分散サービス妨害DDoS攻撃(DDoS)は、オンラインサービスを過負荷状態にして混乱させ、ユーザーがアクセスできないようにすることを目的としたサイバー攻撃です。DDoS攻撃は、分散したデバイスのネットワークを活用することにより、ターゲットシステムに過剰なリクエストを送り付けて帯域幅を消費したり、コンピューティングリソースを使い果たさせて障害に追い込みます。こうした攻撃は、保護されていないサイトに対しては非常に効果的であり、攻撃者は比較的安価に仕掛けることができます。DDoS攻撃は最も古い攻撃タイプの1つであるにもかかわらず、一定の脅威を及ぼし続けています。よく知られており、トラフィック量が多いWebサイト、サービス、重要なインフラストラクチャを標的とすることが多いようです。Cloudflareでは、2024年の初めから1,450万件以上のDDoS攻撃を軽減してきました。これは、1時間あたり平均2,200件のDDoS攻撃数に相当します。(弊社がまとめた2024年第3四半期のDDoS脅威レポートでは、関連する詳細統計情報をまとめています)。
過去10年間に軽減してきた大規模攻撃に関連する指標を見てみると、グラフからは特にここ数年で顕著に急上昇し続け指数関数的な増加を示しているのか、それとも直線的な増加に近いのかが分かります。増加は直線的ではなく、指数関数的であり、その曲線の度合いは弊社で注目している指標に依存することがわかりました。
この質問が興味深い理由は、シンプルです。その答えからは、攻撃者の戦略の進化、ツールの洗練度、防御メカニズムの成熟度に関する貴重な洞察が得られます。
例えば、1秒あたりのリクエスト数(rps)の上昇曲線は、攻撃者がより多くのリクエストを生成できるように攻撃者側で何かを変更していることを示唆しています。この洞察からは、より多くの調査を行い、他のデータを見て未知のことが起こっていないかどうかを確かめる行動につながります。
例えば、ある瞬間、トラフィックのソースを調べたところ、加入者/企業のIPアドレス空間(IoTと見られる)からクラウドプロバイダーのIPアドレス空間(VMと見られる)への変化が見られ、攻撃者が使用するデバイスのタイプと機能の変化が確認できました。
別の例として、HTTP/2 Rapid Reset攻撃が発生したとき、その時点で見られた1秒あたりのリクエスト数が記録的な規模に上り、攻撃者が新しいテクニックを使っていることが示唆されたため、実行された内容を迅速に調査し、防御策を適応する必要がありました。
個々の攻撃の定義
個々の攻撃を時間で区切るのは、驚くことに、不明瞭なものとなります。まず、攻撃分析では、OSIモデルの異なる層での所見における一貫性が得られない可能性があります。これらの異なるレイヤーすべてで見られるフットプリントは、同じ攻撃に対して異なるシナリオを導き出す可能性があります。しかし、組み合わせてフィンガープリントとし、一連のイベントをグループ化することで、同じ個別の攻撃の一部であることを確認できる変数がいくつかあります。例としては、以下のようなものがあります:
この一連のイベントで同じ攻撃ベクトルが使われているでしょうか。
すべての攻撃イベントが同じターゲットに焦点を当てているでしょうか。
イベントのペイロードは同じ署名を共有しているでしょうか。Miraiを例に、特定のタイプの攻撃またはボットネットに固有の特定のデータペイロードまたはリクエストタイプは、特徴的なHTTPリクエストヘッダーやパケット構造を使用する場合があります。
DDoS攻撃のサイズ
過去10年間にわたるDDoS攻撃の増加の分析に入る前に、一度前工程に戻って、攻撃の測定によく使用される指標1秒あたりのリクエスト数(rps)、1秒あたりのパケット数(pps)、1秒当たりのビット数毎秒(bps)を見てみましょう。それぞれの指標は、攻撃の規模と影響の異なる側面を捉えているからです。
1秒あたりのリクエスト数(rps):毎秒ごとに行われたHTTPまたは類似のプロトコルリクエスト数を測定します。この指標は、リクエスト処理に過負荷をかけることで特定のアプリケーションまたはサービスを圧倒することを目的とするアプリケーション層(レイヤー7)に特に該当しており、エンドポイント未加工のデータ転送だけでなく、リクエストの量も反映するため、Webサーバー、APIアプリケーションへの攻撃を計測するのに役立ちます。
1秒あたりのパケット数(pps):サイズに関係なく、1秒あたりに標的に送信される個別パケット数を表します。この指標は、パケット処理能力を超えてネットワークインフラを圧倒することを目的とするネットワーク層(レイヤー3と4)にとって重要です。ppsの測定値は、ルーター、スイッチ、ファイアウォールに影響を与える可能性のあるパケット量を特定するため、帯域幅消費型攻撃に役立ちます。
