2025年5月中旬、Cloudflareは1秒あたり7.3テラビット(Tbps)という驚異的な規模で、史上最大のDDoS攻撃をブロックしました。これは、2025年4月27日に2025年第1四半期のDDoS脅威レポートを発表した直後に発生したもので、このレポートでは6.5Tbpsに達し、48億パケット/秒(pps)に達する攻撃が強調されています。この7.3Tbpsの攻撃は、それまでの記録より12%大きく、KrebsOnSecurityでサイバーセキュリティアナリストのBrian Krebs氏が報告した最近の攻撃よりも1Tbps大きいものです。
新世界記録:Cloudflareが自律的にブロックした7.3TbpsのDDoS攻撃
この攻撃の標的となったのは、IPネットワークを防御するためにMagic Transitを使用しているCloudflareの顧客のホスティングプロバイダーです。最新のDDoS脅威レポートで報告したように、ホスティングプロバイダーや重要なインターネットインフラがDDoS攻撃の標的となるケースが増えています。下の写真は2025年1月~2月に行われた攻撃キャンペーンで、CloudflareのインフラとCloudflareが保護するホスティングプロバイダーに対して1,350万件を超えるDDoS攻撃を仕掛けたものです。
Cloudflareが保護するCloudflareのインフラとホスティングプロバイダーを標的にしたDDoS攻撃キャンペーン
まずは統計データから始めて、次に当社のシステムがこの攻撃をどのように検出し、軽減したのかを掘り下げていきましょう。
7.3Tbpsの攻撃は45秒で37.4テラバイトを送信
37.4テラバイトは、現在の規模では驚異的な数字ではありませんが、わずか45秒で37.4テラバイトを転送することは驚異的だと言えます。これは、9,350本以上のフルHD映画でネットワークを氾濫させるのと同等であり、わずか45秒で7,480時間の高解像度動画をノンストップでストリーミングすることに相当します(これは、ほぼ1年分の連続視聴に相当します)。音楽であれば、1分以内に約935万曲をダウンロードでき、57年間ずっとリスナーを楽しませ続けることができます。スマートフォンで1,250万枚の高解像度写真を撮影しても、ストレージが不足することはありません。たとえ毎日1枚撮影しても、4,000年間撮り続けることになりますが、それが45秒で実現します。
記録的な7.3TbpsのDDoS攻撃は、45秒で37.4TBを送信
この攻撃は、顧客が所有し使用する1つのIPアドレスに対して、平均21,925の宛先ポートを絨毯爆撃し、ピーク時には毎秒34,517の宛先ポートに達しました。攻撃はまた、類似した送信元ポートの分布から発生しました。
宛先ポートの分布
7.3Tbpsの攻撃は、マルチベクトルDDoS攻撃でした。攻撃トラフィックの約99.996%がUDPフラッドと分類されました。しかし、残りの0.004%は攻撃トラフィックの1.3GBを占めており、QOTDリフレクション攻撃、エコーリフレクション攻撃、NTPリフレクション攻撃、Mirai UDPフラッド攻撃、ポートマップフラッド、RIPv1アンプ攻撃として識別されました。
UDPフラッド以外の攻撃ベクトル
以下に、この攻撃で観察されたさまざまな攻撃ベクトル、組織がリフレクションおよびアンプリフィケーションの参加者になることを避ける方法、そして正当なトラフィックへの影響を避けつつこれらの攻撃を防御するための推奨事項を示します。Cloudflareは、これらの攻撃から保護します。
UDP DDoS攻撃
タイプ : フラッド
仕組み: ターゲットIPアドレスのランダムまたは特定のポートに大量のUDPパケットが送信されます。インターネットリンクを飽和させたり、処理能力を超えるパケットでインライン機器を圧倒したりする可能性があります。
攻撃からの防御方法:クラウドベースの帯域幅消費型DDoS攻撃対策をデプロイし、UDPトラフィックにスマートレート制限を適用し、不要なUDPトラフィックを完全にドロップします。
