DDoS攻撃の大型化進む、ネットワーク層への攻撃も増加～米Arbor Networks調査

グローバルセールス・エンジニアリング＆オペレーション担当副社長、カルロス・モラレス氏

　DDoS対策アプライアンスなどを販売する米Arbor Networksは23日、「ワールドワイド・インフラストラクチャ・セキュリティ・レポート」の2011年版に関する説明会を開催。同社のグローバルセールス・エンジニアリング＆オペレーション担当副社長、カルロス・モラレス氏が、DDoS攻撃の傾向などを説明した。

　このレポートは、Arbor Networksが2005年から毎年行っているもので、ボットネットやDDoS攻撃の現状についての報告がまとめられている。調査実施期間は2010年10月から2011年9月までで、全世界の114社が回答した。回答者のうち54％がサービスプロバイダ、15％がT1プロバイダ、14％がホスティング/データセンター事業者で、それ以外は主に企業や官公庁となる。

　モラレス副社長によれば、このレポートで一番特筆されることは、「DDoS攻撃の主な動機としては、政治的、思想的なものや破壊行為を目的としたものが多い」ことなのだという。これはすなわち、「誰でも、どんな企業でも標的になり得ることを意味する」とのことで、例えば、ソーシャルメディアで話したことが誰かの気に障ってDDoS攻撃の標的になることもあり得るため、攻撃されるリスクは以前と比べて飛躍的に増大してしまっている。

　また、2年連続で攻撃の規模・範囲は大きくなっているそうで、「DDoS攻撃における最大規模攻撃の報告のうち、50％以上（57％）が1Gbps以上。インターネット事業者の9割は1Gbps以下の帯域でビジネスをしているため、これだけの攻撃を受けると、大半のビジネスがダウンしてしまう」と、警鐘を鳴らす。

DDoS攻撃の主要動機	大規模攻撃が一般化

　このほか、2011年版で変化している点としては、「アプリケーションレイヤ（レイヤ7）への攻撃が増えている」ことを指摘。その理由として、「GUIが整備されオンラインヘルプまで提供されるなど、攻撃ツールが使いやすくなっている」ことを挙げた。なおアプリケーションレイヤへの攻撃は、検知しにくく、従って防御もしにくいことが最大の問題点になるとのことだ。

アプリケーション層への攻撃と複合型DDoS攻撃

　加えてこの調査では、モバイルサービス分野での傾向も報告されている。モラレス副社長は、「モバイルインターネットの利用者が増加しているということは、将来的にはモバイル分野でのセキュリティ脅威が高まることを意味する。特にLTEは予想を超えて採用が進んでいるが、帯域においてはADSLやFTTHなどに匹敵するもので、大きな動きがあるだろう」という状況を指摘。その上で「モバイル事業者は可視化への投資を進めているものの、ありとあらゆるところまで可視性が広がっているわけではなく、44％の回答者は、自社のネットワーク上に（ボットへの）感染者がどの程度存在するか、把握できていない」と話す。

　また、こうした傾向は、モバイルインフラに対するDDoS攻撃の検知能力にも現れているとのこと。モラレス副社長は「調査では、大きく攻撃を受けているか、ほとんど攻撃がないかの2極に分かれているが、これは現実の分布を反映しておらず、検知能力のある事業者がいる一方で、検知できない事業者がいることを意味している」との分析を示した。

　アプリケーションレイヤへの攻撃では、全体としてはHTTPへの攻撃が一番多い（全体の87％が経験）ものの、モバイル事業者の場合はDNS攻撃の報告が多く、全体の40％弱がDNS攻撃を受けた経験があると回答している。

　なお今回、IPv6に対するDDoS攻撃が初めて報告された。IPv6の利用が進んでいないことから、全体的な件数はまだまだ少ないが、「こうした攻撃が現れてきたことに意味がある」（モラレス副社長）と、この点についても警告していた。

モバイルプロバイダの可視性確保への投資状況	完全可視化/検出が課題に
モバイルインフラに対するDDoS攻撃	IPv6に対するDDoS攻撃