近年増加中のDDoS攻撃の一種である「パケットレート攻撃」とは？

DDoS攻撃は複数のマシンから膨大な量のデータをターゲットに送信し、ウェブサイトやサーバーを処理不能な状態に追い込むサイバー攻撃手法です。そんなDDoS攻撃の多くは、使用可能な帯域幅を枯渇させる「帯域幅消費型」に分類されますが、近年は「パケットレート攻撃」と呼ばれる手法も増えているとして、クラウドコンピューティングサービスを展開するOVHCloudでコンピューターセキュリティインシデント対応チーム長を務めるセバスチャン・メリオ氏が、その手法について解説しています。

The Rise of Packet Rate Attacks: When Core Routers Turn Evil - OVHcloud Blog
https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/

DDoS攻撃は長年にわたり、オンラインサービスの可用性に影響を及ぼし続けてきました。複数のアクターがIoTデバイスやルーターにマルウェアを仕込んだり、脆弱(ぜいじゃく)性を悪用したりしてボットネットの軍隊を作り上げ、DDoS攻撃を仕掛けています。

ほとんどのDDoS攻撃は、帯域幅を圧倒するために大量のゴミデータを送信するネットワーク層の攻撃か、大量のアプリケーションリクエストを送信してCPUやメモリを過剰に使用させるアプリケーション層の攻撃に分けられます。しかし、これ以外にもDDoS攻撃の手法はいくつか存在しており、そのうちのひとつが「パケットレート攻撃」と呼ばれる手法です。

インターネットで送受信されるデータはパケットと呼ばれる単位に分割され、受信側のシステムは各パケットのヘッダーに含まれる送信元IPアドレスや送信先IPアドレスなどを処理する必要があります。パケットレート攻撃は、帯域幅を圧倒するような膨大なデータを送りつける代わりに、「大量の小さなパケット」をターゲットへ大量に送り付けるという手法だとのこと。

一般的に、「大きくて数が少ないパケット」を処理するよりも、「小さいが数が多いパケット」を処理する方がコンピューティングコストが高いといえます。たとえば、ソフトウェアを使用してパケットを処理する場合、各パケットは少なくともひとつのメモリにアクセスすることを意味しています。また、ハードウェアを使用する場合でも、パケットレートが高いと大きな負荷がかかります。そのため、パケットのヘッダーを処理するシステムの場合、帯域幅ではなく「パケットレート」がハードウェアの制限になるというわけです。

パケットレート攻撃の目的は、使用可能な帯域幅を枯渇させるのではなく、宛先に近いネットワークデバイスのパケット処理エンジンに過負荷をかけることです。一般的には、標的サービスの手前にあるロードバランサーやDDoS対策システムなどを機能不全に陥れ、関連する大規模なインフラストラクチャーに巻き添え被害を与えるとメリオ氏は説明しています。

パケットレート攻撃は新しいものではありませんが、長らくパケットレート攻撃の規模は100Mppsをはるかに下回るものが多かったのが、過去18カ月間で100Mppsを超える攻撃が急増しているとのこと。特に2024年4月には、これまでに記録された最高値を上回る840Mppsに達する記録的なパケットレート攻撃も起きたそうです。

OVHCloudはこれらのパケットレート攻撃の影響を緩和すると同時に、どのようなIPアドレスから攻撃が行われたのかについても分析しています。その結果、OVHCloudが分析したパケットレート攻撃ではパケットの3分の2がアメリカにあるわずか4つのPoPから侵入しており、攻撃アクターが少数のピアリングを介して巨大なパケットレートを送信する能力を持っていることがわかりました。

また、100Mpps～500Mppsにわたる約100件のパケットレート攻撃を手動で分析したところ、多くの攻撃はそれほど多くないIPアドレスから行われていることも判明。特に多くのパケットレートを生成した問題のある上位70件のIPアドレスを調査すると、大部分がMikroTik製のルーターであり、構成ウェブページをインターネット上で公開していることが確認されました。

MikroTik製ルーターのOSであるRouterOSでは、過去数年間にいくつかの重大な脆弱性が報告されていることから、攻撃アクターは脆弱性や不適切な管理インターフェースを悪用して、これらのルーターをパケットレート攻撃に使用している可能性があるとのこと。また、RouterOSに存在する「帯域幅テスト」機能が、DDoS攻撃に応用しやすいことも理由かもしれないとメリオ氏は指摘しています。