意図しない影響の回避方法:積極的なフィルタリングは、VoIP、ビデオ会議、オンラインゲームなどの正当なUDPサービスを中断する可能性があります。しきい値を慎重に適用してください。
QOTD DDoS攻撃
タイプ:リフレクション+アンプリフィケーション
仕組み:UDPポート17でリッスンし、短い引用符またはメッセージで応答するQuote of the Day(QOTD)プロトコルを悪用します。攻撃者は、偽装されたIPアドレスから公開されたサーバーにQOTDリクエストを送信し、増幅された応答で被害者を圧倒します。
リフレクション/増幅要素になるのを防ぐ方法:QOTDサービスを無効にし、すべてのサーバーとファイアウォールでUDP/17をブロックします。
攻撃からの防御方法:受信UDP/17をブロックします。異常な小パケットUDPリクエストのスパイクを排除します。
意図しない影響の回避方法: QOTDは時代遅れの診断/デバッグプロトコルであり、最新のアプリケーションでは使用されていません。それを無効化しても、正当なサービスに悪影響を与えることはありません。
Echo DDoS攻撃
タイプ:リフレクション+アンプリフィケーション
仕組み: 受信したデータと同じデータで応答するEchoプロトコル(UDP/TCPポート7)を悪用します。攻撃者は被害者のIPアドレスを偽装し、デバイスにデータを反射させて攻撃を増幅します。
リフレクション/増幅の要素になるのを防ぐ方法:すべてのデバイスでEchoサービスを無効にします。エッジでUDP/TCPポート7をブロックします。
攻撃からの防御方法:Echoサービスを無効にし、ネットワーク境界でTCP/UDPポート7をブロックします。
意図しない影響の回避方法:Echoは時代遅れの診断ツールです無効にしたりブロックしたりしても、現代のシステムに悪影響を与えることはありません。
NTP DDoS攻撃
タイプ:リフレクション+アンプリフィケーション
仕組み:インターネット上でクロックを同期させるために使用されるネットワークタイムプロトコル(NTP)を悪用します。攻撃者は、最近の接続の大きなリストを返す古いNTPサーバー(UDP/123)でmonlistコマンドを悪用します。なりすましリクエストは、リフレクションの増幅を引き起こします。
リフレクション/増幅要素になるのを防ぐ方法:NTPサーバーをアップグレードまたは設定して、monlistを無効にします。NTPクエリを信頼できるIPアドレスのみに制限します。
攻撃からの防御方法:monlistコマンドを無効にし、NTPソフトウェアを更新し、UDP/123トラフィックをフィルタリングまたはレート制限します。
意図しない影響の回避方法:monlistを無効化しても、時刻の同期には影響しません。ただし、UDP/123のフィルタリングやブロックは、信頼できないソースや外部のソースのみをブロックするようにするため、範囲が広すぎると同期時間に影響を与える可能性があります。
Mirai UDP攻撃
タイプ:フラッド
仕組み:侵害されたIoTデバイスで構成されるMiraiボットネットは、ランダムまたはサービス固有のUDPパケット(DNS、ゲームサービスなど)を使用して被害者をフラッディングします。
ボットネットの一部になることを防ぐ方法:ボットネットの一部になることを回避するために、IoTデバイスの安全性を確保し、デフォルトパスワードを変更し、最新のファームウェアバージョンにアップグレードし、IoTセキュリティのベストプラクティスに従います。可能な限り、アウトバウンドトラフィックを監視し、異常を検出してください。
攻撃からの防御方法:クラウドベースの帯域幅消費型DDoS攻撃対策とUDPトラフィックのレート制限をデプロイします。
意図しない影響の回避方法:まず、ネットワークと受信するトラフィックの種類、特にプロトコル、その送信元と送信先を把握してください。UDPを介して実行されている影響を避けたいサービスを特定します。それらを特定したら、エンドポイントを除外するか、通常のトラフィックレベルを考慮してレート制限を適用することができます。さもなければ、UDPトラフィックの積極的なレート制限は正当なトラフィックに影響を与え、VoIP通話やVPNトラフィックなどUDPを介して実行されるサービスに影響を与える可能性があります。
