新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

4.2 Tbpsの悪性パケットとそれを超えるパケット:Cloudflareの第3四半期DDoSレポート

2024-10-23

9分で読了
この投稿はEnglish繁體中文FrançaisDeutsch한국어PortuguêsEspañol简体中文でも表示されます。

『Cloudflare DDoS脅威レポート第19版』へようこそ。四半期ごとに発表されるこのレポートでは、Cloudflareネットワーク全体で観測されたDDoS脅威発生の詳細分析を提供しています。本版は、2024年第3四半期に焦点を当てたものです。

世界330都市に296テラビット/秒(Tbps)のネットワークを展開するCloudflareは、全Webサイトのおよそ20%のリバースプロキシとして利用されています。Cloudflareは、独自の視点から広範なインターネットコミュニティに貴重なインサイトとトレンドを提供しています。

重要なインサイト 

  • 2024年第3四半期にDDoS攻撃数が急増。Cloudflareは600万件近くのDDoS攻撃を軽減。これは前四半期比49%増、前年同期比55%増となります。

  • この600万件のうち、Cloudflareの自律型DDoS防御システムが3テラビット/秒(Tbps)以上、20億パケット/秒(Bpps)を超える超大規模攻撃を200件以上検知し、対処しました。最大規模の攻撃はピーク時に4.2Tbpsで、わずか1分で終了しました。

  • 銀行・金融サービス業界が最も多くのDDoS攻撃の対象となりました。中国がDDoS攻撃の最多標的国であり、インドネシアが最大の攻撃元となっています。

DDoS攻撃やその他のタイプのサイバー脅威の詳細については、ラーニングセンターにアクセスするか、Cloudflareブログで過去のDDoS脅威レポートを読むか、当社のインタラクティブハブであるCloudflare Radarをご覧ください。これらのリソースやその他のインターネットトレンドの調査に興味のある方のために、無料のAPIもご用意しています。また、レポート作成の際に使われた方法についてもご覧いただけます。

超帯域幅消費型キャンペーン

2024年上半期、Cloudflareの自律型DDoS防御システムは、850万件(第1四半期に450万件、第2四半期に400万件)ものDDoS攻撃を自動的に検出し、軽減しました。第3四半期には約600万件のDDoS攻撃を軽減し、年間累計では1,450万件に達しています。これは、平均2,200件/時のDDoS攻撃に相当します。

Cloudflareが軽減したDDos攻撃の中には、1テラビット/秒(Tbps)または1ビリオンパケット/秒(Bpps)を超える超大規模なネットワーク層のDDoS攻撃が200件以上含まれていました。最大規模の攻撃はピーク時で3.8Tbpsと2.2Bppsでした。これらの攻撃と、当社のDDoS防御システムが自律的に攻撃を軽減した方法について、詳細をご覧ください

超帯域幅消費型DDoS攻撃の時間別分布

このブログ記事を書いている間にも、Cloudflareのシステムはこれらの大規模攻撃を検出し、軽減を続けています。先ほど、最後の情報開示からわずか3週間で新たな記録が再び更新されました。2024年10月21日、Cloudflareのシステムは自動で4.2TbpsのDDoS攻撃を検出し、1分程度で対処しました。

Cloudflareが自動で4.2TbpsのDDoS攻撃を軽減

DDoS攻撃の種類と特徴

600万件のDDoS攻撃のうち、半分はHTTP(アプリケーション層)DDoS攻撃で、残りの半分はネットワーク層DDoS攻撃でした。ネットワーク層DDoS攻撃は前四半期比51%増、前年比45%増、HTTP DDoS攻撃は前四半期比61%増、前年比68%増となりました。

攻撃期間

最大規模の攻撃を含め、DDoS攻撃の90%が非常に短時間なものでした。しかし、1時間以上続いた攻撃がわずかに増加(7%)しました。これらの長時間にわたる攻撃は、全攻撃の3%を占めていました。

攻撃ベクトル

第3四半期では、ネットワーク層のDDoS攻撃とHTTP DDoS攻撃がほぼ同じ割合で発生しました。ネットワーク層のDDoS攻撃のうち、SYNフラッドが攻撃ベクトルのトップで、DNSフラッド攻撃UDPフラッドSSDPリフレクション攻撃ICMPリフレクション攻撃がそれに続きます。

アプリケーション層でのHTTP DDoS攻撃のうち、72%が既知のボットネットによって開始されたもので、当社独自のヒューリスティックによって自動的に軽減されました。この72%の攻撃が当社で独自に開発したヒューリスティックで対処できたという事実は、当社が大規模なネットワークを運用することで得られる、観測した膨大なトラフィックと攻撃データを活用し、ボットネットに対する強固な防御を構築、テストして迅速に導入できるというメリットを示しています。

別の13%のHTTP DDoS攻撃が、疑わしい、または異常なHTTP属性と言う理由で軽減され、9%が、偽のブラウザによる(ブラウザの偽装者によって開始された)HTTP DDoS攻撃でした。残りの「その他」に分類された6%は、ログイン画面を狙った攻撃やキャッシュ破壊攻撃などが含まれます。

