新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

2024年第1四半期DDoS脅威レポート

2024-04-16

9分で読了
この投稿はEnglish繁體中文FrançaisDeutsch한국어PortuguêsEspañol简体中文でも表示されます。

CloudflareのDDoSレポート第17版へようこそ。本版では、2024年第1四半期中にCloudflareネットワークで観測された主な調査結果に基づき、DDoS脅威の状況をまとめています。

DDoS threat report for 2024 Q1

DDoS攻撃とは?

まず、簡単におさらいしておきましょう。DDoS攻撃は分散型サービス妨害攻撃の略で、Webサイトやモバイルアプリなどのインターネットサービスをダウンさせたり中断させたりし、ユーザーが利用できないようにすることを目的としたサイバー攻撃の一種です。DDoS攻撃は通常、被害者のサーバーの処理能力を超えるトラフィックであふれさせることで行われます。

DDoS攻撃やその他の種類の攻撃の詳細は、弊社ラーニングセンターをご覧ください。

過去レポートの閲覧

以前発行したDDoS脅威レポートは、Cloudflareのブログより簡単に参照いただけます。また、弊社で開設しているインタラクティブなハブ、Cloudflare Radarでもご覧いただけます。Radarでは、絞り込み機能により、インターネットのトラフィック、攻撃、テクノロジーのグローバルトレンド情報とその洞察を絞り込んで見つけられ、特定の国や業界、ネットワークについてクローズアップして情報を得られます。世界中のインターネットの動向の調査を可能にする、学者、データ科学者、その他Web愛好家のための無料APIも用意しています。

本レポートの作成方法の詳細は、「メソドロジー」を参照してください。

2024年第1四半期の主な洞察

2024年第1四半期の主な洞察は、以下の通りです。

  • 2024年は、驚異的な数字と共に幕開けとなりました。Cloudflareの自律システムは、今年の第1四半期に450万件以上のDDoS攻撃を軽減しました。この数字は、前年比で50%の増加に当たります。

  • DNSベースのDDoS攻撃は前年比で80%増となり、依然として最も顕著な攻撃ベクトルとなっています。

  • スウェーデンへのDDoS攻撃は、NATO加盟後に466%と大幅に増加し、2023年のフィンランドのNATO加盟時に観察されたパターンが踏襲されています。

驚異的な数字と共に幕開けとなった2024年

この記事の執筆時点で2024年第1四半期が過ぎたばかりとなる中、すでに弊社の自動防御は450万件のDDoS攻撃を軽減しています。この数値は、2023年に軽減したすべてのDDoS攻撃の32%に相当します。

攻撃タイプ別に見た場合、HTTP DDoS攻撃が前年比で93%増、前四半期比で51%増となりました。ネットワークレイヤーでのDDoS攻撃(L3/4 DDoS攻撃)は、前年比28%増、前四半期比5%増となりました。

2024 Q1: Cloudflare mitigated 4.5 million DDoS attacks

HTTP DDoS攻撃とL3/4 DDoS攻撃の合計数を比較すると、2024年第1四半期には件数が前年比50%増、前四半期比18%増となったことが分かります。

DDoS attacks by year and quarter

DDoS attacks by year and quarter

弊社システムは、第1四半期に合計10.5兆件のHTTP DDoS攻撃リクエストを軽減しました。また、ネットワークレイヤーだけで、59ペタバイトを超えるDDoS攻撃トラフィックを軽減しました。

ネットワークレイヤーのDDoS攻撃は、その多くが毎秒1テラビットを超える攻撃であり、ほぼ毎週行われていました。2024年に弊社が軽減した最大の攻撃は、Mirai派生型のボットネットによるものでした。この攻撃は2 Tbpsに達し、Cloudflare Magic Transitで保護されたアジアのホスティングプロバイダーを標的としていました。Cloudflareのシステムは、これらの攻撃を自動的に検出、そして軽減してきました。

大規模なDDoS攻撃でその悪名をとどろかせているMiraiボットネットは、主に感染したIoTデバイスで構成されていました。DNSサービスプロバイダーを標的とし、2016年に米国全体でインターネットアクセスを著しく混乱させたのが顕著な実例となっています。約8年が経った今でも、Mirai攻撃は依然として非常に頻繁に発生しています。HTTP DDoS攻撃の100件に4件、L3/4 DDoS攻撃の100件に2件はMirai派生型ボットネットによるものとなっています。「派生型」との呼び方は、Miraiのソースコードが公開されていることにより、長年にわたって当初のものに多くの変更が行われてきた背景によるものです。

