レポートでは、DRDoS(Distributed Reflection Denial-of-Service)攻撃にも言及しています。DRDoS攻撃は、いくつかのプロトコルの特徴を悪用して、送り出したパケットの何倍もの数のパケットに増幅し、攻撃対象のリソースを圧迫する攻撃です。Amp(アンプ)攻撃やリフレクション攻撃ともいわれます。
NICTと横浜国立大学吉岡研究室が共同で設置したハニーポット「AmpPot」を解析したところ、19年の1年間で、累計1917万件、1日平均で約5.3万件のDRDoS攻撃を観測しました。その中には、割合こそ少ないですが、日本宛の攻撃も含まれていたといいます。
今のところ、大半のDRDoS攻撃は1種類のサービスのみを悪用していますが、NICTの観測の中では、複数の手法、複数のサービスを組み合わせて攻撃を実行する「マルチベクタ型DDoS攻撃」も見られ、中には16種類のサービスを悪用したものまであったということです。また、特定のIPアドレスを対象とするのではなく、ASと呼ばれるネットワークの集まり全体をターゲットにした、「絨毯爆撃(Carpet Bombing)型のDDoS攻撃」も存在するなど、DoS攻撃の複雑化が進んでいるといいます。
NICTサイバーセキュリティ研究所の井上大介氏(サイバーセキュリティ研究室)は「Dynに対するDDoSほどの世界的なニュースになるものはありませんが、小規模な攻撃はAmpPotの観測が示す通り、定常的に起こっています」とコメントしています。インターネットイニシアティブ(IIJ)も、Miraiの亜種である「moobot」を用いたDDoS攻撃についてレポートしている通り、DDoS攻撃の脅威は定常的にあるものと捉えるのが良さそうです。
慌てふためく必要は全くありませんが、こうした攻撃の可能性があることを頭の中に入れ、もし大規模なDDoS攻撃があった場合に、どのように対処し、情報を告知していくか(あるいはどこから情報を収集するか)を整理し直しておくといいかもしれません。それはきっと、他のセキュリティインシデント対応にも役立つはずです。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR