2H 2014 NSFOCUS DDoS THREAT REPORT - NVC...2H 2014 NSFOCUS DDoS THREAT REPORT 3 目次エグゼクティブ・サマリー 4 調査結果 7 スマートデバイスを利用したDDoS

2H 2014 NSFOCUS DDoS THREAT REPORT

“

DDoS攻撃に悪用可能な SSDPデバイスがグローバル

で 700万台以上発見されている…

Follow NSFOCUS on Twitter

@NSFOCUSJAPAN

Visit our Blog

http://nsfocusblog.com/

About NSFOCUS

2000 年に創設された NSFOCUS Inc.（NSFOCUS）は、分散型 DoS 攻撃（DDoS）ミ

チゲーション、ウェブ・セキュリティー、ネットワーク・セキュリティーソリューションと

サービスを全ての業態向けに提供しています。DDoS の研究開発・ミチゲーション

で 13 年以上の経験がある NSFOCUS は、世界中の顧客が高水準のインターネッ

ト・セキュリティー、ウェブサイト稼働率、事業運営を維持し、オンライン・システム

が常時利用可能な状態を保つことを支援してきました。NSFOCUS の Anti-DDoS

System（ADS）の利用により、単純なレイヤ攻撃から高度で甚大な損害を与えか

ねないアプリケーションレイヤ攻撃まで、さまざまな攻撃を発見、回避することがで

き、結果として正規トラフィックがネットワークに確実に到達できるようにします。詳

細は Webサイトを参照下さい。 www.nsfocus.co.jp

NSFOCUS Information Technology Co., Ltd.は中国におけるナスダックである深川

市場に、コード 300369 として 2014年 1月 29日に上場しました。

http://www.nsfocus.com/

2H 2014 NSFOCUS DDoS THREAT REPORT 3

目次

エグゼクティブ・サマリー 4

調査結果 7

スマートデバイスを利用した DDoS攻撃が増加している 7

イベント 1: 2014年における最も大きい DDoS攻撃の 3分の 1がス

マートデバイスを攻撃元としたものであった 8

UDP Flood攻撃が主要な DDoS攻撃の手法となっている 10

イベント 2: SSDPに基づく DDoS リフレクション攻撃例の分析 11

オンラインゲームに対する DDoS攻撃が急増している 13

DDoS攻撃の 93%が 30分以内で終わっている 14

2015年の展望 16

DDoS攻撃のピークトラフィックは過去最高を記録するだろう 16

DDoS攻撃におけるリフレクション技術の進化は続いていくだろう 16

DNSサービスがさらに DDoS攻撃の標的になるだろう 16

新しい分野を標的とした DDoS攻撃が主流になるだろう 16

エピローグ 17


4

エグゼクティブ・サマリー

本レポートで述べられている内容は、2014年に実際に発生した DDoS攻撃に基づく統計分析結果と見解にな

ります。データはグローバル企業、インターネットサービスプロバイダ、キャリア、ホスティング事業者などから収

集しました。本レポートのハイライトは以下の通りです。

スマートデバイスからの DDoS攻撃が明らかに増加して

いる : 2014 年下期は、 Simple Service Discovery

Protocol (SSDP)を悪用した反射・増幅型の distributed

denial of service (DDoS)攻撃が最も強力かつますます

好まれる攻撃手法として表面化しました。この種の攻撃

はスマートデバイスを利用し 75 倍まで攻撃する帯域を

増幅します。

DDoS 攻撃に悪用可能な SSDP デバイスがグローバル

で 700万台以上発見されている

SSDP デバイスは弱いパスワードが利用され、脆弱性を

内包しています。攻撃者はそれらを乗っ取り、DDoS 攻

撃を実行することができます。IoT が膨大なデバイスを

オンラインにし、SSDP攻撃の増加をもたらしています。

UDP Flood 攻撃が主要な DDoS攻撃の手段になって

いる:

