Cloudflare DDoS脅威レポート第18版』へようこそ。四半期ごとに発表されるこのレポートは、Cloudflareネットワーク全体で観測されたDDoS脅威発生の詳細な分析を提供しています。本版は、2024年第2四半期に焦点を当てたものです。
全世界で230以上の都市に毎秒280テラビットの処理能力を持つネットワークを持ち、全Webサイトの19%にサービスを提供しているCloudflareは、独自の視点から広範なインターネットコミュニティに貴重なインサイトとトレンドを提供しています。
2024年第2四半期の主なインサイト
- Cloudflareは、DDoS攻撃が前年比20%増となったことを発表しました。
- 調査の回答者の25人に1人が、自社に対するDDoS攻撃は国家レベル、または国家が支援する脅威アクターによって行われたと答えています。
- 脅威アクターの能力は史上最高レベルに達しました。当社の自動化された防御が、極めて高度に発達したDDoS攻撃に対抗し、軽減するために生成したフィンガープリントが10倍になったことをそれを証明しています。
本レポートのインタラクティブ版はCloudflare Radarでご覧いただけます。
簡単なまとめ - DDoS攻撃とは?
深く掘り下げる前に、DDoS攻撃とは何かをおさらいしておきましょう。DDoS攻撃は分散サービス拒否攻撃の略称で、Webサイトやモバイルアプリなどのインターネットサービスを停止または中断させ、ユーザーが利用できないようにするよう設計されたサイバー攻撃の一種です。通常、DDoS攻撃は、インターネット上の複数の送信元から、被害者のサーバー処理能力以上のトラフィックを送信して圧倒し、正当なユーザートラフィックを処理できなくすることで達成されます。
DDoS攻撃やその他のタイプのサイバー脅威の詳細については、ラーニングセンターにアクセスするか、Cloudflareブログで過去のDDoSレポートを読むか、当社のインタラクティブハブであるCloudflare Radarをご覧ください。これらのリソースやその他のインターネットトレンドの調査に興味のある方のために、無料のAPIもご用意しています。 trends.
レポートの作成方法については、「メソッド」を参照してください。
脅威アクターの巧妙化によりDDoS攻撃は増加の一途
2024年上半期、当社は第1四半期に450万件、第2四半期に400万件のDDoS攻撃を軽減しました。全体として、第2四半期のDDoS攻撃数は前四半期比で11%減少しましたが、前年比では20%増加しました。
ちなみに、2023年全体では1,400万件のDDoS攻撃を軽減し、2024年の半ば現在では、すでに昨年の数字の60%を軽減しています。
Cloudflareは、10兆2,000億件のHTTP DDoSリクエストと57ペタバイトのネットワーク層DDoS攻撃トラフィックを軽減し、お客様の配信元サーバーに到達するのを阻止することに成功しました。
さらに詳しく見ると、前述の400万件のDDoS攻撃は、220万件のネットワーク層DDoS攻撃と180万件のHTTP DDoS攻撃で構成されています。この180万件のHTTP DDoS攻撃という数字は、巧妙にランダム化されたHTTP DDoS攻撃の爆発的な増加を補正するために正規化されています。当社の自動軽減システムは、DDoS攻撃のリアルタイムフィンガープリントを生成します。そして、これらの巧妙な攻撃はランダム化された性質があるため、単一の攻撃に対して多くのフィンガープリントが生成されることが観察されました。生成されたフィンガープリントの実際数は1,900万に近く、正規化された数値である180万の10倍以上でした。ランダム化に対処するために生成された何百万ものフィンガープリントは、わずかな単一のルールに起因していました。これらのルールは確かに攻撃を阻止しましたが、数値を水増ししていたため、計算から除外しました。
この10倍の違いは、脅威の状況が劇的に変化していることを明確に示しています。脅威アクターがこのようなランダム化された巧妙な攻撃を実行することを可能にしたツールや機能は、これまで国家レベルのアクターまたは国家が支援するアクターのための機能と関連していました。しかし、こうした機能は、アクターがより良いコードをより速く書くのを助ける生成AIやオートパイロットシステムの台頭と相まって、一般的なサイバー犯罪者の手にも届くようになりました。
