過去最大のDDoS攻撃は「防止できたはず」と専門機関、世界的影響は否定

攻撃が過去最大規模だったことは事実だが、メディアが伝えたような世界的影響はなかったと米SANSは指摘。攻撃されたネットワーク側の問題を指摘して対策を促した。

[鈴木聖子，ITmedia]

　スパム対策組織などを標的として過去最大級のサイバー攻撃が発生したと伝えられた問題で、米セキュリティ機関のSANS Internet Storm Centerは3月28日、事実関係を整理するとともに、今回のような攻撃が可能になった原因を指摘してネットワーク管理者に対策を促した。

　報道によれば、今回の攻撃はスパム対策組織のSpamhausがオランダのWebホスティング業者Cyberbunkerを遮断リストに加えたことを発端とする報復攻撃として発生。英BBCや米紙New York Timesは、この影響で世界のインターネットに影響が及んだと伝えていた。

　これについてSANSのセキュリティ専門家は、攻撃の規模が300Gbpsに達し、これまでに記録された分散型サービス妨害（DDoS）攻撃としては最大だったことは事実だと指摘した。この攻撃には、DNSの再帰的クエリ機能を利用したDNSオープンリゾルバの問題が使われ、SpamhausとCloudFlareに大きな影響を与えたという。

　DNSオープンリゾルバの問題では、適切なアクセス制限を行っていないDNSサーバがDDoS攻撃の踏み台として使われる可能性が以前から指摘されている。今回の攻撃では、DNSリクエストに対する反応を増幅させる「DNS増幅攻撃」という手法を用いて、偽のDNSリクエストを被害者のIPアドレスから既知のオープンリゾルバに送りつける手口で、300Gbpsの攻撃を発生させたとされる。

　一方でSANSは、「インターネットがダウン寸前の状態になった事実はなく、被害者およびインターネット上で被害者に近い距離にあった関係者以外には、実質的な影響は出なかった」と述べ、メディアが伝えたような世界的影響はなかったと断定した。

　DNSオープンリゾルバの問題については「以前から知られていた問題であり、今回のようなDDoS攻撃は防ぐことができたはず」だとSANSは指摘。攻撃が仕掛けられたネットワーク側の問題点として、まず第1に、偽装トラフィックがフィルタリングされていなかったこと、第2の問題として、ネットワーク上に再帰的DNSオープンリゾルバが存在していたことを挙げた。

　そのうえで、「一般的に、ほとんどのDNSサーバは再帰的クエリを実行する必要はない」と述べ、管理者へのアドバイスとして、再帰機能を無効にし、もしローカルクライアントのために再帰機能が必要な場合は自社のネットブロック内に制限するよう助言している。