UDP Flood 攻撃は多くのゾンビ PC を必要としません。

攻撃を受けた側の観点からすると、全てのデータパケッ

トは特に問題がありませんが、すぐにサーバリソースま

たは帯域幅に大きなダメージを与えます。そのためこの

攻撃は効率的かつ効果的な手法になります。

2H 2014

UDP Flood

攻撃者はより賢くなっている:

DDoS攻撃の 90%が 30分以内で止んでいる一方、唯一

70時間続いた攻撃がありました。この攻撃時間を短くす

る戦略は、効率の向上とともに、管理者を実際に意図し

ている攻撃(例えばマルウェアの設置、データの窃盗)か

ら注意をそらす目的で利用され続けています。今日の

攻撃者はより賢く、洗練されてきていることを意味しま

す。

2H 2014

> 30分以内.

51.9 %

93.1%

Vulnerable SSDP device distribution


5

オンラインゲームに対する DDoS攻撃が急増している:

オンラインゲームは消費者からの要求が最も厳しい業

界です。100％の可用性だけではなく最高のユーザエク

スペリエンスも要求されます。小規模な DDoS攻撃によ

ってもたらされるほんのわずかな遅延でさえ、ユーザエ

クスペリエンスを損ない、結果として利用者が離れてし

まいます。

2H 2014

オンライン

ゲーム

31.6%

“

2014年における最も大きい DDoS攻撃の 3

分の 1がスマートデバイスを攻撃元としたも

のであった…


7

調査結果

スマートデバイスを利用した DDoS攻撃が増加している

最近、スマートデバイスからの DDoS 攻撃が頻繁に検知されています。これはウェブカメラのようなスマートデ

バイスに以下の特徴があるからです。

• 比較的高帯域である

• アップグレードサイクルが長い。あるスマートデバイスは設置後にアップグレードされないものもある.