ランサムDDoS攻撃
2024年5月、Cloudflareのお客様のうち、DDoS攻撃の脅威アクターから脅迫された、またはランサムDDoS攻撃を受けたと報告したお客様の割合は16%に達し、これは過去12か月で最高となりました。当四半期は、脅威やランサム攻撃を報告したお客様が7%と、比較的低い水準でスタートしました。5月にはすぐに16%に急増し、6月には14%とやや低下しました。
全体的に見て、ランサムDDoS攻撃は、過去1年間を通じて四半期ごとに増加しています。2024年第2四半期、脅迫または恐喝を受けたと回答した顧客の割合は12.3%で、前四半期(10.2%)よりも微増となりましたが、前年同期比でほぼ横ばいです(12.0%)。
脅威アクター
回答者の75%が、攻撃アクターの正体または攻撃理由が分からないと答えています。当該回答者は、HTTP DDoS攻撃の標的となったCloudflareのお客様です。
正体や理由を知っていると答えた回答者のうち、59%が自社を攻撃したのは競合企業だと答えました。その他21%は「DDoS攻撃は不満を抱いた顧客やユーザーによって行われた」と答え、さらに17%は「国家レベルまたは国家が支援する脅威アクターによる攻撃であった」と答えています。残りの3%は、自ら招いたDDoS攻撃であったと報告しています。
攻撃された上位の国と地域
2024年第2四半期、中国は世界で最も攻撃された国にランクされました。このランキングは、HTTP DDoS攻撃、ネットワーク層DDoS攻撃、総トラフィックに対するDDoS攻撃トラフィックの総量および割合を考慮しています。グラフは、国または地域ごとのDDoS攻撃アクティビティ全般を示しています。グラフの棒が長いほど、攻撃アクティビティが多いことを意味します。
中国に次いで、トルコが2位、そしてシンガポール、香港、ロシア、ブラジル、タイと続きました。最も攻撃された上位15か国のうち、残りの国と地域は以下の表に示されています。
最も攻撃された業界
2024年第2四半期に最も標的となった業種としてIT·サービスがランクインしました。ここで使用したランキング方法は、前述したものと同じ原則に従い、HTTPとネットワーク層DDoSの両方に対する攻撃トラフィックの総量と相対的な攻撃トラフィックから不要な要素を取り除き、1つの単体DDoS攻撃アクティビティに絞り込んでいます。
2位は電気通信サービスプロバイダー·通信事業者の部門で、3位は消費財でした。
HTTP DDoS攻撃だけを分析すると、また違った様相が見えてきます。HTTP DDoS攻撃リクエストの量に関して最も多くの攻撃を受けたのは、ゲーミングとギャンブルでした。地域ごとの内訳は次のとおりです。
DDoS攻撃の最大の発信元
アルゼンチンは、2024年第2四半期にDDoS攻撃の最大の発生源地域としてランクインしました。ここで使用したランキング方法は、前述したものと同じ原則に従い、HTTPとネットワーク層DDoSの両方に対する攻撃トラフィックの総量と相対的な攻撃トラフィックから不要な要素を取り除き、1つの単体DDoS攻撃アクティビティに絞り込んでいます。
2位は僅差でインドネシア、3位はオランダでした。
DDoS攻撃の特徴
ネットワーク層DDoS攻撃ベクトル
前四半期比で49%減となったにもかかわらず、DNSベースのDDoS攻撃は依然として最も一般的な攻撃ベクトルであり、DNSフラッド攻撃とDNSアンプ攻撃の合計は37%に上ります。SYNフラッドが23%で2位となり、RSTフラッドが10%強で続きました。SYNフラッドとRSTフラッドはどちらもTCPベースのDDoS攻撃の一種です。全部合わせると、あらゆるタイプのTCPベースのDDoS攻撃が、ネットワーク層への全DDoS攻撃の38%を占めていました。
HTTP DDoS攻撃ベクトル
