DDos攻撃の中でも長年よく使われてきたのは増幅攻撃やリダイレクトを使った攻撃などの威力のあるものだ。米NetScout Systemsによると、現在はもはやそうした状況ではなく、攻撃者はダイレクトパス攻撃に訴えるようになっているという。

同社は今月上旬に年次調査報告「DDoS Threat Intelligence Report」（DDoS脅威インテリジェンスレポート）を発表。新たな傾向が多数明らかになり、脅威アクターが防御側と終わらないいたちごっこを続ける中で戦術を変えていることが分かった。総トラフィックの面から見ると、DDoS攻撃はピーク時には1日で436ペタビット（1ペタビット=100万ギガビット）という驚くべき量が検知されたという。

攻撃者の手口も多種多様だ。同レポートによると、2022年後半は絨毯爆撃型のDDoS攻撃が110％増加したという。絨毯爆撃型のDDoS攻撃とは、ISP（インターネットサービスプロバイダー）のネットワークにあるIPアドレス範囲全体を狙うものだ。

NetScoutで脅威インテリジェンス・リードを務めるRichard Hummel（リチャード・ハンメル）氏は、重要な傾向の1つとして攻撃者の手口が変化、改良されていることを挙げている。

「ダイレクトパス攻撃、アプリケーション層への攻撃、絨毯爆撃、DNS水責め攻撃といったDDoS攻撃が大幅に増加しています」。米SDxCentralの取材で氏が語った。「これは個別の現象ではなく、世界中で攻撃全般の高度化が見られます。件数も増え続けています」

ダイレクトパス攻撃が増えている理由

過去に発生したDDoS攻撃でも最大規模のものには増幅攻撃やリダイレクトを伴う攻撃が最もよく使われていた。例えば、NTPサービスの設定ミスを利用して攻撃を反射、増幅させるリフレクション攻撃は古くから行われている。

NetScoutによると、増幅／反射攻撃は18%以上減少した一方で、ダイレクトパス攻撃の件数がそれと同じくらい増えたという。ダイレクトパス攻撃では攻撃を増幅するのに設定ミスのあるサービスに頼ることはない。

「大量の反射／増幅攻撃を遮断するために、界隈では最新のベストプラクティスや送信元アドレス検証などの手法の実装に努めてきました。これがプラスの効果をもたらしたのです」と氏。「攻撃側はそうしたセキュリティ対策を回避しようとして他の攻撃手段に移行しています。送信元アドレスを偽装することがないダイレクトパス攻撃もその1つです」

ダイレクトパス攻撃が増加している一方で、相変わらず蔓延しているその他のDDoS攻撃も軽視することはできない。その1つが「Mirai」のようなボットネットだ。Miraiが最初に魔の手を伸ばしたのは2016年、IoTデバイスが侵害され攻撃に使われた時のことだった。登場から7年経った今でもMiraiは活発に使われている。

「Miraiは間違いなく現在でも大きな脅威です。DDoSボットネットの分野ではおそらく最大の脅威でしょう」とHummel氏は言う。「一方、Killnet等のグループ、Meris、Dvinisといったツールでは、侵害したルーターや公開プロキシを攻撃に利用しています。これによって攻撃者が利用できるリソースが拡大し、さまざまな種類の攻撃を仕掛けることが可能になっているのです」

5GとDDoS攻撃の遭遇

Netscoutが新たな傾向として報告したのは、通信キャリアのネットワーク、特に5Gネットワークに対する攻撃が増えていることだ。

NetScoutによると、無線通信事業者を狙ったDDoS攻撃は2020年から79%増加、主な理由は5Gにあるという。背景にある要因はいくつかある。

Hummel氏によると、2022年はDDoS攻撃が1,300万件近く発生、約80％はオンラインゲーム、オンラインゲーム関連のギャンブルにまつわる動機によるものだという。こうした攻撃は有線／無線ネットワーク上で昔から発生しており、主にブロードバンドアクセス加入者から別の加入者に対して行われてきたが、5Gネットワークが拡大し高速無線通信を提供するサービスプロバイダーが増えるにしたがって勢いが変化してきたという。これは当然の展開で、技術が進歩し5Gが以前よりも安定してきたことで、自宅利用でも好まれるようになってきたためだというのが氏の見解だ。

Hummel氏は今後もDDoS攻撃には終わりが見えない状況だ、と注意を呼び掛けている。

「アプリケーションやサービスを狙った攻撃は今後も増え続けると考えています」と語った。

Direct-path attacks skyrocket, now represent half of DDoS attacks