Google Cloudが史上最大となる1秒あたり4600万リクエストのDDoS攻撃をブロック、Cloudflareが以前に阻止した攻撃よりも76％以上強大

大量の機器からサーバーやネットワークに対して多数のリクエストを送信するなどして、サービスを利用できなくする分散型サービス妨害攻撃(DDoS攻撃)の発生件数は過去数年間で指数関数的に増加しています。2022年8月19日、Googleは去る6月1日に大規模なDDoS攻撃を受けていたものの、同社の保護サービス「Cloud Armor」がピーク時毎秒4600万回のリクエストを阻止していたことを明らかにしました。

How Google Cloud blocked largest Layer 7 DDoS attack yet, 46 million rps | Google Cloud Blog
https://cloud.google.com/blog/products/identity-security/how-google-cloud-blocked-largest-layer-7-ddos-attack-at-46-million-rps

Googleの報告によると、太平洋標準時2022年6月1日の9時45分頃から、1秒当たり1万リクエストを超えるDDoS攻撃が顧客のHTTP/Sロードバランサを標的として実行されました。攻撃開始から8分後には毎秒10万リクエストにまで急増したとのこと。GoogleのCloud Armorは攻撃サイクルの早い段階でこれを検出してトラフィックを評価し、攻撃パターンを識別するルールを作成して、すぐにトラフィックのブロックを開始したそうです。

さらにその後も攻撃は続き、ピーク時には毎秒4600万リクエストにまで達したとのこと。この規模の攻撃はトラフィックの多いサイトトップ10にもランクインするWikipediaへの1日のリクエストすべてをわずか10秒で受信するようなもので、この種のDDoS攻撃としては史上最大だったそうです。近年の大規模なDDoS攻撃としては2022年6月にCloudflareが報告した毎秒2600万リクエストの事例が挙げられますが、今回の攻撃はこれを少なくとも76％上回るものでした。

今回の攻撃ではピークを迎える前に対策が行われたため、各サーバーは影響を受けず処理が通常通り行われていたとのこと。Googleは「おそらく、攻撃者は攻撃を実行するために多額の費用がかかる一方で、期待する効果が得られないと判断したものと思われます」と述べました。

6月1日に検出されたDDoS攻撃では予想外に大量のトラフィックが発生したことに加え、他にも注目すべき特徴があったとGoogleは指摘。この攻撃には132カ国から5256個のソースIPが関与しており、上位4カ国が攻撃トラフィック全体の約31%を占めていたことも明らかになっています。さらにソースIPの約22%(1169個)がTorの出口ノードに対応していましたが、これらのノードからのリクエスト量は攻撃トラフィックのわずか3%に過ぎなかったとのこと。しかし、仮にピーク時の3％だったと仮定すると毎秒130万リクエストに相当することになるため、「Tor出口ノードがウェブアプリケーションとサービスに相当量の好ましくないトラフィックを送信する可能性がある」と指摘しました。

Googleは「攻撃の規模は今後も拡大し、戦術も進化し続けるでしょう。Googleは『標的型攻撃からアプリケーションとサービスを保護』するために、顧客に対して環境とインフラプロバイダーのネットワークの複数の層に防御と制御を導入し、多重防御戦略を採用することを推奨しています。Cloud Armorを使用すると、Googleのネットワークのうちインターネットに面したアプリケーションを保護し、アプリケーションのはるか上流にある不要なトラフィックを吸収することが可能になります」と述べました。