45万台以上のスマートフォンがマルウェアに感染して1日45億リクエストのDDoS攻撃に荷担

広域負荷分散システムを提供しているCloudFlareが、自社サーバーの特定顧客に対して1日45億リクエストというDDoS攻撃を受けたことを明らかにしました。調査の結果、攻撃を行ってきたのは中国で使用されている65万台以上のスマートフォンで、広告ネットワーク経由で悪意あるスクリプトを踏まされたものと見られています。

Mobile Ad Networks as DDoS Vectors: A Case Study
https://blog.cloudflare.com/mobile-ad-networks-as-ddos-vectors/

Chinese smartphones mount massive web attack - BBC News
http://www.bbc.com/news/technology-34379254

もともとCloudFlareは絶えずDDoS攻撃の対象にされていて、その内容はDNSリフレクター攻撃から巨大ボットネットによる第7層(アプリケーション層)へのHTTPフラッド攻撃まで様々だそうです。

しかし最近、特定顧客に対して膨大な数のHTTPリクエストを行うフラッド攻撃が見つかりました。通常、フラッド攻撃ではPythonやRubyのスクリプトが用いられ、ヘッダーの「Acecpt-Language」や「User-Agent」の項目がおかしな内容であることが多いのですが、この攻撃は普通のブラウザから送られたリクエストでした。

リファラーから調べると、大量のバナーがずらっと並んでいる以外には他になにもないリンクファームか広告アグリゲーターのような「攻撃サイト」が見つかりました。サイトはベーシックなHTMLで書かれていて、他にはシンプルなJavaScriptルーチンが数点だけ。そこで、悪意あるスクリプトの含まれる「count.js」を含む3つのJavaScriptが読み込まれるようになっていました。

この攻撃が興味深いものだったので、CloudFlareは専用スクリプトを用意し、リクエスト全体のわずか0.4％ではあるものの17MBにも及ぶログを解析し、どんな攻撃だったのか、内容を調べました。

まず、CloudFlareが受けた攻撃内容をグラフ化したものがこれ。9時ごろから攻撃が始まり、ピークの14時ごろには1時間あたり約11億リクエストがあったとのこと。その合計は45億リクエストにも上り、発信元は65万ユニークIP。BBCによると、自社ニュースサイトの1ヶ月あたりのトラフィック量より多いものだそうです。

全体のうち、99.8％は中国から、残り0.2％がその他の国からでした。また、端末の種類別に見ると、72％がモバイル端末から、23％がデスクトップ、5％がタブレットでした。リファラーのURLは、攻撃サイトAが27％、攻撃サイトBが10.1％、攻撃サイトCが8.2％、さらに以下、他の攻撃サイトがいくつも続き、複数のサイトからの攻撃であることがわかっています。

ユーザーエージェントには、モバイルアプリからだと思われる「iThunder」が多数出現。また、中国で人気のあるブラウザからだと思われる「MetaSr」「F1Browser」「QQBrowser」「2345Explorer」「UCBrowser」も見つかっています。

65万ユニークIP、つまり65万台のマシンが関わっているとみられるこの攻撃について、なぜこれほど多くの端末が攻撃サイトにアクセスしたのか理由は不明ですが、おそらくは広告ネットワークによるものであるとCloudFlareは分析しています。

つまり、アプリ内広告やサイト広告として表示されたものの中に、悪意あるスクリプトを含む広告があったということ。広告ネットワークでは、表示される広告はオークション形式で複数の広告の中から1つが表示されていますが、「広告主」の中に攻撃サイトがあったというわけです。

これまで、ブラウザベースの第7層HTTPフラッド攻撃は「理論上の脅威」として語られてきました。それは、攻撃のもととなるJavaScriptを作るのが難しいからではなく、効果的にJavaScriptを拡散させるのが難しいため。今回は、広告ネットワークを効果的に利用することで、秒間27万5000リクエストという大規模な攻撃につながりました。

CloudFlareによると、まだ調査は初期段階だとのこと。広告ネットワーク経由では、これまでにもマルウェアが配信されていたという事例もありますが、広告主として登録されているサイトの中から攻撃サイトを弾く仕組みの確立はできないものでしょうか。