• 24x7オンラインである

強度の弱いパスワードが利用されている、またはデバイスに脆弱性がある場合、攻撃者はそれらを乗っ取り、

送信元として DDoS 攻撃を実行することができます。当社が最近実施したスマートデバイスの調査によると、

DDoS 攻撃に利用可能な約 700 万台のデバイスが発見されました。以下の図は攻撃に利用可能なデバイスの

分布を表しています。


8

イベント 1: 2014年における最も大きい DDoS攻撃の 3 分の 1がスマートデバイスを攻撃元としたものであった

2014 年 12 月 10 日より DNS トラフィックが世界規模で異常を示しました。これに対し、NSFOCUS セキュリティ

チームはこのイベントをすぐに分析及び処理しました。この DNS 攻撃イベントは複数の地域に影響を及ぼしな

がら拡大していきました。初期の予測では、DNS 攻撃のトラフィックは 100Gbps に達する見込みでした。シング

ルノードのピークトラフィックは約 70Gbps に達しました。疑いなく、このイベントは攻撃継続時間及びトラフィック

ボリュームにおいてここ数年で最も深刻な攻撃でした。攻撃者は a***k.org や n***c.com といったランダムなセ

カンドレベルドメイン名を継続してクエリし、結果として DNS Floodを引き起こしました。

この DDoS 攻撃はオンラインゲームサイトの権威 DNS サーバを攻撃するため、ボットネットを利用しオンライン

ゲームサイトのセカンドレベルドメイン名をクエリしていました(いわゆる DNS Slow Drip 攻撃) 。多くの企業は、

キャッシュ DNSサーバを自分の PCの DNS サーバに設定しています。膨大なゾンビ PCが攻撃リクエストを実

行した際、キャッシュサーバはオンラインゲームサーバのランダムなセカンドレベルドメイン名を送る必要があり

ます。これによりサーバのシステムリソースがかなり消費され、キャリアの名前解決サービスにも重大な影響を

及ぼします。この DDoS攻撃イベントにおいて、以下に注意を払う必要があります。

• 約 3分の 1の攻撃元がスマートデバイスであった

• DNSキャッシュサーバがユーザの設定によって重大な影響を受けた

• 攻撃を受けたドメイン名はオンラインゲームサイトのものであった

以下の表は 2014年 12月に発生した DNSサービスに対する DDoS攻撃(DNS Flood攻撃)及びその対策に

ついてのリストになります。2014年 12月の DDoS 攻撃

攻撃対象 Start Date 攻撃トラフィック継続時間解決策

DNS Simple① 12 月 1 日約 25 Gbps 約 11 時間 20Gbpsのクリーニングデバイスの設置

1&1 Internet② 12 月 9 日約 12 時間

China Telecom 12 月 10 日 100+ Gbps 4 日以上 DDoS クリーニングデバイスの設置

Telia③ 12 月 11 日 1 日以上

North Korea④ 12 月 21 日約 9.5 時間

Rackspace⑤ 12 月 22 日約 12 時間

DNS インフラに影響が出る前に DDoS

クリーニングデバイスの設置

Source: 2014 NSFOCUS DDoS Threat Report