ビット/秒(bps):毎秒転送される総データ量を測定し、標的やその上流プロバイダーの帯域幅を飽和させることを目的としたネットワーク層攻撃の評価に特に役立ちます。bpsは、攻撃がネットワーク帯域幅を塞ぐことを意図するUDPフラッドなど、レイヤー3および4攻撃の測定に広く使用されます。この指標は、bps値(ギガビットまたはテラビットで測定される)の高さ(大規模なDDoS攻撃で多くの場合目標とされる)が帯域幅の飽和状態を示すため、DDoS攻撃でよく取り上げられます。
過去10年のDDoS攻撃規模の進化
では、DDoS攻撃の規模は過去10年でどのように変化したのでしょうか。この期間中、DDoS攻撃は規模と強度を増し、もたらされる混乱の規模が年々大きくなる可能性があります。
過去10年間に見られた大規模な攻撃に関連する指標を見てみると、特にここ数年で、指数関数的な曲線が常に増加し続けているように見えるのか、それとも直線的な増加に近いのかがわかります。ここでは、指数関数的であることがわかりました。では、この結果に至った理由を詳細に見てみましょう。
この分析では、2010年から2022年までにGoogleが確認した攻撃をベースライン(図1)とし、Cloudflareが2023年と2024年に確認した攻撃(図2)で情報を拡張しています。
遡ると、2010年代初頭、最大の攻撃はギガビット/秒(Gbps)スケールで測定されていましたが、現在ではテラビット/秒(Tbps)スケールで測定されています。後述するように、1秒あたりのリクエスト数(rps)と1秒あたりのビット数(bps)も、最近は大幅に高くなっています。
下の図1に示したGoogleの過去のデータは、2010年から2022年の間に観察されたDDoS攻撃における1秒あたりのリクエスト数が増加傾向にあり、2020年には1秒あたり600万リクエスト(Mrps)に達していることを示しています。この増加は、10年間を通じて攻撃量が大幅に増加していることを示しています。
図1. 2010年2022年に発生した最大規模のDDoS攻撃。出典:Google
図2(以下)は、さまざまな指標に見られる傾向を示しています。Googleの統計で見られる増加は、2023年から2024年に観測された大規模なDDoS攻撃に関するCloudflareのデータにも表れており、2024年9月には201Mrp(緑線)に達しています。1秒あたりのパケット数(pps)は、経時的にわずかに指数関数的に増加し、2015年の230 Mppsから2024年の2,100 Mppsまで上昇し、攻撃者がより高いスループットを実現していることを示唆しています。1秒あたりのビット数(bps)でも、この傾向は指数関数的で、2013年の309 Gbps攻撃から2024年の5.6 Tbps(5,600 Gbps)攻撃まで、より急な上向き曲線(赤線)で構築されています。
ここ10年ほどで、これらの指標の要因となる攻撃が大幅に増加しています:
2013年~2024年までに1秒あたりのビット数が20倍に増加
2015年~2024年で1秒当たりのパケット数が10倍に増加
2014年~2024年までに1秒あたりのリクエスト数が70倍に増加
図2. 2023年と2024年にCloudflareが観測した大規模な攻撃のデータで図1を補強。
表1に記載のブログ記事では、2021年~2024年に観測された攻撃のいくつかを詳説しています。
月 | 攻撃規模 | ブログ記事 |
2021年8月 | 17.2 Mrps | |
2022年4月 | 15 Mrps | |
2022年6月 | 2,600万rps | |
2023年2月 | 71 Mrps | |
2024年9月 | 3.8 Tbps | |
2024年10月 | 4.2 Tbps | |
2024年10月 | 5.6 Tbps |
表1. 2021年~2024年の間にCloudflareで観測された顕著なDDoS攻撃。
2018年のMemcached不正使用、2023年のHTTP/2「Rapid Reset」攻撃など、過去10年間に発生した他の重要な大量DDoS攻撃の概要は、Cloudflareラーニングセンターでご覧いただけます。
指標としての攻撃期間
その断続的な性質、同時に複数の攻撃ベクトルが用いられている可能性、または異なる防御層が経時的にトリガーされる在り方などにより、1度の攻撃の期間を特定するのは困難なため、攻撃の継続時間は有効な指標とはなり得ません。
攻撃パターンは大きく異なり、突出的に行われるからなるものもあれば、複数の緊密にグループ化された突出や、長期間にわたって継続的な負荷が維持されるなど、様々な変化する特性を特徴としています。