Mirai botnet targets Asian hosting provider with 2 Tbps DDoS attack

Mirai botnet targets Asian hosting provider with 2 Tbps DDoS attack

DNS攻撃が80%急増

2024年3月、弊社は最新のDDoS防御システムの1つとしてAdvanced DNS Protectionシステムを導入しました。このシステムは既存システムを補完するものであり、最高水準の高度さのDNSベースのDDoS攻撃から保護するように設計されています。

この新システムへの投資判断は、突然のものではありませんでした。DNSベースのDDoS攻撃は最も顕著な攻撃ベクトルとなっており、ネットワークレイヤーへの全攻撃の中での割合が増加し続けています。2024年第1四半期、DNSベースのDDoS攻撃の割合は前年比で80%増加し、約54%にまで成長しました。

DNS-based DDoS attacks by year and quarter

DNS-based DDoS attacks by year and quarter

DNS攻撃が急増する一方、あらゆるタイプのDDoS攻撃が全体的に増加していることにより、各攻撃タイプの割合は2023年最終四半期の前回のレポートで見られる通り37%にとどまっている点が注目に値します。DDoS攻撃全体のうち、HTTP DDoS攻撃は37%のままとなっており、DNS DDoSが33%、残りの30%がSYNフラッドUDPフラッドなど、他のあらゆるタイプのL3/4攻撃となっています。

Attack type distribution

Attack type distribution

実際、SYNフラッドはL3/4攻撃の中で2番目に多い攻撃となっています。3位に来たのは、RSTフラッドと呼ばれるもう1つのタイプのTCPベースのDDoS攻撃でした。UDPフラッドは、6%を占め4位になりました。

Top attack vectors

Top attack vectors

最もよく見られる攻撃ベクトルの分析時、最大の増加が見られたものの必ずしも上位10位に入っていない攻撃ベクトルもチェックしています。最も増加が激しい攻撃ベクトル(新興する脅威)の中では、Jenkinsフラッドが前四半期比826%以上と最大の増加率を記録しました。

Jenkinsフラッドは、Jenkins自動化サーバーの脆弱性、特にUDPマルチキャスト/ブロードキャストサービスおよびDNSマルチキャストサービスを悪用するDDoS攻撃です。攻撃者は、Jenkinsサーバーの公開UDPポートに小さく作成したリクエストを送信し、不当に大量のデータで応答するように仕向けます。これにより、トラフィック量が大幅に増幅されることで標的のネットワークが圧倒され、サービスの中断につながる可能性があります。Jenkinsは2020年にこの脆弱性(CVE-2020-2100)に対応し、それ以降のバージョンでは既定値としてこのサービスを無効にすることにより対応済みとなりました。しかし、4年が経過した現在でもこの脆弱性はDDoS攻撃に悪用され続ける状況が続いています。

Attack vectors that experienced the largest growth QoQ

Attack vectors that experienced the largest growth QoQ

HTTP/2 CONTINUATIONフラッド

もう一つの攻撃ベクトルとして、HTTP/2 Continuationフラッドがあります。この攻撃ベクトルは、研究者のBartek Nowotarski氏によって発見され、2024年4月3日に公開された脆弱性によって存在することになりました。

HTTP/2 Continuationフラッドの脆弱性は、HEADERSと複数のCONTINUATIONフレームを不適切に処理するHTTP/2プロトコルの実装を狙ったものです。脅威アクターは、END_HEADERSフラグを持たずにCONTINUATIONフレームシーケンスを送信するため、メモリ不足クラッシュやCPU枯渇といったサーバー問題が発生する可能性があります。HTTP/2 Continuationフラッドでは、1台のマシンでもHTTP/2を使用するWebサイトとAPIを停止させられます。しかも、HTTPアクセスログにリクエストが表示されないため、検出が困難なのが課題となっています。

この脆弱性は、これまで知られてきたHTTP/2 Rapid Resetが観測史上最大級のHTTP/2 DDoS攻撃キャンペーンを引き起こす結果となった一方、これよりも深刻な被害をもたらす可能性があります。このキャンペーン中、何千もの超帯域幅消費DDoS攻撃がCloudflareを標的としました。その攻撃は、毎秒数百万リクエストと強力なものでした。Cloudflareが記録したこのキャンペーンにおける平均攻撃速度は、3,000万rpsでした。およそ89%の攻撃がピーク時に1億rpsを超え、最大で2億100万rpsを記録しました。2023年第3四半期版DDoS脅威レポートで、より詳しい内容を公開しています。