ポートマップDDoS攻撃
タイプ:リフレクション+アンプリフィケーション
仕組み:Remote Procedure Call(RPC)ベースのアプリケーションが使用するポートマッパーサービス(UDP/111)を標的とし、利用可能なサービスを特定します。スプーフィングされたリクエストは反射された応答を引き起こします。
リフレクション・増幅要素になるのを防ぐ方法:必要でない場合は、ポートマッパーサービスを無効にします。社内で必要な場合は、信頼できるIPアドレスのみに制限してください。
攻撃からの防御方法:必要でない場合はポートマップサービスを無効にし、インバウンドUDP/111トラフィックをブロックします。アクセス制御リスト(ACL)またはファイアウォールを使用して、既知のRPCサービスへのアクセスを制限します。
意図しない影響の回避方法:ポートマップを無効にすると、RPC(ネットワークファイルシステムプロトコルなど)に依存するアプリケーションが中断される可能性があります。削除する前にサービスの依存関係を検証してください。
RIPv1 DDoS攻撃
タイプ:リフレクション+(低)アンプリフィケーション
仕組み:UDP/520を使用する古い非認証距離ベクトルルーティングプロトコルであるルーティング情報プロトコルバージョン1(RIPv1)を悪用します。攻撃者は、偽装されたルーティング更新を送信してネットワークを氾濫させたり、混乱させたりします。
リフレクション/増幅の要素になるのを防ぐ方法:ルーターのRIPv1を無効にします。ルーティングが必要な場所では、認証付きのRIPv2を使用してください。
攻撃からの防御方法:信頼できないネットワークからの受信UDP/520をブロックします。予期しないルーティングの更新を監視します。
意図しない影響の回避方法:RIPv1はほとんど時代遅れです。通常は無効にするのが安全です。レガシーシステムがそれに依存している場合、変更前にルーティングの動作を検証してください。
ここでの推奨事項はすべて、正当なトラフィックへの意図しない影響を回避するために、それぞれのネットワークやアプリケーションのコンテキストや動作を考慮する必要があります。
この攻撃は、161か国にまたがる5,433の自律システム(AS)からの122,145以上のソースIPアドレスから発信されました。
攻撃トラフィックのほぼ半数がブラジルとベトナムから発信されており、それぞれ約4分の1です。さらに3分の1は、台湾、中国、インドネシア、ウクライナ、エクアドル、タイ、アメリカ合衆国、サウジアラビアから発生しました。
攻撃トラフィックの発生元上位10か国
1秒あたりの固有の送信元IPアドレスの平均数は26,855で、ピーク時には45,097でした。
一意の送信元IPアドレスの分布
この攻撃は、5,433の異なるネットワーク(AS)から発信されました。Telefonica Brazil(AS27699)が、DDoS攻撃トラフィックの大部分、全体の10.5%を占めていました。Viettel Group(AS7552)が9.8%と僅差で続き、China Unicom(AS4837)とChina Telecom(AS3462)がそれぞれ3.9%と2.9%を占めています。China Telecom(AS4134)はトラフィックの2.8%を占めていました。上位10位の残りのASN、Claro NXT(AS28573)、VNPT Corp(AS45899)、UFINET Panama(AS52468)、STC(AS25019)、FPT Telecom Company(AS18403)は、それぞれDDoS攻撃トラフィックの総数の1.3%から1.8%を占めています。
上位10の発信元自律システム
ホスティングプロバイダー、クラウドコンピューティングプロバイダー、およびインターネットサービスプロバイダーが、これらの攻撃を仕掛ける不正なアカウントを特定し、削除できるように、Cloudflareは独自の視点を活かして、サービスプロバイダー向け無料DDoSボットネット脅威フィードを提供しています。すでに世界中で600以上の組織がこのフィードに登録しています。このフィードは、各自律システム番号内から発生しているHTTP DDoS攻撃の発信元IPアドレスのリストをサービスプロバイダーに提供します。完全無料で、必要なのはCloudflareの無料アカウントを開設し、PeeringDB経由でASNを認証し、その後API経由でフィードを取得することだけです。