① http://blog.dnsimple.com/2014/12/incident-report-ddos/ ② http://blog.1and1.com/2014/12/10/information-on-the-dns-outage-at-11-on-december-9-2014 ③ http://www.telia.se/privat/driftinformation/2014/December/Problem-med-surf-och-digital-tv-avhj-lpt ④ http://www.northkoreatech.org/2014/12/23/north-koreas-internet-back-after-probable-attack/ ⑤ https://status.rackspace.com/index/viewincidents?group=14&start=1419224400


9

表にある幾つかの攻撃イベントは関連があるように思われます。攻撃者の観点では、これらの成功した攻撃は、

DNS サービスへの攻撃が最も威力があり攻撃者の目的を知らしめる効果的な手法であることを示しています。

このことはまた、DNSサービスに対するセキュリティの脆弱性も反映しています。スマートデバイスや IPｖ6 の増

加に伴い、そのような DDoS攻撃はより頻繁に発生し致命的となるかもしれません。


10

UDP Flood 攻撃が主要な DDoS 攻撃の手法となっている

2014年下期は DNS Flood攻撃を抜いて UDP Flood攻撃が主要な攻撃手段になりました。全体の 51.9%が UDP

Flood 攻撃になります。ネットワーク防御技術の向上のように、攻撃者は防御技術の 1 歩先を行くよう攻撃手法

を変えています。攻撃者は攻撃を実行する前に、ネットワーク上で脆弱性のある Web サイトを見つけるためス

キャンを実行します。企業が自社の DNS サーバのセキュリティを向上させたため、UDP Flood の特殊な攻撃タ

イプである、反射・増幅攻撃は主要な攻撃タイプとして表面化しました。

UDP 増幅攻撃は様々なタイプがあります。有名なものでは、NTP、Chargen、SNMP、SSDP が UDP で動いてい

ます。膨大な NTP 反射・増幅攻撃が主だった 2014 年上半期と比較すると下半期は SSDP に基づく反射・増幅

攻撃が主な攻撃手法となりました。ある事例の詳細を述べていきます。

4.6

%

4.7

%

20.9

%

0.9

%

12.2

%

50.1

%

6.6

%

0.6

%

0.4

%

11.4

%

0.9

%

31.2

%

42.0

%

13.5

%

0.1

%

0.2

%

0.3

%

1.9

%

8.1

%

37.5

%

51.9

%MIX_FLOOD OTHER HTTP_FLOOD ICMP_FLOOD TCP_FLOOD DNS_FLOOD UDP_FLOOD

2013-2H 2014-1H 2014-2H


DDoS 攻撃タイプ

%:トータルに対する該当期間の攻撃の割合


11

イベント 2: SSDPに基づく DDoS リフレクション攻撃例の分析

以下 2 つの図はこのような攻撃の基本的な手順になります。初めに、攻撃者は IP アドレスを偽装し多数の

UPnP デバイスへ M-SEARCH UDP パケットを送信します。その際、デバイスは標的となった IP アドレスへ

"return" 応答パケットを返します。結果として標的はリフレクション攻撃の膨大なトラフィックを処理できなくなり、

DoS (サービス拒否) 状態になります。 NSFOCUSの調査によると、SSDPに基づく DDoSリフレクション攻撃の

帯域増幅係数 (Bandwidth amplification factor 、BAF と略します。UDPペイロードの割合です。) は約 30 とな

ります。

以下の図は実際のネットワークで検知された SSDP に基づく DDoS リフレクション攻撃のデータになります。

(SSDP リフレクションを利用し DNSサーバを攻撃しています。)