2023年第3四半期における超帯域幅消費型DDoS攻撃のHTTP/2 Rapid Resetキャンペーン

HTTP/2 Rapid Reset campaign of hyper-volumetric DDoS attacks in 2023 Q3

Cloudflareのネットワーク、HTTP/2の実装、WAF/CDNサービスをご利用のお客様は、この脆弱性の影響を受けることがありません。さらに、この脆弱性を悪用した脅威アクターは現在確認されていません。

この脆弱性の影響を受けるHTTP/2の数々の実装において、複数のCVEが割り当てられています。Bleeping Computerでも取り上げられた、カーネギーメロン大学のChristopher Cullen氏が発表したCERTアラートに、これらのCVEが列挙されています。

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Affected service CVE Details
Node.js HTTP/2 server CVE-2024-27983 Sending a few HTTP/2 frames can cause a race condition and memory leak, leading to a potential denial of service event.
Envoy's oghttp codec CVE-2024-27919 Not resetting a request when header map limits are exceeded can cause unlimited memory consumption which can potentially lead to a denial of service event.
Tempesta FW CVE-2024-2758 Its rate limits are not entirely effective against empty CONTINUATION frames flood, potentially leading to a denial of service event.
amphp/http CVE-2024-2653 It collects CONTINUATION frames in an unbounded buffer, risking an out of memory (OOM) crash if the header size limit is exceeded, potentially resulting in a denial of service event.
Go's net/http and net/http2 packages CVE-2023-45288 Allows an attacker to send an arbitrarily large set of headers, causing excessive CPU consumption, potentially leading to a denial of service event.
nghttp2 library CVE-2024-28182 Involves an implementation using nghttp2 library, which continues to receive CONTINUATION frames, potentially leading to a denial of service event without proper stream reset callback.
Apache Httpd CVE-2024-27316 A flood of CONTINUATION frames without the END_HEADERS flag set can be sent, resulting in the improper termination of requests, potentially leading to a denial of service event.
Apache Traffic Server CVE-2024-31309 HTTP/2 CONTINUATION floods can cause excessive resource consumption on the server, potentially leading to a denial of service event.
Envoy versions 1.29.2 or earlier CVE-2024-30255 Consumption of significant server resources can lead to CPU exhaustion during a flood of CONTINUATION frames, which can potentially lead to a denial of service event.

影響を受けたサービス

CVE

Top attacked industries by HTTP DDoS attacks, by region

詳細

Node.js HTTP/2サーバー

Top attacked industries by HTTP DDoS attacks

CVE-2024-27983

HTTP/2フレームをいくつか送信すると、競合状態とメモリリークが発生し、サービス拒否イベントにつながる可能性があります。

Top attacked industries by L3/4 DDoS attacks

Envoyのoghttpコーデック

CVE-2024-27919

Top attacked industries by HTTP DDoS attacks (normalized)

ヘッダーマップの制限を超えたときにリクエストをリセットしない場合、無制限のメモリ消費の原因となり、サービス拒否イベントにつながる可能性があります。

Tempesta FW

Top attacked industries by L3/4 DDoS attacks (normalized)

CVE-2024-2758

当該のレート制限は、空のCONTINUATIONフレームフラッドに対しては完全に効果的ではなく、サービス拒否イベントにつながる可能性があります。

amphp/http

CVE-2024-2653

The top sources of HTTP DDoS attacks

CONTINUATIONフレームを制限のないバッファに収集するため、ヘッダーのサイズ制限を超えるとメモリ不足(OOM)でクラッシュするリスクがあり、サービス拒否イベントにつながる可能性があります。

Goのnet/httpとnet/http2パッケージ

CVE-2023-45288

The top sources of L3/4 DDoS attacks

攻撃者が故意に大きいヘッダーセットを送信できるようにすることで過剰なCPU消費を引き起こし、サービス拒否イベントにつながる可能性があります。

nghttp2ライブラリ

The top sources of HTTP DDoS attacks (normalized)

CVE-2024-28182

CONTINUATIONフレームワークを受信し続けるnghttp2ライブラリを使用した実装が含まれ、適切なストリームリセットコールバックがない場合、サービス拒否イベントにつながる可能性があります。

The top sources of L3/4 DDoS attacks (normalized)

Apache Httpd

CVE-2024-27316

END_HEADERSフラグが設定されていない大量のCONTINUATIONフレームが送信される可能性があり、結果としてリクエストが適切に終了せず、サービス拒否イベントにつながる可能性があります。

Top attacked countries and regions by HTTP DDoS attacks

Apache Traffic Server

CVE-2024-31309

Top attacked countries and regions by HTTP DDoS attacks (normalized)

