AWSが2.3TbpsものDDoS攻撃を受けていたことが判明

by EpicTop10.com

AmazonのクラウドサービスをDDoS攻撃から保護するAWS Shieldが発表したレポートにより、AWSが史上最大級のDDoS攻撃を受けていたことが分かりました。

AWS Shield Threat Landscape Report – Q1 2020
(PDFファイル)https://aws-shield-tlr.s3.amazonaws.com/2020-Q1_AWS_Shield_TLR.pdf

以下は、2020年第1四半期にAWS上で観測されたイベント数を週単位で表したグラフです。赤枠で囲われた部分を見ると、2020年2月17日の週は他の時期に比べて特にイベント量が多いことが分かります。

こうしたイベントにはさまざまな種類がありますが、AWSによると大規模なイベントのほとんどはDDoS攻撃が原因だとのこと。こうした攻撃は激化しつつあり、2018年12月～2019年4月の間にAWSで観測された攻撃はいずれも1Tbpsを超えませんでしたが、2019年の半ば以降1Tbpsを超えるものが一般的に見られるようになってきたと、AWSは指摘しています。

そのことが最も良く分かるのが以下のグラフです。このグラフは、2020年第1四半期にAWSが観測した週間イベント量の最大値の90パーセンタイル、99パーセンタイル、100パーセンタイル(全イベント)を、それぞれオレンジ色、茶色、濃い青色の棒グラフで表したもの。赤枠の部分を見ると、2020年2月17日に2000Gbps(2Tbps)を超えるイベントが発生していることが分かります。レポートによると、この時発生したイベントは2.3Tbpsという規模で、それまで最大のDDoS攻撃だった2018年2月のGitHubへの攻撃で記録された1.3Tbpsを大きく上回るものでした。

こうしたDDoS攻撃の多くは、コネクションレス型通信であるUDPの特性を悪用したUDPリフレクション攻撃でしたが、その次に多い攻撃手法がSYNフラッド攻撃です。

SYNフラッド攻撃は非常に小さいパケットを用いるため、攻撃を吸収するのが困難なのが特徴です。以下は、2020年第1四半期にAWSが観測した週間イベント量を秒間パケット数で表したグラフです。大規模なDDoS攻撃が行われた時期に近い2月24日の週のほか、1月中旬や3月上旬にも大規模なSYNフラッド攻撃が行われていました。

これらの攻撃手法とは違った動きを見せているのが、HTTPリフレクション攻撃やウェブリクエストフラッド攻撃といったアプリケーション層への攻撃です。以下は、AWS Shieldとウェブアプリケーションの保護を目的としたAWS WAFが保護したアプリケーション層のイベントの秒間リクエスト数を、90～100パーセンタイル(それぞれ茶、緑、黄土色の棒グラフ)で1週間ごとに表した図です。2020年第1四半期に観測されたアプリケーション層への攻撃に関連したイベントのピーク量は、2019年第1四半期や2019年第4四半期などに比べて減少傾向にありました。しかし、アプリケーション層をターゲットにしたDDoS攻撃は、検出を回避するためにリクエスト数を減らしたり、リクエストを暗号化して攻撃者のフィンガープリント作成を困難にしたりするなどして、巧妙化しているとのことです。

AWSはレポートの中で、こうした攻撃からサービスを守るために「承認済みのエンドユーザーへのサービス提供などの必要な場合を除き、アプリケーションへのアクセスを制限することで、攻撃対象を減らす」「ソフトウェアを最新の状態に保ち、ベンダーのベストプラクティスに従う」「不必要にホストへのリモートアクセスを許可せず、Bastionホストを使うなどしてリモートアクセスを管理する」「AWS Shield Advanced、AWS Firewall Manager、Amazon CloudFront、Amazon GuardDutyなどのサービスを活用して攻撃からシステムを守る」といった対策を講じることを推奨しました。