異常に気付くには平常時からの観測を──NICTER観測レポート最新版を読み解く:ITの過去から紡ぐIoTセキュリティ(2/2 ページ)
情報通信研究機構(NICT)が2月上旬に発表した「NICTER観測レポート 2019」を読み解き、サイバー攻撃の現状を整理。正体不明のスキャンパケットが増加、DoS攻撃の複雑化といった状況が浮かび上がってきました。
複雑化するDoS攻撃、複数のサービスを悪用する手法も
レポートでは、DRDoS(Distributed Reflection Denial-of-Service)攻撃にも言及しています。DRDoS攻撃は、いくつかのプロトコルの特徴を悪用して、送り出したパケットの何倍もの数のパケットに増幅し、攻撃対象のリソースを圧迫する攻撃です。Amp(アンプ)攻撃やリフレクション攻撃ともいわれます。
NICTと横浜国立大学吉岡研究室が共同で設置したハニーポット「AmpPot」を解析したところ、19年の1年間で、累計1917万件、1日平均で約5.3万件のDRDoS攻撃を観測しました。その中には、割合こそ少ないですが、日本宛の攻撃も含まれていたといいます。
今のところ、大半のDRDoS攻撃は1種類のサービスのみを悪用していますが、NICTの観測の中では、複数の手法、複数のサービスを組み合わせて攻撃を実行する「マルチベクタ型DDoS攻撃」も見られ、中には16種類のサービスを悪用したものまであったということです。また、特定のIPアドレスを対象とするのではなく、ASと呼ばれるネットワークの集まり全体をターゲットにした、「絨毯爆撃(Carpet Bombing)型のDDoS攻撃」も存在するなど、DoS攻撃の複雑化が進んでいるといいます。
NICTサイバーセキュリティ研究所の井上大介氏(サイバーセキュリティ研究室)は「Dynに対するDDoSほどの世界的なニュースになるものはありませんが、小規模な攻撃はAmpPotの観測が示す通り、定常的に起こっています」とコメントしています。インターネットイニシアティブ(IIJ)も、Miraiの亜種である「moobot」を用いたDDoS攻撃についてレポートしている通り、DDoS攻撃の脅威は定常的にあるものと捉えるのが良さそうです。
慌てふためく必要は全くありませんが、こうした攻撃の可能性があることを頭の中に入れ、もし大規模なDDoS攻撃があった場合に、どのように対処し、情報を告知していくか(あるいはどこから情報を収集するか)を整理し直しておくといいかもしれません。それはきっと、他のセキュリティインシデント対応にも役立つはずです。
関連記事
- 脆弱なIoT機器への「偵察行為」激化 正体不明のスキャンシステムが多数存在
安易なパスワードが設定されていたり、脆弱性が存在したりする状態のIoT機器を探し出す「偵察行為」が激化。横浜国立大学大学院の吉岡克成准教授によると、世の中には、実態が分からないスキャンシステムも存在するという。 - 「脅威情報」分析で、海外勢に“データ負け”しないために
この数年、セキュリティベンダーなどが「脅威情報」を収集・分析するサービスを相次いで提供するようになりました。しかし利用するには相応のコストがかかります。「なかなか手が出せない」という人は何から始めればよいのでしょうか。 - 総務省、日本が早急に取り組むべきサイバーセキュリティ対策を発表 近年のインシデントを踏まえ
総務省は、東京五輪・パラリンピックを前に早急に取り組むべきサイバーセキュリティ対策について緊急提言を発表した。提言にはIoTセキュリティや問題発生後の報告体制に関する5点の対策が盛り込まれた。 - 政府のIoT機器調査、無差別の「力業」に踏み切った背景は
政府が、サイバー攻撃に悪用される恐れのあるIoT機器を洗い出し、ユーザーに注意喚起を行う「NOTICE」を始める。なぜ、こうした力業に踏み切ったのか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.