昨年、DDoS攻撃が増加しただけでなくBit-and-Piece攻撃と呼ばれる従来の方法では検出できない新たな形式に移行しました。Bit-and-Piece DDoS攻撃は他の形態のDoS攻撃よりもはるかに少ないトラフィック量でネットワークを停止できるため、しきい値の検知技術をすり抜けることができます。
進化するDDoS攻撃
Bit-and-Piece攻撃について説明する前に、まず、多数の送信元からの大量のトラフィックを使う従来型のDDoS攻撃について理解する必要があります。これまでのDDoS攻撃は、数千台のコンピューターやIoTデバイスを乗っ取り、それらのデバイスをコントロールして大量のウェブトラフィックを同時に特定のウェブサイトまたはアプリケーションに送信させます。このトラフィックの量が、リクエストを処理するウェブサイトまたはアプリケーションの能力を超えると、一般ユーザーはウェブサイトまたはアプリケーションを使用できなくなり、サービスを受けられない状態になります。
実際の状況としては、過去数年間(2020年まで)は、これらの攻撃の有効性は低下していました。それには3つの理由があります。
2020年には、DDoS攻撃が再び有効性を取り戻しました。それは、これまでセキュリティについてあまり考えてこなかった企業を含め、多くの企業が突然リモートワークに移行する必要があったためです。リモートワーカーはDDoS攻撃に対してはるかに脆弱であったため、攻撃が再び急増しました。この急増の中から、Bit-and-Pieceとして知られるイノベーションが生まれたのです。
Bit-and-Piece DDoS攻撃は、大量のトラフィックを使用せずにネットワークを停止させる
2020年には、Bit-and-Piece DDoS攻撃が大幅に増加しましたが、過去のDDoS攻撃のトラフィック記録を破ることはありませんでした。事態はまったく逆で、これらのDDoS攻撃のほぼ半分は、わずか30MBps以下のトラフィックしか伴っておらず、上記のような記録破りの攻撃よりも桁違いに少なくなっています。それなのにこれらの攻撃は、大量のトラフィック無しでネットワークをダウンさせることに成功しているのです。
それは一体なぜなのでしょうか?
最初に注意すべきことは、この攻撃は主に通信サービスプロバイダー(CSP:Communications Services Providers)を標的にしており、他のDDoS攻撃よりもはるかに標的を絞っているということです。Bit-and-Piece攻撃では、数千台のコンピューターから大量のジャンクトラフィックを送り込む代わりに、正規のトラフィックの中に少量のジャンクを混ぜ、広く分散したIPレンジを狙います。
全体としてはジャンクトラフィックの量が少ないため、通常の方法では脅威として検知されません。それにもかかわらず、この少量のトラフィックは多くの損害を与える可能性があります。標的とされる各々のIPレンジは、1つのサービスプロバイダーに属しています。CSPはデータストリームから個々のジャンクデータを取り除く必要がありますが、攻撃者がキャパシティの劣るCSPを標的にした場合、、そのCSPはすべてのリソースをトラフィックのスクリーニングに費やさざるを得なくなります。これは一般的には、ネットワークがオフラインになることを意味します。
この攻撃は従来の検知方法を回避するため、CSPがこの種の脅威に対応するための手段はほとんどありません。悪意のあるトラフィックをスクリーニングするために多くのリソースを割り当てる予算がない場合もあれば、追加のセキュリティ専門家を雇ってトラフィックをより詳細なレベルで検査することができない場合もあります。ほとんどの場合、最善の手段は、Bit-and-Piece DDoS攻撃がネットワークに影響を与え始めたら、すぐにCDNにフェイルオーバーすることです。
ライムライト・ネットワークスがDDoS緩和策を使ってDDoS攻撃からウェブサイトを防御する方法の詳細については、こちらで詳細をご確認ください。
https://www.limelightnetworks.jp/products/cloud-security/ddos-protection/
2021/02/17
