4.2 Tbpsの悪性パケットとそれを超えるパケット:Cloudflareの第3四半期DDoSレポート
2024-10-23
2024年第3四半期にDDoS攻撃数が急増。Cloudflareは600万件近くのDDoS攻撃を軽減。これは前四半期比49%増、前年同期比55%増となります。...
続きを読む »
\n
超帯域幅消費型DDoS攻撃の時間別分布
このブログ記事を書いている間にも、Cloudflareのシステムはこれらの大規模攻撃を検出し、軽減を続けています。先ほど、最後の情報開示からわずか3週間で新たな記録が再び更新されました。2024年10月21日、Cloudflareのシステムは自動で4.2TbpsのDDoS攻撃を検出し、1分程度で対処しました。
\nCloudflareが自動で4.2TbpsのDDoS攻撃を軽減
\n600万件のDDoS攻撃のうち、半分はHTTP(アプリケーション層)DDoS攻撃で、残りの半分はネットワーク層DDoS攻撃でした。ネットワーク層DDoS攻撃は前四半期比51%増、前年比45%増、HTTP DDoS攻撃は前四半期比61%増、前年比68%増となりました。
\n最大規模の攻撃を含め、DDoS攻撃の90%が非常に短時間なものでした。しかし、1時間以上続いた攻撃がわずかに増加(7%)しました。これらの長時間にわたる攻撃は、全攻撃の3%を占めていました。
\n第3四半期では、ネットワーク層のDDoS攻撃とHTTP DDoS攻撃がほぼ同じ割合で発生しました。ネットワーク層のDDoS攻撃のうち、SYNフラッドが攻撃ベクトルのトップで、DNSフラッド攻撃、UDPフラッド、SSDPリフレクション攻撃、ICMPリフレクション攻撃がそれに続きます。
アプリケーション層でのHTTP DDoS攻撃のうち、72%が既知のボットネットによって開始されたもので、当社独自のヒューリスティックによって自動的に軽減されました。この72%の攻撃が当社で独自に開発したヒューリスティックで対処できたという事実は、当社が大規模なネットワークを運用することで得られる、観測した膨大なトラフィックと攻撃データを活用し、ボットネットに対する強固な防御を構築、テストして迅速に導入できるというメリットを示しています。
別の13%のHTTP DDoS攻撃が、疑わしい、または異常なHTTP属性と言う理由で軽減され、9%が、偽のブラウザによる(ブラウザの偽装者によって開始された)HTTP DDoS攻撃でした。残りの「その他」に分類された6%は、ログイン画面を狙った攻撃やキャッシュ破壊攻撃などが含まれます。
注意すべき点は、これらの攻撃ベクトルまたは攻撃グループは必ずしも排他的ではないということです。例えば、既知のボットネットもブラウザになりすまし、不審なHTTP属性を持ちますが、この分析はHTTP DDoS攻撃を分かりやすく分類するための最初の試みです。
\n2024年第3四半期におけるDDoS攻撃の内訳
第3四半期には、SSDPアンプ攻撃が前期比で4,000%増加しました。SSDP(Simple Service Discovery Protocol)攻撃は、UPnP(Universal Plug and Play)プロトコルを悪用した反射型のDDoSアンプ攻撃の一種です。攻撃者は、ルーター、プリンター、IP対応カメラなどの脆弱なUPnP対応デバイスにSSDPリクエストを送信し、送信元IPアドレスを被害者のIPアドレスに偽装します。これらのデバイスは、大量のトラフィックで被害者のIPアドレスに応答し、被害者のインフラストラクチャを圧倒します。この増幅効果により、攻撃者は小さなリクエストから大量のトラフィックを生成し、被害者のサービスをダウンさせます。この攻撃は、不要なデバイスのUPnPを無効にし、DDoS軽減戦略を使用することで防ぐことができます。
\nSSDPアンプ攻撃の図解
\nHTTP DDoS攻撃を仕掛ける際、攻撃者は検知を逃れるためにユーザーエージェントを偽装し、正規のブラウザやクライアントに見せかけることがあります。
第3四半期、HTTP DDoS攻撃トラフィックの80%がGoogle Chromeブラウザ(具体的には、Chromeのバージョン118、119、120、121)を偽装したものでした。
次点で多かったのはユーザーエージェントが設定されていないもので、HTTP DDoS攻撃トラフィック全体の9%を占めました。
3位と4位は、Goの標準ライブラリに含まれるHTTPクライアントGo-http-clientと高性能の代替手段fasthttpユーザーエージェントを使用した攻撃が確認されました。fasthttpは高速Webアプリケーションの構築に使用されますが、DDoS攻撃やWebスクレイピングにもよく使用されます。
\nDDoS攻撃で使用される主なユーザーエージェント
5位には、Erlang向けのHTTPクライブラリであるhackneyがランクインしています。これは、HTTPリクエストを行うために使用され、Erlang/Elixirのエコシステムで人気があります。
