2017年9月20日にAkamai社が発表したレポートでは、今年に入ってから発生した新たなDDoS攻撃の傾向を分析し、注意喚起を行っている。今回は、このレポートで示された新たなDDoS攻撃の内容を確認しつつ、我々が今後検討すべき対策について考えてみる。
驚異的なDDoS攻撃能力をもつPBotボットネット
Akamai社のレポートで報告された新たなDDoS攻撃(Distributed Denial of Service attack, 分散サービス拒否攻撃)に使われた手法は、「PBot」という名前のボットネット(PBotボットネット)であった。たった400台のポットネットで75Gbpsという驚異的なDDoS攻撃能力が発揮されたことが、Akamai社の観測データから確認された。
PBotボットネットは、PHP言語で書かれた比較的単純な仕組みで作られていた。PHP言語は多くのプラットフォームで稼働させることができるため、今後様々なプラットフォームの脆弱性を狙ってPBotボットネットを拡張できるだろう。
MiraiボットネットとPBotボットネットの比較
DDoS攻撃にボットネットが使われるのはかなり前からのトレンドだが、2016年に出現したマルウェアMiraiによるボットネット(Miraiボットネット)も革新的であった。脆弱性を多く持つ IoT機器を狙って作り上げられた数十万台規模のMiraiボットネットのDDoS攻撃能力は、ピーク時で数百Gbpsの能力を持っていたと言われている。
一方、PBotボットネットには、数百台で数十GbpsのDDoS攻撃ができる能力がある。この違いは、ボットネット化した機器が接続されたネットワークの違いである。Miraiボットネットが狙ったIoT機器は、携帯電話網や無線LAN、家庭内ネットワークなどにつながれていて、1台毎のネットワーク帯域は比較的小さい。一方、PBotボットネットが狙ったWebサービスは、昨今ではクラウド上に配置することが多く、潤沢なネットワーク帯域を有している。
ボットネット対策には事後対策も必要
DDoS対策としては、DDoS対策サービスが提供されているクラウドや、DDoSに強いと言われている CDN(Content Delivery Network) を利用することなどがあるが、自らがボット化されない対策(事前対策)も重要である。Akamai社のレポートでも、タイムリーなパッチ適用や不要なサービスをファイアウォールで禁止するなど、事前対策を推奨している。確かに、PBotが狙ったWebサービスの脆弱性は適切な修正パッチの適用で防げたし、ボット化された後の攻撃指令もファイアウォールで止めることができたはずだ。
ただし、どのような事前対策を取ったところで、絶対にボット化されない保証はない。商用サービスを提供している場合にはパッチ適用までに実施すべきテストに時間がかかるし、ゼロデイ脆弱性の場合には間に合わない。また、ボットネットからの指令を、Webサービスで本来使っているプロトコル(HTTP/HTTPS等)に混ぜられると、ファイアウォールで遮断することもできない。
そこで、事前対策に加えて、ボット化されてしまった場合に他のサイトに迷惑をかけないための対策(事後対策)も行うことを推奨したい。例えば、Webサービスを動かしているサーバであれば、サービス提供に不可欠な他サービスのAPIアクセスや、パッチ適用時などの保守作業に必要なアクセスのみに絞ることも可能である。そうしてその他のサイトへのアクセスを制限することで、仮にボット化されてしまった場合でも、見知らぬサイトを攻撃する可能性を最小限にすることができるだろう。
サイバーセキュリティに関するベストプラクティスは、攻撃手法の進化と共に、めまぐるしく変化している。自分たちが使用しているITシステムに適用しているセキュリティ対策が、過去のものになっていないか、セキュリティ業界の動向に常に注視する姿勢が重要である。
本文中のリンク・関連リンク:
- Akamai社のプレスリリース「アカマイ、2017 年第 2四半期「インターネットの現状/セキュリティレポート」を発表」
- Akamai社のセキュリティレポート「[state of the internet] / security Q2 2017 Report」(英語)
- Akamai社のセキュリティリポートに関する記事「わずか400台のボットネットから75GbpsのDDoS攻撃、アカマイが注意呼びかけ:日経コンピュータDigital」
- Akamai社のMiraiボットネットに関するホワイトペーパー「MIRAIボットネットが今日の最大規模かつ破壊的なDDOS攻撃を生み出す理由」
- Apache Strutsの脆弱性に関する過去のコラム「ユーザ企業のセキュリティ態勢強化はセキュリティマインドの醸成から」