大規模なネットワークを運用する利点の1つは、大量のトラフィックや攻撃を観察できるところです。これにより、検出と軽減システムを改善し、お客様を保護できます。前四半期には、Cloudflareがすでに認識しているボットネットを標的とした独自のヒューリスティックを使用し、HTTP DDoS攻撃の半数を軽減しました。このヒューリスティックは、攻撃に対抗するリアルタイムフィンガープリントを生成する方法に関するシステムの目安となるものです。
また、29%は、偽のユーザーエージェント、なりすましブラウザ、またはヘッドレスブラウザを使用したHTTP DDoS攻撃でした。さらに13%が不審なHTTP属性を持ち自動システムをトリガーする攻撃で、7%が一般的なフラッドとマークされた攻撃でした。注意すべき点は、これらの攻撃ベクトルまたは攻撃グループは必ずしも排他的ではないということです。例えば、既知のボットネットもブラウザになりすまし、不審なHTTP属性を持ちますが、この分析はHTTP DDoS攻撃を分類するための最初の試みです。
DDoS攻撃で使用されるHTTPバージョン
第2四半期では、全Webトラフィックの約半分がHTTP/2を使用しており、29%がHTTP/1.1を使用していました。さらに5分の1がHTTP/3、約0.62%がHTTP/1.0、0.01%がHTTP/1.2を使用していました。
HTTP DDoS攻撃は、HTTP/2に大きく偏っているものの、バージョン採用の観点から類似パターンに従います。HTTP DDoS攻撃トラフィックの76%がHTTP/2バージョンを介し、約22%がHTTP/1.1バージョンを介したものでした。一方、HTTP/3の使用量はかなり少ないものでした。全Webトラフィックの20%という広範な採用率とは対照的に、HTTP/3を介したものはHTTP DDoS攻撃トラフィックのわずか0.86%に過ぎませんでした。
DDoS攻撃期間
DDoS攻撃の大半は短時間です。HTTP DDoS攻撃の57%以上、ネットワーク層DDoS攻撃の88%以上が10分以内に終了しています。これにより、自動化されたインライン検出と軽減システムの必要性が浮き彫りになっています。人間がアラートに対応し、トラフィックを分析して、手動で軽減策を適用するのには、10分ではとても足りません。
グラフの反対側に注目すると、HTTP DDoS攻撃の約4分の1が1時間以上、ほぼ5分の1が1日以上続いていることがわかります。ネットワーク層では、長時間にわたる攻撃は大幅に少なくなります。ネットワーク層のDDoS攻撃が3時間以上続いたのは、わずか1%でした。
DDoS攻撃サイズ
ほとんどのDDoS攻撃は比較的小規模なものです。ネットワーク層DDoS攻撃の95%以上が毎秒500メガビット以下、86%が毎秒50,000パケット以下にとどまっています。
同様に、HTTP DDoS攻撃の81%が毎秒50,000リクエスト以下にとどまっています。これらの割合は、Cloudflareの規模では小さいものの、こうしたトラフィックレベルに慣れていない未保護のWebサイトは壊滅的な被害を受ける可能性があります。
大半の攻撃は小規模なものですが、大規模な帯域幅消費型攻撃の数は増加しています。ネットワーク層DDoS攻撃は100回に1回が毎秒100万パケット(pps)を超え、100回に2回が500ギガビットを超えています。アプリケーション層では、HTTP DDoS攻撃の1,000件に4件が毎秒100万リクエストを超えています。
記事の要点
DDoS攻撃の大半は小規模で迅速なものです。しかし、こうした攻撃でさえ、DDoS防御のベストプラクティスに従わないオンラインサービスを混乱させる可能性があります。
さらに、生成AIや開発者向けコパイロットツールが利用可能になったこともあり、脅威アクターの巧妙化はますます進んでおり、防御が困難なDDoS攻撃を仕掛ける攻撃コードが生まれています。攻撃の巧妙化が進む前でさえ、多くの組織はこうした脅威を自力で防御しようと苦労していました。しかし、その必要はありません。Cloudflareがお手伝いいたします。当社では、当社の自動防御がCloudflareのセキュリティ製品ポートフォリオ全体と連動して、既存の脅威や新たな脅威から確実に保護するように、莫大なリソースを投資しています。したがって、お客様がリソースに投資する必要はありません。