注意すべき点は、これらの攻撃ベクトルまたは攻撃グループは必ずしも排他的ではないということです。例えば、既知のボットネットもブラウザになりすまし、不審なHTTP属性を持ちますが、この分析はHTTP DDoS攻撃を分かりやすく分類するための最初の試みです。

2024年第3四半期におけるDDoS攻撃の内訳

第3四半期には、SSDPアンプ攻撃が前期比で4,000%増加しました。SSDP(Simple Service Discovery Protocol)攻撃は、UPnP(Universal Plug and Play)プロトコルを悪用した反射型のDDoSアンプ攻撃の一種です。攻撃者は、ルーター、プリンター、IP対応カメラなどの脆弱なUPnP対応デバイスにSSDPリクエストを送信し、送信元IPアドレスを被害者のIPアドレスに偽装します。これらのデバイスは、大量のトラフィックで被害者のIPアドレスに応答し、被害者のインフラストラクチャを圧倒します。この増幅効果により、攻撃者は小さなリクエストから大量のトラフィックを生成し、被害者のサービスをダウンさせます。この攻撃は、不要なデバイスのUPnPを無効にし、DDoS軽減戦略を使用することで防ぐことができます。

SSDPアンプ攻撃の図解

HTTP DDoS攻撃で使用されるユーザーエージェント

HTTP DDoS攻撃を仕掛ける際、攻撃者は検知を逃れるためにユーザーエージェントを偽装し、正規のブラウザやクライアントに見せかけることがあります。

第3四半期、HTTP DDoS攻撃トラフィックの80%がGoogle Chromeブラウザ(具体的には、Chromeのバージョン118、119、120、121)を偽装したものでした。

次点で多かったのはユーザーエージェントが設定されていないもので、HTTP DDoS攻撃トラフィック全体の9%を占めました。

3位と4位は、Goの標準ライブラリに含まれるHTTPクライアントGo-http-clientと高性能の代替手段fasthttpユーザーエージェントを使用した攻撃が確認されました。fasthttpは高速Webアプリケーションの構築に使用されますが、DDoS攻撃やWebスクレイピングにもよく使用されます。

DDoS攻撃で使用される主なユーザーエージェント

5位には、Erlang向けのHTTPクライブラリであるhackneyがランクインしています。これは、HTTPリクエストを行うために使用され、Erlang/Elixirのエコシステムで人気があります。

6位には、興味深いユーザーエージェントHITV_ST_PLATFORMがランクインしています。このユーザーエージェントは、スマートTVやセットトップボックスに関連するものですが、サイバー攻撃においてChromeユーザーエージェントが頻繁に使用されることからもわかるように、脅威アクターは通常、一般的でないユーザーエージェントの使用を避けます。したがって、HITV_ST_PLATFORMの存在は、問題のデバイスが実際に侵害されたスマートTVまたはセットトップボックスである可能性が高いことを示しています。

7位にランクインしたのは、uTorrentユーザーエージェントです。このユーザーエージェントは、ファイルのダウンロードに使用される人気のBitTorrentクライアントに関連するものです。

最後に、JavaおよびAndroidアプリケーションのHTTPクライアントとしてよく使われるOkhttpも見られましたが、DDoS攻撃での使用頻度では最下位でした。 

HTTP攻撃の属性

HTTP DDoS攻撃トラフィックの89%がGETメソッドを使用していましたが、これは最も一般的に使用されるHTTPメソッドでもあります。そのため、攻撃リクエスト数を各HTTPメソッドごとのリクエスト総数で割って攻撃リクエストを正規化すると、異なる傾向が見られます。

全リクエストのうちDELETEメソッドを使ったものの約12%がDDoS攻撃に関わっていました。DELETEの次に多かったのはHEAD、PATCH、そしてGETメソッドで、これらもDDoS攻撃リクエストでよく使用されていました。

DDoS攻撃リクエストの80%がHTTP/2、19%がHTTP/1.1で送信されましたが、各バージョンごとの全トラフィックで割合を調整すると、これらははるかに小さい割合になります。これらをバージョンごとの総トラフィックで正規化すると、異なる傾向が見られます。非標準または誤ってラベル付けされた「HTTP/1.2」バージョンへのトラフィックの半数以上が、DDoS攻撃に関連する悪意のあるものでした。なお、「HTTP/1.2」は正式なプロトコルのバージョンではありません。

HTTP DDoS攻撃の大部分(ほぼ94%)がHTTPSを使用して実際に暗号化されています。

DDoS攻撃の標的

最も攻撃された場所

2024年第3四半期に最も攻撃を受けたのは中国でした。2位はアラブ首長国連邦、3位は香港、4位はシンガポール、ドイツ、ブラジルが僅差で続きました。

7位はカナダ、8位は韓国、9位は米国、10位は台湾と続きました。

攻撃対象となった業種上位

2024年の第3四半期には、銀行・金融サービス業が最もDDoS攻撃の標的となりました。2位は情報技術・サービス、3位が電気通信、サービスプロバイダー、通信事業者でした。

