続報・IoTマルウェアの大規模DDoS攻撃、DNSリトライ集中で威力増大か（1/2 ページ）

[鈴木聖子，ITmedia]

　米DNSサービス大手のDynに大規模な分散型サービス妨害（DDoS）攻撃が仕掛けられてTwitterやNetflixなどの大手サービスがダウンした事件について、Dynは10月26日、攻撃の内容や同社が講じた対策に関する分析結果を公表した。IoTマルウェア「Mirai」のボットネットによる攻撃を受けて再帰DNSリトライの複合トラフィックが発生し、攻撃の威力が増大したと説明している。

　この事件では協定世界時の10月21日、DynのManaged DNSインフラに対し、2度にわたって大規模なDDoS攻撃が仕掛けられた。最初の攻撃は午前11時10分ごろに始まり、アジア太平洋と南米、東欧、米西部地域のManaged DNSプラットフォームに対する帯域幅が上昇。同社がインシデント対応プロトコルを開始すると、攻撃経路が突然変わり、米東部地域に対して“洪水”のようなTCPおよびUDPパケットが送り付けられるようになった。いずれも大量のソースIPアドレスから53番ポートへのトラフィックが集中していたという。

IoTマルウェアの大規模DDoS攻撃を受けたDyn

　事態を受けて同社はさらなる対策を講じ、トラフィックの流入を調整するトラフィックシェーピングやAnycastポリシーの操作によるトラフィックのリバランス、内部フィルタの適用、スクラビングサービスの配備などの措置を実行。こうした対策は午後1時20分ごろに実装を完了し、間もなく攻撃は沈静化した。

　ところが同日午後3時50分ごろ、攻撃の第2波が発生する。この攻撃は世界的に分散されていたが、手口は第1波と同じだったため、Dynは第1波の攻撃に対して使った防御策を世界に広げ、午後5時ごろまでに大部分を復旧させた。影響は午後8時半ごろまで続いた。

　その後も数時間から数日にわたって小規模なTCP攻撃が発生したが、顧客への影響は食い止めたとしている。