HTTP/2 CONTINUATIONフラッドがサーバーで過剰なリソース消費を引き起こし、サービス拒否イベントにつながる可能性があります。

Envoy(バージョン 1.29.2以前)

Top attacked countries and regions by L3/4 DDoS attacks

CVE-2024-30255

大量のサーバーリソースを消費すると、CONTINUATIONフレームワークが溢れてCPUが枯渇し、サービス拒否イベントにつながる可能性があります。

Top attacked countries and regions by L3/4 DDoS attacks (normalized)

攻撃対象となった業種上位

弊社では、攻撃の統計分析時、弊社システムに記録されているお客様の業種に基づきし最も攻撃された業界を特定します。2024年第1四半期、北米でHTTP DDoS攻撃を受けた上位の業種はマーケティングと広告業界でした。アフリカとヨーロッパでは、情報技術およびインターネット業界が最も攻撃を受けました。中東では、最も攻撃された業界はコンピューターソフトウェアでした。アジアで最も攻撃を受けたのは、ゲーミングおよびギャンブル業界でした。南米では、銀行·金融サービス·保険BFSI業界となりました。最後に、オセアニアでは、電気通信業界が標的となりました。

HTTP DDoS攻撃の標的となった業界上位(地域別)

世界的には、HTTP DDoS攻撃で最も標的とされたのはゲーミングおよびギャンブル業界でした。Cloudflareが軽減したDDoSリクエストの100件中7件強が、ゲーミングおよびギャンブル業界を標的としていました。次いで2位は情報技術·インターネット業界、3位はマーケティング·広告でした。

HTTP DDoS攻撃の標的となった業界上位

ネットワークレイヤーのDDoS攻撃バイト数は全体の75%を占め、情報技術およびインターネット業界が最大の標的となりました。この割合の大きさの理由の1つに、情報技術およびインターネット企業が攻撃の「スーパーアグリゲーター」であり、実際にエンドカスタマーを標的とするDDoS攻撃を受けている点が挙げられます。次いで、電気通信業界、銀行·金融サービス·保険BFSI業界、ゲーミングおよびギャンブル業界、コンピューターソフトウェア業界が3%を占めました。

L3/4 DDoS攻撃の標的となった業界上位

攻撃トラフィックをある業界の総トラフィックで割り戻してデータを平準化すると、まったく異なる状況が見えてきます。HTTPの面では、トラフィックの40%以上がHTTP DDoS攻撃トラフィックであり、最も攻撃された業界は法律事務所と法務サービスでした。バイオテクノロジー業界では、HTTP DDoS攻撃トラフィックの20%を占め、2位となりました。3位は非営利団体で、HTTP DDoS攻撃割合は13%でした。4位から上位10位までは、航空·宇宙、運輸、卸売、政府関係、映画、公共政策、アダルトエンターテイメントと続きました。

HTTP DDoS攻撃の対象となった業界上位(平準化後)

ネットワークレイヤーに話を戻すと、平準化後の数値からみると情報技術とインターネットでトラフィックのほぼ3分の1が攻撃となっており、L3/4 DDoS攻撃によって最も標的とされる業界の筆頭となりました。2位はテキスタイルで、攻撃率は4%でした。3位は土木、続いて銀行金融サービス·保険BFSI、軍事、建設、医療機器、防衛·宇宙、ゲーミング·ギャンブル、小売でトップ10が占められました。

L3/4 DDoS攻撃で攻撃された上位の業界正規化

DDoS攻撃の最大の発信元

HTTP DDoS攻撃のソースを分析する際、弊社ではソースIPアドレスを見てこれらの攻撃の発信場所を特定しています。攻撃の大きな発信源である国および地域では、仮想プライベートネットワーク(VPN)の背後にボットネットノードが存在する可能性が高いこと、または攻撃者が自らの身元を難読化するために使用するプロキシエンドポイントが存在する可能性が高いことが示されています。

2024年第1四半期の前半、DDoS攻撃リクエスト全体の5分の1が米国のIPアドレスから発信されており、HTTP DDoS攻撃トラフィックの最大の発生源となっていました。2位は中国、続いてドイツ、インドネシア、ブラジル、ロシア、イラン、シンガポール、インド、アルゼンチンとなりました。

HTTP DDoS攻撃の主な発信元

ネットワークレイヤーでは、送信元IPアドレスはスプーフィングされます。そこで、IPアドレスを使用してソースを把握する代わりに、攻撃トラフィックが取り込まれたデータセンターの場所を使用します。Cloudflareは世界310都市以上にわたり世界的にサービスを展開しているため、地理的な正確性を把握できるのです。

