警察庁がDoS攻撃観測状況を公開、「DoS脅迫」の痕跡も

警察庁は10月25日、backscatterパケットの監視から得られたDoS攻撃の観測状況をまとめ、公開した。

[ITmedia]

　警察庁は10月25日、同庁が運営している「インターネット定点観測網」で収集されたデータを元に、DoS攻撃の中でも代表的な「SYN Flood攻撃」の観測状況をまとめ、公開した（PDFファイル）。

　同庁ではこれまでも、各地に設置したファイアウォールや侵入検知システム（IDS）から得られた情報を元に、定期的に「インターネット治安情勢」をまとめ、公開してきた。今回まとめられたデータは、さまざまなトラフィックの挙動の中でも、特にSYN Flood攻撃の検出を目的とした「SYN Flood 被害観測システム」によるものだ。

　このシステムでは、送信元アドレスを偽造してSYN Flood攻撃が仕掛けられた場合に生じるbackscatterパケット（跳ね返りパケット）を観測することにより、SYN Flood攻撃のターゲットとなったホストを検出する。したがって、真の攻撃者を突き止めることは困難だが、いつ、どういったサイトにDoS攻撃が仕掛けられたかの傾向を大まかに把握することは可能だ。

　この仕組みに基づいた試験観測の結果、7〜9月の3カ月間に観測されたbackscatterは7万6360件。うち大半を、HTTP通信で用いられるTCP 80番ポートに対するものが占めた（6万4603件）。また発信元で見ると、中国が発信元アドレスとなっているものが7万3474件で大多数を占めている。

　最近では、オンラインカジノサイトなどに「DoS攻撃を仕掛けるぞ」と脅しをかけて金をゆすり取ろうとする事件が報じられている。そうした恐喝行為が実際にあったことを示唆するbackscatterも観測されたということだ。

　警察庁ではこの結果を踏まえ、10月25日よりSYN Flood 被害観測システムの正式稼動を開始した。今後はこの観測システムを、UDP Flood攻撃などにも対応できるよう拡張していく計画だ。