攻撃が主な攻撃手法となりました ある事例の詳細を述べていきます 10

11 イベント 2: SSDP に基づく DDoS リフレクション攻撃例の分析 以下 2 つの図はこのような攻撃の基本的な手順になります 初めに 攻撃者は IP アドレスを偽装し多数の UPnP デバイスへ M-SEARCH UDP パケットを送信します その際 デバイスは標的となった IP アドレスへ "return" 応答パケットを返します 結果として標的はリフレクション攻撃の膨大なトラフィックを処理できなくなり DoS ( サービス拒否 ) 状態になります NSFOCUS の調査によると SSDP に基づく DDoS リフレクション攻撃の帯域増幅係数 (Bandwidth amplification factor BAF と略します UDP ペイロードの割合です ) は約 30 となります 以下の図は実際のネットワークで検知された SSDP に基づく DDoS リフレクション攻撃のデータになります (SSDP リフレクションを利用し DNS サーバを攻撃しています ) 攻撃中に送られたリクエストパケットの例になります 11

12 上図は 攻撃者が UPnP デバイスへ M-SEARCH リクエストを送信し ST( 検索対象 ) に ssdp:all ( 全てのデバイスとサービスの検索 ) を設定したことを示す図になります 世界中の悪用可能な UPnP デバイスの数から考えますと このような DDoS リフレクション攻撃がインターネットに大きな影響を与えることは想像に難くないと思います 統計によると SSDP の BAF の平均は 37 であり 最も一般的なものは 24 と 32 でした SSDP パケット増幅係数 (packet amplification factor PAF と略します ) の平均は 8.7 になります 昇順で BAF を並び替えた場合 上位 10% の SSDP デバイスの BAF 平均は 14 ですが 下位 10% は 75 でした 以下のグラフは SSDP デバイスの BAF の分布を表しています SSDP に基づく DDoS 攻撃 SSDP に基づく増幅攻撃に十分注意してください 攻撃には最大 75 の BAF をもつ SSDP が利用可能であり その影響は計り知れません エンドユーザ キャリア セキュリティベンダーが協力して対応していく必要があります 63.5% 25.5% BAF Up to % 8.5% Source: 2014 NSFOCUS DDoS Threat Report SSDP に基づく増幅攻撃により引き起こされる影響は甚大であり早急な対応が求められます そして様々な手段で実行することが可能です モノのインターネット (Internet of Things : IoT) の普及と共に 将来この種の攻撃が拡大することが予想できます 増幅攻撃へ対処するには 最大限サービスの信頼性を確保するため様々な側面からエンドユーザ キャリア セキュリティベンダーが協力して対応していく必要があります 本レポートにおける BAF 及び PAF の計算式 BAF = サーバにより標的へ送信される UDP ペイロードバイト数 / 攻撃者からサーバへ送信される UDP ペイロードバイト数 PAF = サーバにより標的へ送信される IP パケット数 / 攻撃者からサーバへ送信される IP パケット数注意 : 2 つの計算式の " サーバ " は リフレクション攻撃に利用可能な NTP, DNS, CharGen, または SSDP サーバになります 不明な点がございましたら sales@nsfocus.co.jp までご連絡ください 12

13 0.0% 5.3% 10.5% 10.3% 12.8% 12.5% 15.4% 15.8% 21.9% 20.5% 31.3% 31.6% 34.4% 36.8% 41.0% オンラインゲームに対する DDoS 攻撃が急増している NSFOCUS は 2013 年から 2014 年までに世界中で発生した重大な DDoS 攻撃の情報を収集しました オンライ ンの小売業者 メディアへの攻撃は 2014 年下期においても主要な攻撃対象でした 僅差でオンラインゲーム業 界が 3 位に入っております 2014 年上期と比較すると キャリアへの攻撃がやや減少しています その一方で オンラインゲームや金融系への攻撃が増加しています 2013 年下期と比較した際の最も大きな違いはオンラインゲームに対する DDoS 攻撃の大幅な増加であり 急激な伸びをしめしています ゲーム業界は常に DDoS 攻撃の主要な標的の 1 つになります オンラインゲームはゲームサーバの quality of service (QoS) が要求されます DDoS 攻撃が通常のゲーム利用に影響を及ぼす場合 ユーザからはサーバが 重い 頻繁にオフラインになる と苦情が上がります あまりにもその状況が頻繁に発生すると ユーザはゲームをやめる可能性があり その場合直接的に売り上 げの減少を招きます 攻撃者は ( 脅迫による ) 不法利得や不当な商戦を目的する傾向にあります D D O S 攻撃の対象 H H H F I N A N C E I S P O N L I N E R E T A I L / M E D I A ON- L I N E G A M I N G O T H E R 13

14 2.2% 2.3% 2.5% 4.4% 3.3% 3.9% 4.9% 0.7% 0.5% 2.3% 0.2% 0.1% 86.2% 93.5% 93.1% DDoS 攻撃の 93% が 30 分以内で終わっている 2013 年から取得しているデータによると DDoS 攻撃の約 90% の攻撃継続時間は変わらず 30 分以内になります 最近の DDoS 攻撃は時間が短くボリュームが大きいという特徴があります 攻撃者は以下を考えこの攻撃を用います 注意をそらすもの : 攻撃者は標的の IT 管理者を DDoS 攻撃に引き付け 他の攻撃への注意をそらします それはマルウェアの設置や情報の盗難かもしれません 効率性 : DDoS 攻撃の効率性を向上させるため 攻撃者は攻撃検知やトラフィッククリーニングまでの時間より攻撃の継続時間を短くしようとします 被害者がクラウドベースの DDoS ミチゲーションサービスのみ利用している場合 その効果は明らかです この場合 ミチゲーションが開始されクリーントラフィックが戻されるまで 30 分以上かかるかもしれません ゲリラ戦のようなこの時宜を得た攻撃は 数回の大規模攻撃に比べ長期的に被害者へ甚大な被害を与えるかもしれません DDoS 攻撃に関し 攻撃検知からトラフィッククリーニングまでのセキュリティデバイスのレスポンスタイムが攻撃ミチゲーションの有効性を向上するための主要因の 1 つになります 一方で長期間継続する DDoS 攻撃ももちろんあります 2014 年下期に NSFOCUS セキュリティオペレーションセンターが検知した最も時間が長い攻撃は 70 時間継続しました このような攻撃は重大なビジネス損失をもたらします そのため 企業は DDoS 攻撃防御の備えを継続して評価する必要があります DDoS 攻撃の継続時間 H H H 0-30min 30min-1h 1h-8h 8h-64h 64h+ Source: 2014 NSFOCUS DDoS Threat Report 14

15 2015 年の展望 2015 年の DDoS 攻撃のピークトラフィックは 2014 年を超え 1Tbps に達すると予測され る to 1 Tbps "

16 2015 年の展望 2014 年に観測された DDoS 攻撃やその傾向に基づき 世界を驚かすような技術革新や大きな混乱がなけれ ば 2015 年の DDoS 攻撃について以下が予測されます DDoS 攻撃のピークトラフィックは過去最高を記録するだろう DDoS 攻撃のピークトラフィックは攻撃技術の継続した開発とネットワーク帯域の向上そしてその他の悪用可能 なリソースのために年々増加しています そのため 2015 年の DDoS 攻撃のピークトラフィックは 2014 年を超え 1Tbps に達すると予測されます DDoS 攻撃におけるリフレクション技術の進化は続いていくだろう 防御側の観点からすると DDoS リフレクション攻撃は検知 ミチゲーションは容易です なぜなら攻撃パケットの多くは同じポートへ送信されるからです 攻撃側の観点からすると この攻撃は攻撃者自身を隠すことができ ボットネットが不要で ネットワーク帯域をそれほど必要としません 2014 年下期には SSDP に基づく DDoS リフレクション攻撃の数が急激に増加しました IoT によるインターネットの進化のように 新しく費用対効果の高い攻撃技術が生まれ 攻撃者が利用するようになることが予測されます DNS サービスがさらに DDoS 攻撃の標的になるだろう 2014 年下期には 主要な DDoS 攻撃の殆どが DNS Flood に起因しました DNS プロトコルの設計不良と多く の DNS サーバの運用 保守におけるセキュリティの危険性が DNS サーバを DDoS 攻撃の主要な標的とさせ る 2 つの要因になります 新しい分野を標的とした DDoS 攻撃が主流になるだろう オンラインの小売業者 ゲーム 金融業界は長い間 DDoS 攻撃に苦しめられています しかしながら 最近では エネルギー 政府系 その他の分野への DDoS 攻撃も頻繁に発生しています そのため 企業や公共機関が重要なバリュードライバーとしてインターネットへの露出を増加するにつれ DDoS はすぐにセキュリティ問題の本流になることでしょう 様々な DDoS ミチゲーション技術は進化し続けていますが 実行するのが容易で安く 効果的である限り DDoS 攻撃は続きます 16