6位には、興味深いユーザーエージェントHITV_ST_PLATFORMがランクインしています。このユーザーエージェントは、スマートTVやセットトップボックスに関連するものですが、サイバー攻撃においてChromeユーザーエージェントが頻繁に使用されることからもわかるように、脅威アクターは通常、一般的でないユーザーエージェントの使用を避けます。したがって、HITV_ST_PLATFORMの存在は、問題のデバイスが実際に侵害されたスマートTVまたはセットトップボックスである可能性が高いことを示しています。
7位にランクインしたのは、uTorrentユーザーエージェントです。このユーザーエージェントは、ファイルのダウンロードに使用される人気のBitTorrentクライアントに関連するものです。
最後に、JavaおよびAndroidアプリケーションのHTTPクライアントとしてよく使われるOkhttpも見られましたが、DDoS攻撃での使用頻度では最下位でした。
\nHTTP DDoS攻撃トラフィックの89%がGETメソッドを使用していましたが、これは最も一般的に使用されるHTTPメソッドでもあります。そのため、攻撃リクエスト数を各HTTPメソッドごとのリクエスト総数で割って攻撃リクエストを正規化すると、異なる傾向が見られます。
全リクエストのうちDELETEメソッドを使ったものの約12%がDDoS攻撃に関わっていました。DELETEの次に多かったのはHEAD、PATCH、そしてGETメソッドで、これらもDDoS攻撃リクエストでよく使用されていました。
\nDDoS攻撃リクエストの80%がHTTP/2、19%がHTTP/1.1で送信されましたが、各バージョンごとの全トラフィックで割合を調整すると、これらははるかに小さい割合になります。これらをバージョンごとの総トラフィックで正規化すると、異なる傾向が見られます。非標準または誤ってラベル付けされた「HTTP/1.2」バージョンへのトラフィックの半数以上が、DDoS攻撃に関連する悪意のあるものでした。なお、「HTTP/1.2」は正式なプロトコルのバージョンではありません。
\nHTTP DDoS攻撃の大部分(ほぼ94%)がHTTPSを使用して実際に暗号化されています。
\n2024年第3四半期に最も攻撃を受けたのは中国でした。2位はアラブ首長国連邦、3位は香港、4位はシンガポール、ドイツ、ブラジルが僅差で続きました。
\n7位はカナダ、8位は韓国、9位は米国、10位は台湾と続きました。
\n2024年の第3四半期には、銀行・金融サービス業が最もDDoS攻撃の標的となりました。2位は情報技術・サービス、3位が電気通信、サービスプロバイダー、通信事業者でした。
\n続いて、暗号資産、インターネット、ギャンブルおよびカジノ、ゲーミングが最も標的とされた業界となりました。最も攻撃された上位10の業界は、家電業界、建設・土木、小売業界でした。
\nここ数年、私たちはDDoS攻撃の被害に遭ったお客様を対象にアンケート調査を実施しています。この調査では、攻撃の性質や脅威アクターなど、さまざまな要素を対象としています。脅威アクターについては、調査回答者の80%が「誰に攻撃されたかわからない」と答えたのに対し、20%が「知っている」と回答しています。この脅威アクターの内訳は、32%が「恐喝者」、25%が「競合他社からの攻撃」、21%が「不満を抱いた顧客やユーザーが攻撃の背後にある攻撃」、14%が「国家または国家が支援するグループによって行われた攻撃」と回答しています。最後に、7%が誤って自分自身を攻撃したと回答しています。自分自身をDDoS攻撃してしまう例として、IoTデバイスのファームウェアのアップデートが挙げられ、これによりすべてのデバイスが同時に接続しようとして、トラフィックが集中するケースです。
\n上位脅威アクターの内訳
最も一般的な脅威アクターは「恐喝者」でしたが、全体として、ランサムDDoS攻撃の報告は前四半期比で42%減(前年比では17%増)となりました。回答者の7%が、ランサムDDoS攻撃を受けた、または攻撃者から脅迫されたと報告しています。しかし、8月にはこの数値は10%に上昇しました。これは10人に1人が脅威にさらされたことになります。
\nランサムDDoS攻撃の四半期別レポート
\n2024年第3四半期、DDoS攻撃の最大の発生源はインドネシアでした。次いで、オランダ、ドイツ、アルゼンチン、コロンビアが続きました。
\nさらに、シンガポール、香港、ロシア、フィンランド、ウクライナが発信元の上位にランクインしました。
\nネットワークおよびインフラストラクチャを運用するサービスプロバイダーにとって、DDoS攻撃を引き起こすなどの悪意のある意図でインフラストラクチャを使用している人物を特定することは、困難な場合があります。このため、当社ではネットワーク事業者に、無料の脅威インテリジェンスフィードを提供しています。このフィードでは、サービスプロバイダーに対し、同じネットワーク内から確認されたDDoS攻撃に関与するIPアドレス情報を提供しています。
2024年第3四半期におけるHTTP DDoS攻撃の最大の発信元は、ドイツに拠点を置くITプロバイダーであるHetzner(AS24940)でした。2位は、2022年にAkamaiによって買収されたクラウドコンピューティングプラットフォームLinode(AS63949)、3位はフロリダ州を拠点とするサービスプロバイダーVultr(AS64515)でした。