攻撃の仕掛けに使われたデバイスタイプの傾向
DDoS攻撃は、IoTベースのボットネットからより強力なVMベースのボットネットへの移行がますます進んでいます。この変化は主に、クラウドホスト型の仮想マシンの高い計算能力とスループット能力によるもので、攻撃者は遥かに少ないデバイスで大規模な攻撃を仕掛けることができるようになっています。
VMボットネットは、IoTボットネットよりも簡単に構築できます。攻撃者は、データ漏洩やMagecart攻撃から盗んだ決済情報を使ってクラウドプロバイダーのインフラストラクチャ上に匿名でデプロイできるため、マルウェアの広範な感染を必要とするわけではありません。
この傾向は、DDoS攻撃の手口が進化していることを示しています。つまり、攻撃者がVMの処理能力とクラウドリソースへの匿名アクセスの両方の悪用、より小規模で効率的なボットネットの悪用、そしてIoT端末群の感染と管理に関連する複雑性なしに大規模な攻撃を仕掛けることができるようになっているのです。
CloudflareはDDoS攻撃からの保護にどのように役立つか
Cloudflareの広大なエニーキャストグローバルネットワーク上に構築されたCloudflareのコネクティビティクラウドは、自動検出、トラフィック分散、迅速な応答機能を活用することで、DDoS攻撃からの防御において重要な役割を果たします。DDoS攻撃対策の強化は、次のように行われます:
攻撃の自動検出と軽減:CloudflareのDDoS攻撃対策は自動化に大きく依存しており、機械学習アルゴリズムを使って疑わしいトラフィックパターンをリアルタイムで特定します。Cloudflareは、検出プロセスを自動化することで、手動での介入を必要とすることなく、DDoS攻撃を迅速に認識してブロックすることができます。これは、人間の対応者を圧倒するような大量の攻撃では非常に重要になります。
IPエニーキャストによるグローバルなトラフィック分散:Cloudflareのネットワークは世界330都市以上に広がっており、DDoSトラフィックは複数のデータセンターに分散されます。IPエニーキャストによって、このグローバルネットワーク全体にトラフィックを分散できます。この広範な分散が、大規模攻撃の吸収と軽減に役立ちます。攻撃トラフィックは1つの地点に向けられるので、個々のサーバーやネットワークにかかる負担を軽減できます。
階層型の防御:Cloudflareのコネクティビティクラウドは、ネットワーク(第3層)、トランスポート(第4層)、アプリケーション(第7層)を含む、複数の層にわたる防御を提供します。この多層防御のアプローチによって、攻撃のタイプに応じてカスタマイズされた防御戦略が可能になり、複雑な多層攻撃も効果的に軽減できます。レイヤー3、4、7でのDDoS対策の詳細は、DDoS攻撃対策に関するドキュメントをご覧ください。
定額制のDDoS軽減:インターネットセキュリティの確保のために2017年からこのアプローチを開拓してきたCloudflareは、定額制のDDoS攻撃対策を提供しています。つまり、お客様は帯域幅やコストの制限を気にせずに攻撃を心配することなく保護されることになります。このアプローチにより、企業の規模や予算に関係なく、堅牢なDDoS攻撃対策のメリットを受けることができます。
Cloudflareの分散型クラウドインフラストラクチャと高度なテクノロジーにより、DDoS攻撃を検出、吸収、軽減できます。スケーラブルで応答性が高く、ダウンタイムを回避し、サービスの信頼性を維持できる、そして従来型の選択肢と比べ強度と頻度の高まりがみられるDDoS攻撃に対応する堅牢なソリューションを提供しています。
DDoS攻撃からの保護は、あらゆる規模の組織にとって不可欠です。この攻撃は人間が仕掛けるものの、実行はボットによって行われるため、効果的な防御にはボット主導の脅威に対抗する自動化ツールが必要です。リアルタイムの検出と軽減は、可能な限り自動化する必要があります。なぜなら、攻撃者が新しいバリアに適応し、攻撃ベクトル、トラフィックの動き、ペイロードの署名などを変更し、予測不可能なシナリオを作成する可能性があり、防御者が不利となり一部の手動設定が役に立たなくなる可能性があるからです。Cloudflareの自動化されたシステムは、お客様に代わってDDoS攻撃を継続的に特定してブロックし、個々のニーズに合わせた保護を実現します。
当社の使命は、より良いインターネットの構築を支援することであり、DDoS脅威の前でレジリエンスを提供することがその使命の達成の一部となっています。
CloudflareのDDoS攻撃保護の詳細については、公開している技術文書をご覧ください。