アーバーネットワークス SEマネージャーの佐々木崇氏（左）とセールスダイレクターの金子高之氏

　標的となるコンピュータに複数のマシンから大量のパケットを送りつけ、サービス停止へと追い込むDDoS（Distributed Denial of Service）攻撃。サイバー攻撃としては比較的歴史の古い手法だが、最近になって再び注目を集めている。

　昨年10月、北米でWebサイトのドメイン管理や接続サービスを提供するダイナミック・ネットワーク・サービシズ（ダイン）社のDNS（ドメインネームシステム）が二度にわたってDDoS攻撃を受け、アマゾン・ドット・コムやツイッター、ネットフリックスなど米IT企業のWebサイトへ接続しづらくなる障害が発生。その後の調査で、「Mirai」と呼ばれるマルウェアに感染した大量のIoTデバイスによる攻撃であることが判明し、大きな話題を呼んだ。

　「これまで大規模なDDoS攻撃（ボリューム攻撃）といえば、DNSサーバーを踏み台にしたアンプ攻撃が中心だった。それがMiraiの登場で、監視カメラやビデオレコーダといった身近なIoTデバイスが攻撃主体となることに多くの人が衝撃を受けた」とDDoS攻撃対策の専業ベンダーであるアーバーネットワークスでSEマネージャーを務める佐々木崇氏は指摘する。

　アーバーネットワークスでは、ISPなどで利用されている同社製品やインターネット空間にあるセンサーデバイスによって収集した膨大なトラフィックデータを分析、グローバルな脅威情報を提供する「ATLAS（Active Threat Level Analysis System）」というシステムを持つ。現在、約330社のサービスプロバイダーから、グローバルインターネットトラフィック全体の約3分の1に相当する140Tbpsもの匿名のトラフィックデータを毎日収集しているが、それによるとDDoS攻撃は年々増加傾向にあり、昨年はグローバルで670万件、国内では2万3500件も発生したという。

　攻撃の規模も年を追うごとに拡大している。ダイン社のケースでは、ボットネットに感染した約10万台のIoTデバイスが攻撃を仕掛けたことにより、全体で540Gbpsという大規模なものになった。今や500Gbpsを超える攻撃は珍しくなく、テラbpsに近い規模の攻撃が観測されることもある。

　IoTデバイスは2020年に530億個になるとの予測もあるなど、今後も拡大の一途だ。1台あたりのトラフィックは少なくても、まとまった台数になることで攻撃がさらに大規模化することは避けられない。

グーグル上の「Digital Attack Map」では「ATLAS｣が観測した攻撃データを可視化している

攻撃元の近くで「緩和」を実行　自動連携で管理者の負荷を軽減

　DDoS攻撃は、ネットワークの“下流”であるWebサーバーの手前で防御しようとしても、回線の帯域幅を超える大量のパケットが押し寄せれば、せき止めることは難しい。“上流”で攻撃を止める必要があることから、アーバーネットワークスはISP向けにオンプレミスのDDoS対策ソリューション「Arbor SP/TMS」を提供してきた。

　「攻撃規模がDDoS防御システムのキャパシティの範囲内であればオンプレによる対策が適しているが、数百Gbpsあるいはテラbpsの大規模攻撃に対しては、ISPといえども困難である。しかし、Arbor SP/TMSとクラウドの対策ソリューションを連携することで、さまざまなタイプのDDoS攻撃に対応できるようになる」とセールスダイレクターの金子高之氏は話す。

　クラウドベースの「Arbor Cloud」は、攻撃を受けているサーバーへのトラフィックをクラウド上にある「Scrubbing Center（スクラビングセンター）」に引き込み、悪質なトラフィックをクリーニング（浄化）してネットワークに戻すソリューションだ。

　Arbor Cloudはグローバルにスクラビングセンターを展開しており、テラbpsクラスの大規模攻撃にも十分に対応可能なキャパシティを持つと同時に、攻撃元に近いところでミティゲーション（緩和：Webサイトがサービスを継続できる程度まで悪質なトラフィックを除去すること）することが可能だ。

　スクラビングセンターにトラフィックを引き込む方法には、BGP方式とDNS方式の2通りある。

　BGP方式は、ユーザーのネットワークをインターネット上で使われるルーティングプロトコル（BGP）によって引き込み、トンネリングまたは専用線によってユーザー拠点と接続し、クリーニングされたトラフィックを戻すというものだ。/24というCIDRブロックでルートを変更する必要があるため、/24以上のアドレスブロックを持つISPはこの方法での引き込みが中心になるという。

　Arbor Cloudの特長が、攻撃を検知してからスクラビングセンターでミティゲーションを開始するまでの時間が短いことだ。

　その秘密は、「Cloud Signaling（クラウドシグナリング）」と呼ばれる機能にある。

　アーバーネットワークスのオンプレミスデバイスは、常に攻撃トラフィックをモニタリングし、キャパシティを超える恐れがある場合に、Cloud Signaling機能によって即座にアラートを発信し、Arbor Cloudにあるミティゲーションデバイスと自動連携する。その後、クラウド上のスクラビングセンターにインバウンドのトラフィックを再ルーティングし、「緩和」を開始する仕組みだ。

　ATLASの観測によると、ボリューム攻撃の平均継続時間は40分程度と短時間かつ集中的に行われることが多い。

　攻撃の検知を伝える方法には電話やメール、ポータルサイトからの指示などもあるが、いずれも人手を介するため時間がかかるのが難点だ。場合によっては、通知している間にDDoS攻撃が終了してしまう可能性もある。その点、Cloud Signalingでは検知からミティゲーション開始まで短時間で可能だ。自動で行われることで、オペレータやエンジニアの負荷を軽減する効果も期待できるという。

図表　Arbor Cloudとの連携イメージ

DDoSのエキスパートが迅速に対応　ユーザー企業のサポート体制も充実

　Arbor CloudのSOC（Security Operation Center）は24時間365日稼働しており、大規模なDDoS攻撃が発生した場合には、DDoSのエキスパートがユーザー企業のセキュリティ／IT担当者と連携しながら迅速に対応する。ミティゲーションは72時間にわたって行われ、実行中のデータは1時間ごとにメールでユーザー企業にフィードバックされる。ミティゲーション終了後は速やかにインシデントレポートを発行するなど、サポート体制も充実している。

　DDoS攻撃は、大きなイベントの直前に多発する傾向にある。日本では2019年にラグビーワールドカップ、2020年に東京オリンピック・パラリンピックと世界的なスポーツイベントが2年連続で開催される。今後、日本を狙ったDDoS攻撃が増えることは確実と見られ、その規模も従来以上の大きなものとなる可能性が高い。アーバーネットワークスではISP向けに、Arbor Cloudの連携によるマルチレイヤー攻撃対策の提案を強化していきたい考えだ。

ホワイトペーパーダウンロード

Arbor Networksによるセキュリティレポート第12版 ～IoT ボットネットにより攻撃規模がさらに大規模化～ 2016年度では、IoTデバイスを利用したDDoS攻撃が大々的に報道されました。本レポートでは、DDoSボットネットの構築において、IoTデバイスが理想的な標的となる問題についても論じています。