世界最大、かつ最も信頼性の高いクラウド・デリバリー・プラットフォームを有するアカマイ・テクノロジーズ・インク(NASDAQ:AKAM、以下アカマイ)は、9月20日、2017 年第 2 四半期の「インターネットの現状/セキュリティレポート」を発表しました。
本レポートの最新データによると、DDoS攻撃とウェブアプリケーション攻撃が、再び増加に転じています。この増加の一因は、今期最強の DDoS 攻撃の基盤となった PBot DDoS マルウェアの再出現にあります。PBot は、攻撃者が十年以上前の PHP コードを使用して、アカマイが第 2 四半期に観測した中で最大の DDoS 攻撃を生成しました。攻撃者は、毎秒 75 ギガビット(Gbps)の DDoS 攻撃能力を備えたミニ DDoS ボットネットを作成することに成功しました。興味深いことに、PBot ボットネットは 400という比較的少数 ノードで構成されていながら、高レベルの攻撃トラフィックを生成しました。
もう一つ、「歴史は繰り返される」例として、Akamai Enterprise Threat Research チームの分析により、マルウェアのコマンド&コントロール(C2)インフラストラクチャで、ドメイン生成アルゴリズム(DGA)が使用されたことがわかりました。DGA は 2008 年に Conficker ワームで初めて利用され、現在もマルウェアの通信手段として頻繁に利用されています。同チームは、感染したネットワークの DNS ルックアップ率がクリーンなネットワークの約 15 倍であることを発見しました。これは、感染したネットワークにおいて、マルウェアからランダムに生成されたドメインにアクセスしようとする挙動の結果を意味しています。生成されたドメインのほとんどは登録されていないため、それらのドメインにアクセスしようとすると多くのノイズが発生しました。この例からも、感染したネットワークとクリーンなネットワークの動作特性の違いを分析することが、マルウェアの活動を特定する上で重要な一つの方法となっていると言えます。
2016 年 9 月に Mirai ボットネットが検出されたとき、アカマイは初期の標的の 1 つでした。アカマイのプラットフォームは、Mirai ボットネットの攻撃を受け続けましたが、防御に成功しています。アカマイのリサーチチームは Mirai 攻撃に対する独自の収集情報を利用して、ボットネットのさまざまな面について分析しています。第 2 四半期では特に C2 インフラストラクチャについて調査したところ、Mirai が他の多くのボットネットと同様に、DDoS 攻撃のコモディティ化を引き起こしていることが強く示唆されています。このボットネットの C2 ノードの多くは、特定の IP を攻撃していることが観測され、さらに多くのノードが「ペイ・フォー・プレイ」攻撃とみなされるものに加わっていたこともわかりました。この時Miraiの C2 ノードは、短時間特定のIP を攻撃すると、いったん活動をやめ、その後、再度出現して別の標的を攻撃していることが観測されました。
アカマイの Senior Security Advocate の Martin McKeay は次のように語っています。「攻撃者は、企業のセキュリティ対策の脆弱性を絶えず探しています。その脆弱性がより一般的で、より効果的であるほど、攻撃者はそこにより多くのエネルギーとリソースを費やします。Mirai ボットネットのような事象、WannaCry や Petya による攻撃、SQLi 攻撃の継続的な増加、PBot の再出現など、これらの事例から、攻撃者は新しいツールを使うだけでなく、大きな効果が実証されている古いツールに戻る可能性もあるということがわかります」。
データ:
本レポートではその他に以下の調査結果をまとめています。
◆ DDoS 攻撃の件数は、3 四半期連続で減少した後、第 2 四半期には 28% 増加しました。
◆ DDoS 攻撃者はこれまでになく執拗になる傾向。四半期全体で、平均 32 回も同じ標的を攻撃しています。あるゲーム会社は 合計558 回、1 日平均で約 6 回の攻撃を受けました。
◆ エジプトは、頻繁な DDoS 攻撃に使用されるユニーク IP アドレスのオリジンが最も多い国で、世界全体の 32% を占めていました。前四半期は米国がトップで、エジプトは上位 5 ヶ国にも入っていませんでした。
◆ 今四半期、DDoS 攻撃に使用されるデバイスは減少しました。ボリューム型 DDoS 攻撃に利用された IP アドレスの数は、59 万 5,000 件から 98% 減少して 1 万 1,000 件でした。
◆ ウェブアプリケーション攻撃の件数は、前四半期比で 5%、前年比で 28% 増加しました。
◆ SQLi 攻撃は今四半期に、ウェブアプリケーション攻撃の半数以上(51%)で使用されました。これは、前四半期比で 44% の増加で、第 2 四半期だけでおよそ 1 億 8,500 万のアラートを生成しました。
2017 年第 2 四半期の「インターネットの現状/セキュリティ」レポート全文(英文)は、下記リンク先のページより無料でダウンロードいただけます。
< https://content.akamai.com/jp-ja-pg9604-q2-17-state-of-the-internet-security-report.html >
手法
2017 年第 2 四半期「インターネットの現状/セキュリティ」レポートでは、アカマイのグローバルインフラストラクチャから収集された攻撃データをもとに、社内の多様なチームによる調査を行っています。このレポートでは、Akamai Intelligent Platform から収集したデータを使用して、現在のクラウドセキュリティと脅威の状況の他、攻撃の傾向について分析しています。「インターネットの現状/セキュリティ」レポートには、Security Intelligence Response Team(SIRT)、Threat Research Unit、Information Security、Custom Analytics グループなど、アカマイのさまざまな部署からセキュリティの専門家が携わっています。
アカマイについて:
世界最大、かつ最も信頼性の高いクラウド・デリバリー・プラットフォームを有するアカマイは、デバイスや場所に関係なく、最高、かつ最もセキュアなデジタル体験をお客様に提供します。アカマイのプラットフォームは130ヶ国に20万台以上という比類のないスケールで展開されており、お客様に優れたパフォーマンスとセキュリティを提供しています。ウェブ/モバイルパフォーマンス、クラウドセキュリティ、エンタープライズアクセス、ビデオ・デリバリー・ソリューションによって構成されるアカマイのソリューションは、優れたカスタマーサービスと365日/24時間体制の監視によって支えられています。グローバルトップの金融機関、eコマース事業者、メディア・エンターテインメント企業、政府機関等が、アカマイを信頼する理由について、 <www.akamai.com/jp/ja/>または<https://blogs.akamai.com/jp/>およびTwitterの@Akamai_GK < https://twitter.com/akamai_gk > でご紹介しています。