4位はドイツを拠点とするもう1つのITプロバイダー、Netcup(AS197540)でした。続いて5位にGoogle Cloud Platform(AS15169)、6位にDigitalOcean(AS14061)が続き、フランスのプロバイダーOVH(AS16276)、Stark Industry(AS44477)、Amazon Web Services(AS16509)、Microsoft(AS8075)がそれぞれランクインしています。
\n2024年第3四半期にHTTP DDoS攻撃の最大の発生源となったネットワーク
\n今四半期は、超帯域幅消費DDoS攻撃がかつてないほど急増し、その勢いはピーク時に3.8 Tbpsと2.2 Bppsに達するほどでした。これは、HTTP/2 Rapid Resetキャンペーンによりアプリケーション層攻撃が2億リクエスト/秒(Mrps)を超えた、前年の同期間と同様の動きです。これらの大規模な攻撃は、インターネットプロパティ、特に容量に限りのあるクラウドサービスやオンプレミスのソリューションに依存するプロパティを圧倒する可能性があります。
地政学的緊張と世界的な出来事を背景に、強力なボットネットの使用が加速し、リスクにさらされる組織の範囲が拡大しています。その多くは従来、DDoS攻撃の主要な標的とは考えられていませんでした。残念ながら、攻撃によって深刻な被害が出た後になってからDDoS攻撃対策を導入する企業が多いのが現状です。
この調査結果から、十分に対策を講じた包括的なセキュリティ戦略を持つ企業は、こうしたサイバー脅威に対する耐性が遥かに高いことが確認できました。Cloudflareでは、お客様のインターネット稼働を保護することに全力を尽くしています。私たちは自動防御システムへの投資と多彩なセキュリティ製品の提供を通じて、今ある脅威や将来のリスクに対する予防的な保護を実現し、安心してご利用いただける環境を提供しています。
"],"published_at":[0,"2024-10-23T14:05+01:00"],"updated_at":[0,"2024-10-29T13:15:40.566Z"],"feature_image":[0,"https://cf-assets.www.cloudflare.com/zkvhlag99gkb/7xzraJolmcuGVbdezhIotY/8c29272d8d699661c3b498ebb5dc8c67/image14.png"],"tags":[1,[[0,{"id":[0,"54Tkjs4keJGD0ddq0dfL5Y"],"name":[0,"DDoSレポート"],"slug":[0,"ddos-reports"]}],[0,{"id":[0,"64g1G2mvZyb6PjJsisO09T"],"name":[0,"DDoS"],"slug":[0,"ddos"]}],[0,{"id":[0,"5p7BMv5ZMukbTzLqGWgkUI"],"name":[0,"Advanced DDoS"],"slug":[0,"advanced-ddos"]}],[0,{"id":[0,"5kZtWqjqa7aOUoZr8NFGwI"],"name":[0,"Radar"],"slug":[0,"cloudflare-radar"]}],[0,{"id":[0,"5kIxDMJCg3PXQxVINDL0Cw"],"name":[0,"攻撃"],"slug":[0,"attacks"]}]]],"relatedTags":[0],"authors":[1,[[0,{"name":[0,"Omer Yoachimik"],"slug":[0,"omer"],"bio":[0,"Product Manager / Cloudflare's DDoS Protection Service"],"profile_image":[0,"https://cf-assets.www.cloudflare.com/zkvhlag99gkb/6TXRnB1v4ZHGiL3nRlvRTZ/e47fa218da976d21b5074229b33b9589/omer.png"],"location":[0,"London"],"website":[0,null],"twitter":[0,"@OmerYoahimik"],"facebook":[0,null]}],[0,{"name":[0,"Jorge Pacheco"],"slug":[0,"jorge"],"bio":[0,null],"profile_image":[0,"https://cf-assets.www.cloudflare.com/zkvhlag99gkb/5iFJ9jTuh48eBY1WfEmLK1/6f692ae5c2ec0e58855f8f836d0c4d3d/profile_jorge.jpg"],"location":[0,null],"website":[0,null],"twitter":[0,null],"facebook":[0,null]}]]],"meta_description":[0,"2024年第3四半期にDDoS攻撃数が急増。