FBI が、多発している DDoS 攻撃請負ウェブサイトのグループを摘発したことで、世界的に攻撃レベルが低下するという大きな成果が得られた。
これは、分散型サービス拒否(DDoS)攻撃緩和プロバイダーの NexusGuard のレポート(登録が必要)によるもので、連邦政府が 2018 年 12 月に 15 の DDoS 攻撃傭兵サイトを一掃したことにより、攻撃の総数と、ターゲットを圧倒するために発射された不正なデータの量の両方が減少したと同社は述べています。
これらの組織は一部アメリカで運営されており、侵入したデバイスで構成された大規模なボットネットの一時的な使用権を購入できるようにしていた。ボットネットは標的のウェブサイトやサービスに大量のネットワークトラフィックを発生させ、過負荷状態にしてオフラインにするように命令していた。
これら 15 の DDoS サービスは非常に活発に活動していたため (FBI は、この攻撃グループが過去 5 年間で 30 万回以上の攻撃を実行したと推定していた)、これらのサービスを単にオフラインにするだけで、第 4 四半期全体の世界的な活動が著しく減少したようだ。
NexusGuardによると、昨年の同四半期と比較して、攻撃件数は11%減少しました。さらに、各攻撃の規模(標的に向けられたトラフィック負荷)は急激に減少し、平均レートは2017年第4四半期比で85%、最大サイズは24%減少しました。
この数字は、四半期の残りわずか 10 日で停止が行われたことを考えれば、特に注目に値します。ただし、クリスマスと新年の前後の日は DDoS 攻撃が最も多く発生し、攻撃は通常 12 月後半に急増する点に留意する必要があります。
シャンパンを置いて
しかし、攻撃数の大幅な減少は長くは続かないかもしれない。NexusGuardは、FBIによって摘発されたDDoS攻撃サービスが空いた穴を埋めるために、新たなDDoS攻撃請負サービスがすぐに参入してくると予想しており、そうなれば攻撃レベルは上昇する可能性が高いとしている。
当然のことながら、このレポートによると、IoTボットネット攻撃は前四半期に大流行しました。IP対応カメラ、プリンター、ルーターなどのUPnPデバイスからのSSDP(Simple Service Discovery Protocol)増幅攻撃は、昨年比3,122%という驚異的な増加を記録し、同四半期に確認された攻撃全体のほぼ半分(48%)を占めたとされています。
基本的には、SSDP UDPポート1900を介して多数のデバイスに小さなリクエストを大量に送信し、送信元IPアドレスを被害者のIPアドレスに偽装します。デバイスはすべて被害者に応答し、大量のデータを送信します。ガジェットから被害者に送信される情報量は、最初のリクエスト波に比べて膨大であるため、増幅攻撃となります。
リベリアの通信会社がライバルを攻撃するために雇った英国人ハッカーが現在投獄中
続きを読む
NexusGuardはこの手法について、「犯罪者はまず、悪用可能なデバイスをすべて発見・スキャンし、次にボットネットを使って、標的の偽装IPアドレスを含むUDPパケットを、悪用可能なすべてのデバイスのUDPポート1900番に送信します」と説明している。「すると、デバイスは大量の応答を返し、標的は大量の応答に圧倒されることになります。」
SSDP 攻撃の増加により、前年同期と比べて従来型の手法がすべて減少しました。
それほど意外ではなかったのは、これらの攻撃の発信元(つまり、攻撃を開始したボットの拠点)の分布だ。最も多かったのは中国で、23%を占め、次いで米国が18%だった。NexusGuardは、米国と中国はオンライン人口全体の約3分の1を占めていることから、これは予想通りだと指摘している。
フランス(7%)、ロシア(4%)、ブラジル(2.5%)がトップ5を占めました。®