攻撃中に送られたリクエストパケットの例になります。


12

上図は、攻撃者が UPnP デバイスへ M-SEARCH リクエストを送信し、ST(検索対象)に ssdp:all (全てのデバイ

スとサービスの検索)を設定したことを示す図になります。世界中の悪用可能な UPnP デバイスの数から考えま

すと、このような DDoS リフレクション攻撃がインターネットに大きな影響を与えることは想像に難くないと思いま

す。

統計によると、SSDPの BAFの平均は 37であり、最も一般的なものは 24 と 32でした。SSDP パケット増幅係

数(packet amplification factor、PAF と略します)の平均は 8.7になります。昇順で BAFを並び替えた場合、上位

10%の SSDPデバイスの BAF平均は 14ですが、下位 10%は 75でした。

以下のグラフは SSDPデバイスの BAFの分布を表しています。

SSDP に基づく増幅攻撃により引き起こされる影響は甚大であり早急な対応が求められます。そして様々な手

段で実行することが可能です。モノのインターネット（Internet of Things : IoT）の普及と共に、将来この種の攻

撃が拡大することが予想できます。増幅攻撃へ対処するには、最大限サービスの信頼性を確保するため様々

な側面からエンドユーザ、キャリア、セキュリティベンダーが協力して対応していく必要があります。

本レポートにおける BAF 及び PAF の計算式

BAF = サーバにより標的へ送信される UDPペイロードバイト数/攻撃者からサーバへ送信される UDPペイロードバイト数

PAF = サーバにより標的へ送信される IPパケット数/攻撃者からサーバへ送信される IPパケット数

注意: 2 つの計算式の"サーバ"は、リフレクション攻撃に利用可能な NTP, DNS, CharGen, または SSDPサーバになります。

不明な点がございましたら、[email protected] までご連絡ください。

8.5%

63.5%

25.5%BAF Up to 75

2.5%

0-20 20-40 40-70 70+

SSDPに基づく DDoS攻撃SSDPに基づく増幅攻撃に十分注意してください。攻撃には最大75のBAFをもつSSDPが

利用可能であり、その影響は計り知れません。エンドユーザ、キャリア、セキュリティベ

ンダーが協力して対応していく必要があります。



13

オンラインゲームに対する DDoS攻撃が急増している

NSFOCUSは 2013年から 2014年までに世界中で発生した重大な DDoS攻撃の情報を収集しました。オンライ

ンの小売業者、メディアへの攻撃は 2014年下期においても主要な攻撃対象でした。僅差でオンラインゲーム業

界が 3位に入っております。

2014 年上期と比較すると、キャリアへの攻撃がやや減少しています。その一方で、オンラインゲームや金融系

への攻撃が増加しています。2013年下期と比較した際の最も大きな違いはオンラインゲームに対するDDoS攻

撃の大幅な増加であり、急激な伸びをしめしています。ゲーム業界は常に DDoS 攻撃の主要な標的の 1 つに

なります。オンラインゲームはゲームサーバの quality of service (QoS)が要求されます。DDoS 攻撃が通常の

ゲーム利用に影響を及ぼす場合、ユーザからはサーバが“重い、頻繁にオフラインになる”と苦情が上がります。

あまりにもその状況が頻繁に発生すると、ユーザはゲームをやめる可能性があり、その場合直接的に売り上

げの減少を招きます。攻撃者は (脅迫による) 不法利得や不当な商戦を目的する傾向にあります。

12.8

% 15.4

%

20.5

%

10.3

%

41.0

%

0.0

%

21.9

%

31.3

%

12.5

%

34.4

%

5.3

%

10.5

%

36.8

%

31.6

%

15.8

%

F I NANCE ISP ONL INE RET A IL / M ED IA

ON- L INE G AM ING OT HER

DDOS攻撃の対象

2013-2H 2014-1H 2014-2H


14

DDoS攻撃の 93%が 30分以内で終わっている

2013年から取得しているデータによると、DDoS攻撃の約 90%の攻撃継続時間は変わらず、30分以内になりま

す。最近の DDoS 攻撃は時間が短くボリュームが大きいという特徴があります。攻撃者は以下を考えこの攻撃

を用います。

注意をそらすもの: 攻撃者は標的の IT 管理者を DDoS 攻撃に引き付け、他の攻撃への注意をそらします。そ

れはマルウェアの設置や情報の盗難かもしれません。

効率性: DDoS 攻撃の効率性を向上させるため、攻撃者は攻撃検知やトラフィッククリーニングまでの時間より

攻撃の継続時間を短くしようとします。被害者がクラウドベースのDDoSミチゲーションサービスのみ利用してい

る場合、その効果は明らかです。この場合、ミチゲーションが開始されクリーントラフィックが戻されるまで 30 分

以上かかるかもしれません。ゲリラ戦のようなこの時宜を得た攻撃は、数回の大規模攻撃に比べ長期的に被

害者へ甚大な被害を与えるかもしれません。

DDoS攻撃に関し、攻撃検知からトラフィッククリーニングまでのセキュリティデバイスのレスポンスタイムが攻撃

ミチゲーションの有効性を向上するための主要因の 1 つになります。一方で長期間継続する DDoS 攻撃ももち

ろんあります。2014年下期にNSFOCUSセキュリティオペレーションセンターが検知した最も時間が長い攻撃は

70時間継続しました。このような攻撃は重大なビジネス損失をもたらします。そのため、企業はDDoS攻撃防御

の備えを継続して評価する必要があります。

86.2

%

2.2

%

4.4

%

4.9

%

2.3

%

93.5

%

2.3

%

3.3

%

0.7

%

0.2

%

93.1

%

2.5

%

3.9

%

0.5

%

0.1

%

0-30min 30min-1h 1h-8h 8h-64h 64h+

2013-2H 2014-1H 2014-2H

DDoS攻撃の継続時間

Source: 2014 NSFOCUS DDoS Threat Report www.nsfocus.com

2015年の展望

“

2015年の DDoS攻撃のピークトラフィックは

2014年を超え、1Tbpsに達すると予測され

る…to 1 Tbps …"


