サイバートラスト ジャーナル

2016 年 DDoS 攻撃の傾向と予測

2016.01.20
  • このエントリーをはてなブックマークに追加

DDoS の攻撃を受けた 41 %の企業で、最低でもシステム停止時間 1 時間ごとに 10 万ドルの被害が出ています。時間が経過すればその分だけ実被害のコストも上昇し、企業ブランドの評価も下げてしまいます。

Akamai 社による最新の調査では、DDoS 攻撃の頻度と時間が増大しています。
これは何も驚くことではなく、Neustar 社のセキュリティ専門家の調査では米国の半数余りの企業が 2014 年から 2015 年にかけて DDoS の攻撃対象となっています。また、DDoS 攻撃は、異なる攻撃方法が開発され、脅威が拡大していることから、厄介な問題となってきています。新年度を迎えるにあたって、今後の DDoS 攻撃に関して、いくつかのことが予測されています。

IoT

ガートナー社の推定によると、IoT 関連の端末は 2016 年には前年比 30 %増の 64 億台にも達する見込みです。製造者側で接続端末の安全を確保するために、PKI の技術を利用するべきですが、PKI の採用率は、接続端末の増加に追いついていません。

セキュリティ対策を実施していない端末は、DDoS攻 撃に対して脆弱です。ネットワークに接続されている IoT 端末はボットネットのサーバーのようなものです。
攻撃者に侵入されてしまった場合 DDoS 攻撃の踏み台にされてしまいます。IoT 端末を DDoS 攻撃に利用可能とする要因が 2 つあげられています。

ひとつは端末のオペレーティングシステムです。 攻撃者はカスタマイズされた OS には滅多に攻撃を仕掛けません。カスタマイズされた OS を無駄な時間をかけて調べ上げるよりも、Linux や Windows のように、普及している OS が動作しているデバイスをターゲットにします。攻撃者にとって普及している OS は、少ない時間で内容を理解でき、悪用することが可能です。

もうひとつの要因は PKI の導入方法です。仮に企業が各端末を暗号化する場合、端末ごとに異なった暗号鍵を使用していれば、攻撃側は接続端末を利用して DDoS 攻撃を行うのに手間取ることでしょう。
しかしながら、企業が各端末の暗号化に同一の暗号鍵を使用した場合、攻撃者にとってはその鍵一つを悪用できるようになれば、ことが簡単に済んでしまいます。
企業が単一の暗号鍵を使っての端末管理を行うことは稀ではありません。ある調査によれば、70 社あまりの製造業者が提供している 4,000 種の端末のうち 580 種の端末が同一の暗号鍵を使用していました。

攻撃規模

攻撃規模と頻度の増大に伴い、2016 年は、マスコミの DDoS 攻撃に関する報道も増加するでしょう。情報漏洩事件と同じように、大規模な攻撃(5GBps 以上)のほうが、小規模の攻撃(5GBps 以下)よりマスコミに取り上げられがちですが、Neustar の CIO 並びに CSO が指摘するように、来年は、小規模な攻撃も見逃してはなりません。

「そのような(小規模な)攻撃を実行している間に、攻撃者はいくつかの目的を達成します。業務を妨害し、ウェブサイトやセキュリティチームの注意をそらしつつも、ターゲットのネットワークは操作可能な状態、アクセス可能な状態にしておきます。このとき、攻撃者はネットワークに侵入し、マルウェアもしくはウイルスを仕込んで、情報の漏えい、資金の吸い上げなどの仕組みを作っていきます。」

「良く考えてみてください、攻撃者自らもネットワークに侵入できなくなるのに、通信回線をパンクさせて塞いでしまうことに何の意味があるでしょうか?回線を塞がなければ、攻撃者はターゲットを惑わせている間に、情報漏えいの仕組みを作ることができます。その意味では、通信を遮断するだけで、情報漏洩のない大規模な攻撃よりも、いわゆる小規模攻撃と呼ばれる攻撃の方がずっと危険だと言えます。」

身代金の要求

DDoS の攻撃を受けた 41 %の企業で 最低でもシステム停止時間 1 時間ごとに 10 万ドル の被害が出ています。時間が経過すればその分だけ実被害のコストも上昇し、企業ブランドの評価も下げてしまいます。
2015 年 11 月、攻撃者は ProtonMail 社に DDoS 攻撃をしかけ、メール配信サービスをダウンさせました。サービスを利用している会社からの圧力と、まぎれもなく増大する被害の負担に耐えかね、同社は脅迫された通りの金額を犯人に支払ってしまいました。
後日ブログで同社は脅迫に屈して支払を行ったことは間違いであったことを認め、今後はその様なことは行わない旨、発表しました。企業が毅然とした態度をとり、脅迫に屈しなければ今後はこのような要求は減っていくことでしょう。

結論

来年以降、DDoS 攻撃は企業にとって頭の痛い問題になっていくことが予測されます。
この問題に正面から取り組むためには、企業側が、成長を続ける IoT 環境に強力なセキュリティプロトコルを導入したうえで、セキュリティ対策を全ての端末に施さなければいけないでしょう-これは普段、機密情報を扱っている端末だけに限らず、全ての端末に実施する必要があります。

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事: DDoS Trends & Predictions for 2016 - [2015 年 12 月 21 日投稿]
  • 前の記事へ
  • HOME
  • 次の記事へ