17 エピローグ DoS 攻撃の起源はインターネットアーキテクチャの欠陥にあります RFC 4732 によると, " オリジナルのインターネットアーキテクチャにおいてサービス拒否 (DoS) 攻撃に対して考慮していませんでした その結果 ほとんど全てのインターネットのサービスが大規模なサービス拒否 (DoS) 攻撃に対し脆弱です " 過去 5 年の DDoS 攻撃とその防御は攻撃技術の進化の歴史です それは拡大するネットワーク帯域を悪用することで影響を拡大させる Flood とリソース枯渇を組み合わせた攻撃です 攻撃に対応するため 防御側はトラフィッククリーニングデバイスを利用すべきです 年間を通したサポートや分析から NSFOCUS が得た DDoS データによると 攻撃者の振る舞いは変化し続け ネットワーク環境の進化は状況をより複雑化させています 本レポートに記載された視点が将来の攻撃手法の 予測に役立ち 企業や組織が自身のソリューションをさらに改善していく手助けになればと思います " 相手によって戦略を変えることができ それにより常に勝利する人が優れたリーダーと呼ばれるでしょう " ま さに 耐えざる変化と DDoS 攻撃の影響に直面しています 準備は宜しいですか? 免責事項本レポートの全てのデータは当社製品 ネットワーク監視 パートナーより提供されたものに基づいています データは分析前に匿名化され 公開されることはありません そのため 顧客に関連する情報が本レポートに記載されることはありません ご意見 ご要望がございましたら下記までご連絡頂ければと思います sales@nsfocus.co.jp 執筆者及び寄稿者 執筆者 :: Zhao Gang NSFOCUS 脅威レスポンスセンター主任研究員 Ma Lele NSFOCUS 北京 R&D センター技術員 寄稿者 : He Kun,Liu Yonggang,Zhao Gangku,Zhang Zhenfeng 17

18 DDoS Threat Report NSFOCUS 脅威レスポンスセンターは DDoS 攻撃について最新の情報を皆様へ提供するため 発生するサイバー攻撃に常に注意を払い 監視していきます

19 DDoS Threat Report ネットワークセキュリティの脅威はその標的 手段 発信元が変化し続けることにより より複雑化しています そのような背景において 企業や組織は 絶えず変化する複雑性に対処する前に 将来起こりえる悪意のある 攻撃を理解し準備するために 最新の傾向を追い求める必要があります NSFOCUS 脅威レスポンスセンターは DDoS 攻撃について最新の情報を皆様へ提供するため 発生するサイバー攻撃に常に注意を払い 監視していきます 本レポートは皆様へ以下を提供します DDoS 攻撃の最新の傾向を理解 ソリューションを最適化するためにネットワークセキュリティの啓蒙 DDoS Threat Report に興味がございますか? 本プロジェクトの最新情報は DDoS セキュリティレポート NSFOCUS on Facebook NSFOCUSJAPAN 19