Innovation Leading Company

「Mirai」の次のDDoS攻撃に備えるには

2016年12月12日

「Mirai」の次のDDoS攻撃に備えるには

2016年、IoTをボット化しDDoS攻撃を行う新しい攻撃手法が生まれました。今後IoTからIoE(Internet of Everything)へとネットワーク接続デバイスが増えること、また攻撃元のさらなるグローバル化によって、DDoS攻撃の脅威が著しく高まります。本ブログでは2017年以降のDDoS攻撃対応策をご紹介します。

今後IoEもボット化

「Mirai」は、「23/TCP」および「2323/TCP」をスキャンし、IoTデバイス、 特に防犯カメラ、ルーター、デジタルビデオレコーダーを標的に、DDoS攻撃に加担するデバイスを増殖させ、DDoS攻撃を仕掛けるプログラムです。ボット化したIoTデバイスは「Miraiボット」と呼ばれ、史上最大級のボリュームサイズでDDoS攻撃を実現するなど大きな脅威となっています。

「Miraiボット」は、2016年9月中旬、セキュリティ関連ニュースを発信している米国ジャーナリストウェブサイトが攻撃被害にあったことで世間に知られました。また、そのサイトに対してセキュリティサービスを提供していたCDN事業者が、他のユーザーへの影響を考慮し、DDoS攻撃対象のジャーナリストウェブサイトをセキュリティサービス対象から切り離したことで、DDoS攻撃の被害リスクにおける認知度を高めました。

その1カ月後の2016年10月中旬、米国大手DNSサービスプロバイダーが攻撃を受けました。その影響は大きく、米国の広い地域でTwitterやWall Street Jounralなど多くのサービスがダウンし利用不能となりました。また「Mirai」のソースコードは、オープンソースとして公開されているため、Miraiの亜種とみられるDDoS攻撃が、現在もグローバルに行われています。
2017年以降は、「Internet of Everything(IoE)」が、トレンドとなるといわれています。攻撃者の観点からすると、ボット化の標的が防犯カメラ、ルーター、デジタルビデオレコーダー以外のデバイスにも拡大されるということです。IoEが対象となると何千万以上ものIPアドレスが絡む高度な分散攻撃となり、1Tbps以上のDDoS攻撃を発生させる危険性があります。

IoT/DDoSの攻撃元/被害ともに広範囲

DDoS攻撃元は、各社セキュリティベンダーの観測により、中国・アメリカが多くを占めます。その一方攻撃元を防犯カメラに絞った場合、IPアドレスの所在地は、台湾・ベトナムなどのアジアが多くを占めます。また、セキュリティベンダーの観測によると、「Mirai」に感染したデバイスの所在地は、160以上と非常に広範囲の国・地域に及んでいます。

IoE時代のDDoS攻撃対策

今後、ますますDDoS攻撃元がグローバル化します。攻撃元の国・地域が分散傾向となり、DDoS攻撃は、キャンペーン的かつ流動的に発生します。また攻撃タイプもさまざまです。IoE時代のDDoS攻撃に対応するには、情報戦を制するしかありません。これはDDoS攻撃が、どの国・地域で、いつキャンペーンとして発生しているのかを、インターネットトラフィックをモニタリングして、リアルタイムに把握、対策を講じる必要があります。また、効率的に攻撃対策を行うためには、インターネットトラフィックのモニタリングを広範囲で実施していることが重要ですが、グローバルレベルの情報収集能力が必要です。これらを実現するには、脅威インテリジェンスサービスの活用が必要不可欠となります。 

Arbor Networks社の提供する脅威インテリジェンスサービス「ATLAS Intelligence Feed(以下、AIF)」は、インターネットトラフィック全体の35%~40%をモニタリングしています。モニタリングから得られた情報をもとに解析した結果を「脅威インテリジェンス」として提供しています。

AIFの特長

Arbor Networks社は米国ミシガン大学において、/8のネットワークに含まれる1,700万アドレス以上の大規模ダークネットを観測していたセキュリティ研究チームによって設立された会社です。2016年現在、Arbor Networks社のサービスプロバイダーへの導入数は、330社以上にのぼります。またTier1のサービスプロバイダーの90%以上でArbor Networks社製品が導入されている実績があります。Arbor Networks社の観測対象のトラフィック容量は140Tbps以上といわれており、この大規模・大容量のインターネットトラフィックのリアルタイム分析をもとにArbor Networks社はAIFをサービス提供しています。

AIFのご紹介

AIFの概要および脅威インテリジェンスのタイプは、以下資料よりご確認いただけます。

資料ダウンロードはこちらから >

(執筆者:日商エレクトロニクス株式会社 ネットワーク&セキュリティ事業本部 セキュリティ事業部 坂口武生,CISSP)