攻撃対象はリモートワーク狙い

またリモートワークのユーザーが増えたことを踏まえて、攻撃対象がVPNサーバーや、WebアプリケーションのAPIの2つに集中したとのことである。中でも「TCP blend (DDoS) attack」という攻撃手法を上手に使えば、わずか1MbpsのデータでもVPNサーバーやファイヤーウォールをクラッシュさせることができ、リモートワークのユーザーを自社のシステムへアクセス不能にできるという。

図1は2020年上半期最大のDDoS攻撃におけるデータ流量の推移である。攻撃は11分にわたって続けられたが、最初は徐々に増えてきたデータ流量が4分後くらいから急増し、6分後には406Gbpsに達している。この攻撃では、DNS増幅(DNS amplification)と CLDAP増幅(CLDAP amplification)という2つの手法を組み合わせて用いられており、攻撃に使われたデータ流量のほとんどはロシア、米国、ウクライナ、およびオランダから送信されたという。

写真を拡大 図1. 2020年上半期最大のDDoS攻撃におけるデータ流量の推移(出典:Link11 / Distributed Denial of Service Report First Half of 2020)

図2は、DDoS攻撃におけるリフレクション攻撃(reflection attack)または増幅攻撃(amplification attack)(注4)と呼ばれる攻撃手法に使われたデータ送信元(sources of reflection)の分布を示したものである。なお、この攻撃手法における「データ送信元」は、攻撃者から踏み台として利用されたマシンであり、真の攻撃者とは別であることに注意されたい。

写真を拡大 図2. リフレクション攻撃/増幅攻撃に使われたデータ送信元の分布(出典:Link11 / Distributed Denial of Service Report First Half of 2020)

地図上の各国の面積がアンバランスなために分かりにくい図ではあるが、とりあえず世界中のあらゆる場所にあるマシンが踏み台として利用されているということは、お分かりいただけると思う。従来から米国、中国、ロシアが上位だったところに、今年はフランスからのDDoSトラフィックが急増したとの事である。筆者としては東南アジア諸国の中で唯一ベトナムが入っているのが意外であった。