攻撃を受けたIPアドレスは、グローバルエニーキャストを使用してCloudflareのネットワークからアドバタイズされています。つまり、そのIPを狙った攻撃パケットは、最寄りのCloudflareデータセンターにルーティングされました。グローバルエニーキャストを使用することで、攻撃トラフィックを分散させ、その分散性を利用してボットネットノードの近くで軽減し、ユーザーに最も近いデータセンターからサービスを継続して提供することができます。この攻撃は、世界中の293か所にある477のデータセンターで検出され、軽減されました。トラフィック量の多い場所では、複数のデータセンターに拠点があります。
Cloudflareのグローバルネットワークは、すべてのデータセンターであらゆるサービスを稼働させています。これには、DDoS検出および軽減システムが含まれます。これは、攻撃の発生元がどこであるかに関わりな関わりなく、完全かつ自律的に攻撃を検出し、軽減できることを意味します。
パケットが当社のデータセンターに入ると、利用可能なサーバーへインテリジェントに負荷分散します。その後、Linuxカーネルの深さ内から直接パケットをサンプリングし、eXpress Data Path(XDP)から拡張されたBerkley Packer Filter(eBPF)プログラムを使って、パケットサンプルをユーザースペースにルーティングして分析を行います。
当社のシステムは、dosd(サービス拒否デーモン)という名前の独自のヒューリスティックエンジンに基づいて、パケットサンプルを分析し、疑わしいパターンを特定します。DoSDは、パケットヘッダーフィールドの共通性の発見やパケットの異常の発見など、パケットサンプルのパターンを検索し、他の専有技術も適用します。
リアルタイムフィンガープリント生成のフロー図
当社の顧客にとって複雑なフィンガープリンティングシステムは、ユーザーフレンドリーなマネージドルールのグループ、DDoS攻撃対策管理ルールセットとしてカプセル化されています。
DoSDがパターンを検出すると、最も高い軽減効果と精度を持つ最も正確なフィンガープリントを見つけるために、複数のフィンガープリントの順列を生成します。つまり、正当なトラフィックに影響を与えずに、攻撃トラフィックに対してピンポイントで正確に適合させることを試みます。
CloudflareのDDoS攻撃対策システムの図
各フィンガープリントの順列に一致するさまざまなパケットサンプルをカウントし、データストリーミングアルゴリズムを使用して、最も多くのヒットを持つフィンガープリントを浮上させます。有効化しきい値を超えた場合、誤検出を避けるために、フィンガープリント構文を使用した緩和ルールがeBPFプログラムとしてコンパイルされ、攻撃パターンに一致するパケットをドロップします。攻撃が終了すると、ルールはタイムアウトして自動的に削除されます。
前述したように、各サーバーは、攻撃を全自律的に検出・軽減するため、当社のネットワークは非常に効率的で、耐性があり、攻撃を迅速に阻止します。さらに、各サーバーは、データセンター内およびグローバルに、上位のフィンガープリント順列をゴシップ(マルチキャスト)します。リアルタイムの脅威インテリジェンスの共有は、データセンター内およびグローバルでの軽減効果を向上させます。
当社のシステムは、人の介入を必要とせず、アラートもトリガーせず、インシデントも引き起こすことなく、全自律的にこの記録的な7.3TbpsのDDoS攻撃をブロックすることに成功しました。これは、当社の誇る、世界トップクラスのDDoS攻撃対策システムの有効性を示しています。当社は、無料で無制限のDDoS攻撃対策を提供し、より良いインターネットの構築に貢献するという使命の一環としてこのシステムを構築しました。