弊社のデータセンターのロケーションから判断することで、2024年第1四半期にL3/4 DDoS攻撃トラフィックの40%以上が米国データセンターで取り込まれ、米国がL3/4攻撃の最大の発信元となっていることがわかります。それには遠く及ばないものの、ドイツが6%、さらにブラジル、シンガポール、ロシア、韓国、香港、英国、オランダ、日本と続いています。

L3/4 DDoS攻撃の主な発信元

攻撃トラフィック数を特定の国または地域への総トラフィック数で割り戻してデータを平準化すると、まったく異なる様相となります。ジブラルタルから発信されたHTTPトラフィックのほぼ3分の1がDDoS攻撃トラフィックであり、割合で見た場合の最大の発信元となっています。2位はセントヘレナ、以下、英領バージン諸島、リビア、パラグアイ、マヨット、赤道ギニア、アルゼンチン、アンゴラと続きました。

HTTP DDoS攻撃の上位ソース(平準化後)

ネットワークレイヤーに戻って平準化すると、様相は大きく変わります。ジンバブエを拠点とするデータセンターで受信したトラフィックのほぼ89%がL3/4 DDoS攻撃でした。パラグアイでは56%を超え、モンゴルでは攻撃割合が35%近くに達しました。その他、モルドバ、コンゴ民主共和国、エクアドル、ジブチ、アゼルバイジャン、ハイチ、ドミニカ共和国などが上位を占めました。

L3/4 DDoS攻撃の上位要因(平準化後)

最も攻撃の対象となった場所

弊社のお客様に対するDDoS攻撃の分析時、請求先の国から「攻撃を受けた国または地域」を判断します。2024年第1四半期、HTTP DDoS攻撃で最も対象となったのは米国でした。Cloudflareが軽減したDDoSリクエストのおよそ10件に1件が米国を標的としていました。2位は中国、以降カナダ、ベトナム、インドネシア、シンガポール、香港、台湾、キプロス、ドイツと続きました。

HTTP DDoS攻撃で攻撃された上位の国と地域

攻撃トラフィック数を特定の国または地域への総トラフィック数で割り戻してデータを平準化すると、順位は大幅に変化します。ニカラグアへのHTTPトラフィックの63%以上がDDoS攻撃トラフィックであり、最も攻撃された場所となっています。2位はアルバニア、以降ヨルダン、ギニア、サンマリノ、グルジア、インドネシア、カンボジア、バングラデシュ、アフガニスタンと続きました。

HTTP DDoS攻撃で最も攻撃された国と地域正規化

ネットワークレイヤーでは、2024年第1四半期にCloudflareが軽減した全DDoSバイトの39%がCloudflareの中国のお客様を標的としたものであり、中国が攻撃対象の第1位となりました。2位は香港、続いて台湾、米国、ブラジルとなっています。

L3/4 DDoS攻撃の対象となった国と地域上位

ネットワークレイヤーを再び見てみると、平準化後には香港が最も標的となった場所でした。香港向けトラフィック全体の78%以上をL3/4 DDoS攻撃トラフィックが占めていました。2位は中国でDDoS割合は75%、次いでカザフスタン、タイ、セントビンセントおよびグレナディーン諸島、ノルウェー、台湾、トルコ、シンガポール、ブラジルと続きました。

L3/4 DDoS攻撃で最も対象となった国と地域(平準化後)

Cloudflareは攻撃のタイプ、規模、持続時間にかかわらず、お客様を支援いたします

Cloudflareの使命は、より良いインターネット、つまり、安全かつ高性能、そして誰もがアクセスできるインターネットの構築の支援です。HTTP DDoS攻撃の10件に4件が10分以上、およそ10件に3件が1時間以上にわたるものとなっている中、攻撃の規模は大きなものとなります。しかし、攻撃の10件に1件の割合となている毎秒10万リクエストであれ、さらには攻撃1,000回にわずか4回しか見られないケースとなる1秒あたり100万リクエストを超える場合であれ、Cloudflareの防御は破られるものではありません。

2017年に定額制のDDoS攻撃対策を提供しはじめて以来、Cloudflareは、すべての組織にエンタープライズグレードのCloudflareDDoS攻撃対策を無償で提供するとの約束を堅持してきました。弊社の高度な技術と堅牢なネットワークアーキテクチャが、攻撃を防ぐだけでなく、妥協のないパフォーマンスも維持しています。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
DDoS ReportsMiraiCloudflare RadarDDoSAttacksDNS FloodTrends

Xでフォロー

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

関連ブログ投稿

2024年11月20日 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

2024年11月06日 8:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....