続いて、暗号資産、インターネット、ギャンブルおよびカジノ、ゲーミングが最も標的とされた業界となりました。最も攻撃された上位10の業界は、家電業界、建設・土木、小売業界でした。

DDoS攻撃の発生源

脅威アクター

ここ数年、私たちはDDoS攻撃の被害に遭ったお客様を対象にアンケート調査を実施しています。この調査では、攻撃の性質や脅威アクターなど、さまざまな要素を対象としています。脅威アクターについては、調査回答者の80%が「誰に攻撃されたかわからない」と答えたのに対し、20%が「知っている」と回答しています。この脅威アクターの内訳は、32%が「恐喝者」、25%が「競合他社からの攻撃」、21%が「不満を抱いた顧客やユーザーが攻撃の背後にある攻撃」、14%が「国家または国家が支援するグループによって行われた攻撃」と回答しています。最後に、7%が誤って自分自身を攻撃したと回答しています。自分自身をDDoS攻撃してしまう例として、IoTデバイスのファームウェアのアップデートが挙げられ、これによりすべてのデバイスが同時に接続しようとして、トラフィックが集中するケースです。

上位脅威アクターの内訳

最も一般的な脅威アクターは「恐喝者」でしたが、全体として、ランサムDDoS攻撃の報告は前四半期比で42%減(前年比では17%増)となりました。回答者の7%が、ランサムDDoS攻撃を受けた、または攻撃者から脅迫されたと報告しています。しかし、8月にはこの数値は10%に上昇しました。これは10人に1人が脅威にさらされたことになります。

ランサムDDoS攻撃の四半期別レポート

DDoS攻撃の主な発信元

2024年第3四半期、DDoS攻撃の最大の発生源はインドネシアでした。次いで、オランダ、ドイツ、アルゼンチン、コロンビアが続きました。

さらに、シンガポール、香港、ロシア、フィンランド、ウクライナが発信元の上位にランクインしました。

DDoS攻撃の主な発信元ネットワーク

ネットワークおよびインフラストラクチャを運用するサービスプロバイダーにとって、DDoS攻撃を引き起こすなどの悪意のある意図でインフラストラクチャを使用している人物を特定することは、困難な場合があります。このため、当社ではネットワーク事業者に、無料の脅威インテリジェンスフィードを提供しています。このフィードでは、サービスプロバイダーに対し、同じネットワーク内から確認されたDDoS攻撃に関与するIPアドレス情報を提供しています。

2024年第3四半期におけるHTTP DDoS攻撃の最大の発信元は、ドイツに拠点を置くITプロバイダーであるHetzner(AS24940)でした。2位は、2022年にAkamaiによって買収されたクラウドコンピューティングプラットフォームLinode(AS63949)、3位はフロリダ州を拠点とするサービスプロバイダーVultr(AS64515)でした。

4位はドイツを拠点とするもう1つのITプロバイダー、Netcup(AS197540)でした。続いて5位にGoogle Cloud Platform(AS15169)、6位にDigitalOcean(AS14061)が続き、フランスのプロバイダーOVH(AS16276)Stark Industry(AS44477)Amazon Web Services(AS16509)Microsoft(AS8075)がそれぞれランクインしています。

2024年第3四半期にHTTP DDoS攻撃の最大の発生源となったネットワーク

記事の要点

今四半期は、超帯域幅消費DDoS攻撃がかつてないほど急増し、その勢いはピーク時に3.8 Tbpsと2.2 Bppsに達するほどでした。これは、HTTP/2 Rapid Resetキャンペーンによりアプリケーション層攻撃が2億リクエスト/秒(Mrps)を超えた、前年の同期間と同様の動きです。これらの大規模な攻撃は、インターネットプロパティ、特に容量に限りのあるクラウドサービスやオンプレミスのソリューションに依存するプロパティを圧倒する可能性があります。

地政学的緊張と世界的な出来事を背景に、強力なボットネットの使用が加速し、リスクにさらされる組織の範囲が拡大しています。その多くは従来、DDoS攻撃の主要な標的とは考えられていませんでした。残念ながら、攻撃によって深刻な被害が出た後になってからDDoS攻撃対策を導入する企業が多いのが現状です。

この調査結果から、十分に対策を講じた包括的なセキュリティ戦略を持つ企業は、こうしたサイバー脅威に対する耐性が遥かに高いことが確認できました。Cloudflareでは、お客様のインターネット稼働を保護することに全力を尽くしています。私たちは自動防御システムへの投資と多彩なセキュリティ製品の提供を通じて、今ある脅威や将来のリスクに対する予防的な保護を実現し、安心してご利用いただける環境を提供しています。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
DDoS ReportsDDoSAdvanced DDoSCloudflare RadarAttacks

Xでフォロー

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

関連ブログ投稿

2024年11月20日 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

2024年11月06日 8:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....