新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

ウクライナ内外の脆弱者グループをオンライン状態に維持するために何が必要か

2022/06/08

6 分で読了

プロジェクトGalileo8周年にあたり、このプロジェクトで保護される団体が経験したサイバー攻撃のタイプをご覧いただきたいと思います。多くの団体が新たな困難に次々と見舞われた一年でしたが、当社では、それらの脆弱者グループに対する攻撃の分析が、標的になりやすい分野で活動する人々のより良い保護方法を研究者や市民社会、標的団体が考える際の手掛かりになればと考えています。

このブログでは、紛争開始後に急増したDDoS攻撃など、ウクライナの団体に対する攻撃に焦点を当てたいと思います。関連するRadarダッシュボードで、人権団体、報道機関、コミュニティ主導の非営利団体など幅広い分野のプロジェクトGalileo参加者に対する攻撃を詳しく見ていきます。

完全版レポートをお読みになりたい方は、プロジェクトGalileo8周年Radarダッシュボードをご覧ください。

データを理解する

  • このダッシュボードでは、2021年7月1日から2022年5月5日の間に、世界各地のプロジェクト保護対象1900団体から集められたデータを分析しました。
  • DDoS攻撃は、当社でレイヤー7(アプリケーション増)DDoS攻撃の一環と判定したトラフィックとして分類しています。そのような攻撃ではたいてい、サイトを過負荷にしてオフライン状態に陥れるという悪意を以て大量のリクエストが送りつけられます。当社は、攻撃に関わるリクエストをブロックして、正当なリクエストがサイトに届き、サイトがオンライン状態を保つようにします。
  • Webアプリケーションファイアウォール(WAF)で軽減されたトラフィックとは、悪意ありと判定されてCloudflareのファイアウォールでブロックされたトラフィックです。当社はプロジェクトGalileoでBusinessレベルのサービスを無償提供しており、WAFは、団体のオンラインアプリに無許可でアクセスしようと脆弱性を悪用する試みの軽減に役立つ有用なツールです。
  • プロジェクトGalileoの対象トラフィックや対象ドメインの変化を表すグラフでは、2021年7月の最初の2週間の1日平均トラフィック(リクエスト件数)をベースラインとして使用しています。

昨年の要点

  • サイバー攻撃は増え続け、2021年7月から2022年5月までに180億件近くの攻撃がありました。ここ9か月のサイバー攻撃は1日平均5790万件近くに上り、前年から10%近く増加しています。
  • 4月の1件の大規模攻撃では、ウクライナの団体を標的とし軽減されたDDoSトラフィックが、全トラフィックの90%にも上りました。
  • ウクライナで戦争が始まった後の2022年3月、プロジェクトへの参加申し込みが177%急増しました。
  • 欧米の報道機関やメディア団体のトラフィックは、昨年最高150%増大しました。
  • 人権団体と報道機関に対しては、幅広い低度サイバー攻撃がありました。WAFで軽減したリクエストの40%までもが、HTTP異常と分類されました。WAFルールタイプの中でも最大で、保護されていない団体には打撃となりかねない攻撃タイプですが、Cloudflareが自動的にブロックしています。
  • 2021年7月から2022年5月まで、欧州を本拠とする団体は、プロジェクトの全対象地域から発されるリクエストトラフィックの半分から3分の2を一貫して占めていました。

プロジェクトGalileoのグローバルなカバレッジ

ウクライナの団体を保護

ウクライナで戦争が始まり、支援を求める団体からのプロジェクトGalileo参加申し込みが増えました。多くはDDoS攻撃を受けている最中の申し込みでしたが、ロシアの侵攻が続く中で情報を得ようとするウクライナ国内の人々からのトラフィックが大量に発生しているサイトもありました。ウクライナの団体からのトラフィックは開戦当初は概ね横ばいでしたが、それ以降の増大は、主として報道機関やメディアのトラフィックでした。

戦争前は、Webアプリケーションファイアウォール(WAF)で軽減されるトラフィックはわずかでしたが、それらはコミュニティ形成・社会福祉団体(難民への直接支援を提供する団体、ウクライナの人々を支援する寄付プラットフォームを提供する団体など)のトラフィックでした。ところが、戦争が始まってからは、報道機関がWAFで軽減されたトラフィックの大半を占め、3月13日にはトラフィックの69%に上るなど、トラフィックスパイクが頻発しています。WAFで軽減されるリクエストが増えたのは2月下旬からで、以降の攻撃は過半数がSQLインジェクション(SQLi)と分類されています。WAFで軽減された人権団体へのトラフィックは3月中旬に増え、トラフィックの5~10%を占めるまでになりました。

ウクライナの団体へのDDoSトラフィックの軽減は3月中旬から5月に集中し、トラフィックに占める割合が急上昇しています。最初のうちはスパイクは20%前後でしたが、下降する前に急上昇しています。4月19日の攻撃は、その日のトラフィックの90%以上を占めました。

