毎秒1テラビットという史上空前のDDoS攻撃が発生、攻撃元はハッキングされた14万5000台ものウェブカメラ
By Mike Mozart
複数のネットワークに分散するコンピューターが一斉に特定のネットワークやコンピューターに接続要求を送り、通信容量をオーバーフローさせることで機能停止を狙うのが「DDoS攻撃」です。近年DDoS攻撃による被害が増加している中で、史上類を見ないレベルのDDoS攻撃が行われていたことが明らかになりました。
Record-breaking DDoS reportedly delivered by >145k hacked cameras | Ars Technica
http://arstechnica.com/security/2016/09/botnet-of-145k-cameras-reportedly-deliver-internets-biggest-ddos-ever/
2016年9月の第4週、セキュリティ関連のニュースを報じる「KrebsOnSecurity」のサーバーが24時間以上にわたってダウンしました。これは、ルーターやウェブカメラなどのいわゆる「IoT」と呼ばれるネットワークにつながれたデバイスを何者かがハッキングし、これらで形成したボットネットを使ってDDoS攻撃を仕掛けてきたことが原因、と報じられました。
攻撃は毎秒620ギガビット(620Gbps)の負荷をKrebsOnSecurityのサーバーにかけ続けるというもの。DDoS緩和サービスを提供するAkamaiはKrebsOnSecurityへの攻撃を緩和するために調査を進めたそうですが、報告によると、この攻撃はAkamaiがこれまで経験したことのあるDDoS攻撃の2倍近い、これまでに見たこともないような規模のものであったそうです。
Akamai dumps Brian Krebs website over sustained DDoS attack - Business Insider
http://www.businessinsider.com/akamai-brian-krebs-ddos-attack-2016-9
その後、新たにフランスのホスティングサービス提供企業であるOVHの保有するサーバーにも同様の攻撃が仕掛けられたことが判明したのですが、OVHのサーバーが受けたDDoS攻撃は、なんと毎秒1.1テラビットという驚異的なトラフィックの攻撃で、KrebsOnSecurityへの攻撃よりも約60%も増加していたことがわかっています。
OVHのサーバーにDDoS攻撃が行われたことを明かしたのは、OVHの創業者であり同社のCTOを務めるOctave Klaba氏。Klaba氏は自身のTwitterアカウント上で以下のようにDDoS攻撃の存在を公表しています。Klaba氏がツイートに添付した画像を見ると、サーバーに対するDDoS攻撃は2件同時に発生しており、1回目の攻撃は2件合計で1.1Tbps、2度目の攻撃も合計901Gbpsという驚異的なトラフィックを記録していることがわかります。
Last days, we got lot of huge DDoS. Here, the list of "bigger that 100Gbps" only. You can see the
— Octave Klaba / Oles (@olesovhcom) 2016年9月22日
simultaneous DDoS are close to 1Tbps ! pic.twitter.com/XmlwAU9JZ6
さらに、Klaba氏によると今回のDDoS攻撃も何者かにハッキングされたウェブカメラやデジタルレコーダーなどで構成されるボットネットによるものだとのことで、前出のKrebsOnSecurityのケースと同じタイプのものであることがわかります。ハッキングされたウェブカメラやデジタルレコーダーは1台につき、1Mbpsから30Mbps程度のトラフィックを生み出すことが可能で、これを約14万台で行うことで1.5Tbps程度のトラフィックを生み出しているのでは、と推測しています。
This botnet with 145607 cameras/dvr (1-30Mbps per IP) is able to send >1.5Tbps DDoS. Type: tcp/ack, tcp/ack+psh, tcp/syn.
— Octave Klaba / Oles (@olesovhcom) 2016年9月23日
最初の報告の後もアタッカーによる攻撃は継続していたようで、Klaba氏によると48時間のうちに6800台のウェブカメラがアタッカーのボットネットに加わった、とのこと。以下のツイートは最初の攻撃が発生してから数日が経過してから投稿されたものですが、この間にOVHのサーバーはアタッカーから複数回にわたってDDoS攻撃を受けており、それらのトラフィックはいずれも100~800Gbps程度であったそうです。
+6857 new cameras participated in the DDoS last 48H.
— Octave Klaba / Oles (@olesovhcom) 2016年9月26日
DDoS緩和の専門家はこれらの数値が正しいものか確認できていないとコメント。また、OVHのKlaba氏はArs Technicaからのインタビュー要請を断っています。しかし、Ars TechnicaはKlaba氏のTwitterアカウントは信用に値するものであり、KrebsOnSecurityへの攻撃の際にDDoS緩和に奮闘していたAkamaiのレポートと一致する部分も多いとしています。
なお、Akamaiのセキュリティ専門家は「現在、我々は600程度のボットネットを確認していますが、これらがより一般的になる前に対策を立てる必要があります。ボットネットが全て攻撃に使用されるとは限りませんが、多数存在する中の4分の1程度は攻撃に使用されるだろう」と語りました。
これまでセキュリティ専門家は「インターネットに接続している端末が潜在的な脅威を生み出している」と、IoT製品の危険性を指摘してきました。実際、今回の事例より前にもウェブカメラを使った大規模DDoS攻撃の存在は明らかになっています。
世界中の防犯カメラを駆使して行われる大規模DDoS攻撃の存在が明らかに - GIGAZINE
なお、脅威のDDoS攻撃を受けたKrebsOnSecurityは、Googleの技術を使って「DDoS攻撃からニュースサイトを保護するためのサービス」を提供する「Project Shield」により復旧に成功したそうです。
Google | Project Shield | Free DDoS protection
https://projectshield.withgoogle.com/public/
・関連記事
世界中の防犯カメラを駆使して行われる大規模DDoS攻撃の存在が明らかに - GIGAZINE
45万台以上のスマートフォンがマルウェアに感染して1日45億リクエストのDDoS攻撃に荷担 - GIGAZINE
アノニマスのハッカー集団がDDoS攻撃「イカルス作戦」を実行して世界中の銀行をダウンさせていることが判明、今後の標的リストも明らかに - GIGAZINE
「ポケモンGO(Pokémon GO)のサーバーをダウンさせる」とハッカー集団が予告、丸1日Pokemon GOがプレイできない可能性も - GIGAZINE
DDoS攻撃を行うウェブサービスの運営者がFBIで働いていることが判明 - GIGAZINE
・関連コンテンツ