Cloudflareは600万件近くのDDoS攻撃を軽減。これは前四半期比49%増、前年同期比55%増となります。"],"primary_author":[0,{}],"localeList":[0,{"name":[0,"4.2 Tbps of bad packets and a whole lot more: Cloudflare's Q3 DDoS report LL - deDE_frFR_zhCN_jaJP_zhTW_koKR_esES_ptBR"],"enUS":[0,"English for Locale"],"zhCN":[0,"Translated for Locale"],"zhHansCN":[0,"No Page for Locale"],"zhTW":[0,"Translated for Locale"],"frFR":[0,"Translated for Locale"],"deDE":[0,"Translated for Locale"],"itIT":[0,"English for Locale"],"jaJP":[0,"Translated for Locale"],"koKR":[0,"Translated for Locale"],"ptBR":[0,"Translated for Locale"],"esLA":[0,"English for Locale"],"esES":[0,"Translated for Locale"],"enAU":[0,"English for Locale"],"enCA":[0,"English for Locale"],"enIN":[0,"No Page for Locale"],"enGB":[0,"English for Locale"],"idID":[0,"No Page for Locale"],"ruRU":[0,"English for Locale"],"svSE":[0,"No Page for Locale"],"viVN":[0,"No Page for Locale"],"plPL":[0,"No Page for Locale"],"arAR":[0,"No Page for Locale"],"nlNL":[0,"No Page for Locale"],"thTH":[0,"No Page for Locale"],"trTR":[0,"No Page for Locale"],"heIL":[0,"No Page for Locale"],"lvLV":[0,"No Page for Locale"],"etEE":[0,"No Page for Locale"],"ltLT":[0,"No Page for Locale"]}],"url":[0,"https://blog.cloudflare.com/ddos-threat-report-for-2024-q3"],"metadata":[0,{"title":[0,"DDoS threat report for 2024 Q3"],"description":[0,"Welcome to the 19th edition of the Cloudflare DDoS Threat Report. Released quarterly, these reports provide an in-depth analysis of the DDoS threat landscape as observed across the Cloudflare network. This edition focuses on the third quarter of 2024."],"imgPreview":[0,"https://cf-assets.www.cloudflare.com/zkvhlag99gkb/2UOuM3mDgmDtjMqHnUQRBS/3e5c83d5002e3bd7511e3b999a8a3751/DDoS_threat_report_for_2024_Q3_-OG.png"]}]}],"locale":[0,"ja-jp"],"translations":[0,{"posts.by":[0,"リーク元"],"footer.gdpr":[0,"GDPR"],"lang_blurb1":[0,"この投稿は{lang1}でも表示されます。"],"lang_blurb2":[0,"この投稿は{lang1}および{lang2}でも表示されます。"],"lang_blurb3":[0,"この投稿は{lang1}、{lang2}、{lang3}でも表示されます。"],"footer.press":[0,"プレス"],"header.title":[0,"Cloudflare