開戦以来、保護対象団体からのトラフィックの増加率は、カテゴリーによってばらつきがあります。医療機関では、3月下旬から4月下旬にかけてトラフィックがベースラインの20~30倍に増えました。攻撃トラフィックの急増を除けば、報道機関からのトラフィックはベースラインのだいたい3~4倍でした。他のカテゴリーでは、概ね3倍以下になっています。

Webアプリケーションファイアウォール(WAF)で軽減されたトラフィックでは、最も適用頻度が高かったルールはHTTP異常で、リクエストの92%に該当しました。Webコンテンツのリクエスト(HTTPリクエスト)には所定の構成、ヘッダー一式、関連する値があります。ヘッダーがない、リクエスト方法がサポートされていない、非標準のポートを使用している、文字のエンコーディングが無効などの異常を含む異形リクエストを送る攻撃者もいます。そのようなリクエストは「HTTP異常」と分類されます。そうした異常なリクエストは低度の攻撃に関わる場合が多く、CloudflareのWAFで自動的にブロックされます。

戦争が続く中、当社は引き続きウクライナと隣国の団体をオンボードして保護を提供し、情報へのアクセスを保証します。ウクライナで攻撃に晒されている団体はすべて、www.cloudflare.com/ja-jp/galileoからプロジェクトGalileoによる無償保護を申し込むことができ、当社で早急に評価と承認を行います。

攻撃手口:地域別

北米・中南米、アジア太平洋、欧州、アフリカ・中東で軽減されたリクエストは、全地域で28%と最も多かったのが「HTTP異常」で、20%がSQLインジェクション攻撃、13%近くが特定の共通脆弱性識別子(CVE)の悪用でした。CVEは、一般公開されているサイバーセキュリティ上の脆弱性です。Cloudflareは新たな脆弱性を監視し、ユーザーを保護するために追加ルールセットが必要なものを速やかに判定します。脆弱性によっては高度な攻撃を受ける可能性があり、深刻度に応じて識別と応答をセキュリティのプロに任せざるを得ない場合があります。

前回のレポートでも同様の攻撃トレンドが見られ、SQLインジェクションとHTTP異常(ユーザーエージェント異常と分類)が、軽減されたリクエストの大部分を占めていました。

攻撃手口:団体タイプ別

当社はプロジェクトGalileoで多様な団体を保護しています。このダッシュボードでは、対象団体を「コミュニティ形成・社会福祉」、「教育」、「環境・災害救援」、「人権」、「ジャーナリズム」の6グループに分類しています。これらのグループに対する脅威を理解しやすいように、Webアプリケーションファイアウォールで軽減された攻撃のタイプを細かく分けました。軽減されたトラフィックの大部分は、HTTP異常とSQLインジェクション(SQLi)によるものです。

SQLiは、SQLデータベースのデータの改ざんや取得を狙った攻撃手法です。攻撃者は、特殊なSQLステートメントをフォームフィールドに挿入し、データベースからのデータ取得、データベース内のデータ改ざん、機密データの破壊、その他の操作を可能にするコマンドを実行しようとします。

8周年Radarダッシュボードについて詳しくは、プロジェクトGalileo保護下のさまざまな団体への攻撃に関して当社が観察したトレンドの 完全版レポートをご覧ください。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
DDoS (JP)Ukraine (JP)Cloudflare Radar (JP)Project Galileo (JP)日本語

Xでフォロー

Jocelyn Woolbright|@jo_woolbright
David Belson|@dbelson
Cloudflare|@cloudflare

関連ブログ投稿

2024年1月09日 14:00

2023年第4四半期DDoS脅威レポート

CloudflareのDDoS脅威レポート第16版へようこそ。本版では、2023年第4四半期および最終四半期のDDoS動向と主要な調査結果について、年間を通じた主要動向のレビューとともにお届けします...

2023年10月26日 13:00

2023年第3四半期DDoS脅威レポート

この四半期、DDoS攻撃は65%急増しました。ゲーミング/ギャンブル企業が最も攻撃を受け、Cloudflareは何千もの超帯域幅消費型DDoS攻撃を軽減しました。最大のものは2億100万RPSを記録しました。HTTP/2 Rapid Resetの脆弱性を狙った数千の超帯域幅消費型攻撃をCloudflareは軽減し、この四半期にはDDoS攻撃が65%急増しました。各地域や業界における最新のDDoS攻撃動向については、当社のレポートをお読みください...

2023年10月10日 12:02

HTTP/2 Rapid Reset:記録的勢いの攻撃を無効化

この投稿では、HTTP/2プロトコルの詳細、攻撃者がこれらの大規模な攻撃を発生させるために悪用した機能、およびすべてのお客様が保護されていることを保証するために当社が講じた緩和策について詳細を掘り下げて紹介します...

2023年10月10日 12:02

HTTP/2 zero-day脆弱性により史上最大のDDoS攻撃が発生

「HTTP/2 Rapid Reset」攻撃は、HTTP/2プロトコルの弱点を悪用し、巨大で超ボリュメトリックなDDoS攻撃を発生させます。 Cloudflareはここ数カ月間、こうした嵐のような攻撃の軽減に取り組んでいました。その中には、弊社がこれまでに観測した最大の攻撃の3倍ほどの規模となる攻撃も含まれています...