セキュリティのトレンド:あなた発のDDoS攻撃がインターネットを脅かす!?Inside-Out

DDoS攻撃といえば、典型的なサイバーインシデントの1つだが、最近はエンドユーザーを送信元とした攻撃が急増している。なぜ、そのようなことが起こるのか? 本稿では、最新のDDoS攻撃について解説する。

» 2022年07月22日 05時00分 公開
[堀高房IIJ]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

IoT機器を介したDDoS攻撃発生の仕組みとバックボーンへの影響 IoT機器を介したDDoS攻撃発生の仕組みとバックボーンへの影響
DDoS攻撃といえば、典型的なサイバーインシデントの1つだが、最近はエンドユーザーを送信元とした攻撃が急増している。なぜ、そのようなことが起こるのか?

IIJ

本記事は、株式会社インターネットイニシアティブの許可をいただき、「IIJ.news Vol.169」の「セキュリティのトレンド 2022 Spring IoT機器を介したDDoS攻撃発生の仕組みとバックボーンへの影響」(2022年4月号)を転載したものです。そのため、用字用語の統一ルールなどが、@ITのものと異なります。ご了承ください。


堀 高房 氏

執筆者プロフィール

堀 高房
IIJ 基盤エンジニアリング本部 基盤企画部 副部長
IIJバックボーンネットワークの運用に従事。


IoT機器を介したDDoS攻撃

 インターネット上では日々さまざまなインシデントが発生していますが、その一つにDDoS(Distributed Denial of Service)攻撃があります。

 「Distributed(分散)」という言葉通り、多数の送信元から大量の通信が送信先に流れ込み、WEBサーバが過負荷に陥って、正常に表示されなくなったり、ネットワークが輻輳(ふくそう)して(飽和状態になり)正常に通信できなくなるなど、大きな影響が出ます。

 DDoS攻撃と聞くと、被害に遭う送信先(攻撃対象)のことを気にしがちです。たしかに、これまではIIJのバックボーンで観測されるDDoS攻撃と思しき大量通信(以下、単にDDoS攻撃と記載)は、IIJのサービスをご利用いただいているお客さまが宛先になるケースが大半でした(それに備えるためのIIJ DDoSプロテクションサービスも提供しています)。

 しかし2021年夏頃から、IIJのサービス利用者であるお客さまが送信元、IIJの外部、つまりはインターネットが送信先となるDDoS攻撃が多数観測されるようになりました。

 その傾向は日を追って顕著になり、2021年11月、12月頃にはバックボーン内で輻輳が頻発するといった実害が無視できないレベルにまで達しました。

 では、なぜ送信先がIIJ内でないにもかかわらず、バックボーンに影響がおよぶのでしょうか。

 IIJは専用線、ブロードバンド、モバイルなどを介したインターネット接続サービスを提供していますが、それらに加えて国内の多くのISPに対してトランジットやアップストリームと呼ばれる上流回線を提供しています。

 送信元1つひとつの規模は小さくても、これらのISPで発生する通信が集約されてIIJに流れ込むと、最終的な規模は非常に大きくなります。

 実際、IIJでも数百Gbps規模のDDoS攻撃が日々観測されています。IIJのバックボーンはそれなりの規模があるので、数百Gbps程度であれば余裕を持って処理するキャパシティを有していますが、それが1箇所に集中するとなると、話は別です。

IoT機器を介したDDoS攻撃がバックボーンへ影響する理由 IoT機器を介したDDoS攻撃がバックボーンへ影響する理由
 

 インターネットは無数のISPが相互に接続することで成り立っていますが、個々のISP同士の接続帯域には限りがあります。運悪く、あまり帯域の広くないISP間の接続を大きな通信が経由すると、その接続は簡単に輻輳します。

 さらに、昨今発生しているDDoS攻撃は、送信先の多くが海外、しかも日本ではほとんど知られていないISPやサイトという特徴があります。

 ISPにとって上流回線はコストになりますので、通信量が多いISPとはIX(Internet eXchange)などを介して「ピアリング」と呼ばれる原則無料の相互接続を行なうことで上流回線への依存度を下げています。

 しかし、通信先が普段はほとんど流れない海外となると相互接続には向かず、そのまま上流回線に流れていくため、上流回線を提供するIIJのようなISPへの影響が大きくなります。

 また、IIJは海外にもネットワークを伸ばしていますが、日本とは高価な国際線で接続しているため、その帯域は日本国内と比較すると小さく、数百Gbpsの突発的な通信が特定の宛先向けに集中的に発生すると、どうしても輻輳しやすくなります。

 なお、昨今発生しているDDoS攻撃はIIJに限った事象ではなく、規模や影響は異なるものの、多くの国内ISPで同じように発生しているようです。

 その全ての原因が調査されているわけではありませんが、異常な通信を発生させている機器には、「セキュリティのトレンド:IoT機器がDDoS攻撃の踏み台に!? IoT機器の設定を確認しよう!」で紹介したネットワークカメラのような、いわゆるIoT機器が多数含まれていることがわかっており、それらが乗っ取られて Botnetに組み込まれ、悪意を持った攻撃者に制御されて攻撃に加担している可能性が考えられます。

エンドユーザが加害者にならないために

 ひとたび通信の輻輳が発生すると、IIJのネットワークを経由する全ての通信にその影響がおよぶため、その都度、状況を確認し、場合によっては約款にもとづいて緊急の通信制限などを行なうといった対処をとります。

Copyright© Digital Advantage Corp. All Rights Reserved.

@IT

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。