2015年の展望

2014 年に観測された DDoS 攻撃やその傾向に基づき、世界を驚かすような技術革新や大きな混乱がなけれ

ば、2015年の DDoS攻撃について以下が予測されます。

DDoS攻撃のピークトラフィックは過去最高を記録するだろう

DDoS 攻撃のピークトラフィックは攻撃技術の継続した開発とネットワーク帯域の向上そしてその他の悪用可能

なリソースのために年々増加しています。そのため2015年のDDoS攻撃のピークトラフィックは 2014年を超え、

1Tbpsに達すると予測されます。

DDoS攻撃におけるリフレクション技術の進化は続いていくだろう

防御側の観点からすると、DDoS リフレクション攻撃は検知・ミチゲーションは容易です。なぜなら攻撃パケット

の多くは同じポートへ送信されるからです。攻撃側の観点からすると、この攻撃は攻撃者自身を隠すことができ、

ボットネットが不要で、ネットワーク帯域をそれほど必要としません。2014 年下期には、SSDP に基づく DDoS リ

フレクション攻撃の数が急激に増加しました。IoT によるインターネットの進化のように、新しく費用対効果の高

い攻撃技術が生まれ、攻撃者が利用するようになることが予測されます。

DNSサービスがさらに DDoS攻撃の標的になるだろう

2014 年下期には、主要な DDoS 攻撃の殆どが DNS Flood に起因しました。DNS プロトコルの設計不良と多く

の DNS サーバの運用・保守におけるセキュリティの危険性が、DNS サーバを DDoS 攻撃の主要な標的とさせ

る 2つの要因になります。

新しい分野を標的とした DDoS攻撃が主流になるだろう

オンラインの小売業者、ゲーム、金融業界は長い間 DDoS 攻撃に苦しめられています。しかしながら、最近で

は、エネルギー、政府系、その他の分野への DDoS攻撃も頻繁に発生しています。そのため、企業や公共機関

が重要なバリュードライバーとしてインターネットへの露出を増加するにつれ、DDoS はすぐにセキュリティ問題

の本流になることでしょう。様々な DDoS ミチゲーション技術は進化し続けていますが、実行するのが容易で安

く、効果的である限り、DDoS攻撃は続きます。


エピローグ

DoS攻撃の起源はインターネットアーキテクチャの欠陥にあります。RFC 4732によると, "…オリジナルのインタ

ーネットアーキテクチャにおいてサービス拒否(DoS)攻撃に対して考慮していませんでした。その結果、ほとん

ど全てのインターネットのサービスが大規模なサービス拒否(DoS)攻撃に対し脆弱です。" 過去 5 年の DDoS

攻撃とその防御は攻撃技術の進化の歴史です。それは拡大するネットワーク帯域を悪用することで影響を拡

大させる Floodとリソース枯渇を組み合わせた攻撃です。攻撃に対応するため、防御側はトラフィッククリーニン

グデバイスを利用すべきです。

年間を通したサポートや分析から NSFOCUS が得た DDoS データによると、攻撃者の振る舞いは変化し続け、

ネットワーク環境の進化は状況をより複雑化させています。本レポートに記載された視点が将来の攻撃手法の

予測に役立ち、企業や組織が自身のソリューションをさらに改善していく手助けになればと思います。

"相手によって戦略を変えることができ、それにより常に勝利する人が優れたリーダーと呼ばれるでしょう。" ま

さに、耐えざる変化と DDoS攻撃の影響に直面しています。準備は宜しいですか？

免責事項

本レポートの全てのデータは当社製品、ネットワーク監視、パートナーより提供されたものに基づいています。

データは分析前に匿名化され、公開されることはありません。そのため、顧客に関連する情報が本レポートに

記載されることはありません。

ご意見、ご要望がございましたら下記までご連絡頂ければと思います。

[email protected]

03-6206-8156

執筆者及び寄稿者

執筆者::

Zhao Gang NSFOCUS脅威レスポンスセンター主任研究員

Ma Lele NSFOCUS北京 R&Dセンター技術員

寄稿者:

He Kun,Liu Yonggang,Zhao Gangku,Zhang Zhenfeng

mailto:[email protected]

DDoS Threat Report

“

NSFOCUS脅威レスポンスセンターは、

DDoS攻撃について最新の情報を皆様へ

提供するため、発生するサイバー攻撃に常

に注意を払い、監視していきます …


DDoS Threat Report

ネットワークセキュリティの脅威はその標的、手段、発信元が変化し続けることにより、より複雑化しています。

そのような背景において、企業や組織は、絶えず変化する複雑性に対処する前に、将来起こりえる悪意のある

攻撃を理解し準備するために、最新の傾向を追い求める必要があります。

NSFOCUS 脅威レスポンスセンターは、DDoS 攻撃について最新の情報を皆様へ提供するため、発生するサイ

バー攻撃に常に注意を払い、監視していきます。本レポートは皆様へ以下を提供します。

• DDoS攻撃の最新の傾向を理解

• ソリューションを最適化するためにネットワークセキュリティの啓蒙

DDoS Threat Reportに興味がございますか?

本プロジェクトの最新情報は

DDoS セキュリティレポート http://nsfocusblog.com/

NSFOCUS on Facebook https://www.facebook.com/nsfocus

Twitter @ NSFOCUSJAPAN

Documents

2H 2014 NSFOCUS DDoS THREAT REPORT - NVC...2H 2014 NSFOCUS DDoS THREAT REPORT 3 目次 エグゼクティブ・サマリー 4 調査結果 7 スマートデバイスを利用したDDoS

2H 2014 NSFOCUS DDoS THREAT REPORT - NVC...2H 2014 NSFOCUS DDoS THREAT REPORT 3 目次エグゼクティブ・サマリー 4 調査結果 7 スマートデバイスを利用したDDoS