フロリダ州に拠点を置くDDOS対策プロバイダーのProlexicが水曜日に発表した報告書によると、ウェブサイトやその他のシステムをジャンクトラフィックで溢れさせる分散型サービス拒否(DDOS)攻撃の量、期間、頻度が今年の最初の3か月間に大幅に増加したという。
2013 年第 1 四半期に Prolexic が確認した攻撃帯域幅の平均は 48.25 Gbps で、攻撃帯域幅の平均が 5.9 Gbps だった 2012 年第 4 四半期と比べて 8 倍の増加となりました。
先月、スパム対策団体Spamhausに対して行われた注目の攻撃は、ピーク時300Gbpsを超え、史上最大規模と報じられたが、その規模は過大評価されていたとProlexicは報告書で述べている。しかし、Prolexicは3月に130Gbpsの攻撃を緩和したと述べている。
2013年最初の3ヶ月間にProlexicの顧客に対して行われた攻撃の約25%は中規模で、平均帯域幅は1Gbps未満でした。しかし、平均帯域幅が60Gbpsを超える攻撃も11%あり、攻撃者がより組織化され、大規模な攻撃を仕掛けるための装備が充実していることを示唆していると同社は述べています。
このような大規模な攻撃は、PCではなく、侵害されたWebサーバーで構成されたボットネットによって実行されます。これらのサーバーは、一度侵害されると、不正なPHPスクリプトによって制御されます。これは、「イズ・アド・ディン・アル・カッサム・サイバーファイターズ」と呼ばれるグループが米国の金融機関を攻撃する際に使用した手法と同じです。
攻撃の帯域幅が増加しただけでなく、1秒あたりのパケット数(pps)も増加しており、今年第1四半期の平均は3,240万ppsだったとProlexicは述べた。
大規模な攻撃の帯域幅により、ターゲットのインターネット アップリンクが過負荷になり、他の正当なトラフィックを処理できなくなる可能性がありますが、1 秒あたりのパケット レートが高いと、ISP、キャリア、さらには DDoS 緩和プロバイダーのルーティングやその他のネットワーク機器に問題が発生する可能性があります。
「ほとんどの緩和機器は、Gbpsではなくppsの容量で制限される傾向があります」とProlexicは述べています。「しかし、このような高pps攻撃に苦戦するのは緩和機器だけではありません。緩和機器にトラフィックを運ぶルーターでさえ、このレベルのパケットレートには問題を抱えています。その結果、これほど大量の攻撃トラフィックをスクラビングセンターに移動するだけでも問題が発生する状況になりつつあります」と同社は述べています。
数字で見る
2013年第1四半期のDDOS攻撃件数は、2012年第4四半期比で1.75%増加し、前年同期比では21.75%増加しました。インフラ層を標的とした攻撃は、今年最初の3ヶ月間に観測された攻撃全体の3分の1以上を占め、前四半期比で3.65%増加しました。
「今四半期を特徴づけたのは、インターネット サービス プロバイダー (ISP) とキャリア ルーター インフラストラクチャを狙った攻撃が増加したことです」と Prolexic は述べています。
2013 年第 1 四半期の DDOS 攻撃の最大の発信国は中国で、ボットネットによる活動の 40.68% を占め、これに続いて米国が 21.88%、ドイツが 10.59%、そして意外なことにイランが 5.51% でした。
「Prolexicは、多くの地域において、国を発信源とするボットネットトラフィックの安定したパターンを確認しています」と同社は述べています。「しかしながら、イランはこれまで発信元国上位10カ国に含まれていませんでした。ネットワークインフラが大規模に整備されている国ではボットネット感染のインシデント数が多いと予想されるため、イランが4位にランクインしたことは間違いなく際立っています。」
歴史的にDDOS攻撃が活発な地域であったロシアが、DDOS攻撃発信国トップ10にランクインしなかったのは、2四半期連続となる。
しかし、ブラジルから発信されるDDOSトラフィックが増加しており、これは南米におけるボットネット活動の着実な増加を裏付けているとProlexicは述べている。