ブログ"],"search.clear":[0,"消去"],"search.filter":[0,"フィルター"],"search.source":[0,"ソース"],"footer.careers":[0,"キャリア"],"footer.company":[0,"会社"],"footer.support":[0,"サポート"],"footer.the_net":[0,"theNet"],"search.filters":[0,"フィルター"],"footer.our_team":[0,"Cloudflareのチーム"],"footer.webinars":[0,"ウェビナー"],"page.more_posts":[0,"その他の投稿"],"posts.time_read":[0,"{time}分で読了"],"search.language":[0,"言語"],"footer.community":[0,"コミュニティ"],"footer.resources":[0,"リソース"],"footer.solutions":[0,"ソリューション"],"footer.trademark":[0,"商標"],"header.subscribe":[0,"登録"],"footer.compliance":[0,"コンプライアンス"],"footer.free_plans":[0,"Freeプラン"],"footer.impact_ESG":[0,"インパクト/ESG"],"posts.follow_on_X":[0,"Xでフォロー"],"footer.help_center":[0,"ヘルプセンター"],"footer.network_map":[0,"ネットワークマップ"],"header.please_wait":[0,"お待ちください"],"page.related_posts":[0,"関連ブログ投稿"],"search.result_stat":[0,"{search_keyword}の結果{search_range}/{search_total}"],"footer.case_studies":[0,"導入事例"],"footer.connect_2024":[0,"Connect 2024"],"footer.terms_of_use":[0,"利用規約"],"footer.white_papers":[0,"ホワイトペーパー"],"footer.cloudflare_tv":[0,"Cloudflare TV"],"footer.community_hub":[0,"コミュニティハブ"],"footer.compare_plans":[0,"プラン比較"],"footer.contact_sales":[0,"営業担当へのお問い合わせ"],"header.contact_sales":[0,"営業担当へのお問い合わせ"],"header.email_address":[0,"メールアドレス"],"page.error.not_found":[0,"ページが見つかりません"],"footer.developer_docs":[0,"開発者ドキュメント"],"footer.privacy_policy":[0,"プライバシーポリシー"],"footer.request_a_demo":[0,"デモ依頼"],"page.continue_reading":[0,"続きを読む"],"footer.analysts_report":[0,"アナリストレポート"],"footer.for_enterprises":[0,"エンタープライズ向け"],"footer.getting_started":[0,"利用開始"],"footer.learning_center":[0,"ラーニングセンター"],"footer.project_galileo":[0,"プロジェクトGalileo"],"pagination.newer_posts":[0,"次の投稿"],"pagination.older_posts":[0,"以前の投稿"],"posts.social_buttons.x":[0,"Xで議論"],"search.icon_aria_label":[0,"検索"],"search.source_location":[0,"ソース/ロケーション"],"footer.about_cloudflare":[0,"Cloudflareについて"],"footer.athenian_project":[0,"Athenianプロジェクト"],"footer.become_a_partner":[0,"パートナープログラム"],"footer.cloudflare_radar":[0,"Cloudflare Radar"],"footer.network_services":[0,"ネットワークサービス"],"footer.trust_and_safety":[0,"信頼性と安全性"],"header.get_started_free":[0,"まずは無料プランから"],"page.search.placeholder":[0,"Cloudflareを検索"],"footer.cloudflare_status":[0,"Cloudflareステータス"],"footer.cookie_preference":[0,"Cookieの設定"],"header.valid_email_error":[0,"有効なメールアドレスを入力してください。"],"search.result_stat_empty":[0,"検索結果 {search_total}件中{search_range}件を表示"],"footer.connectivity_cloud":[0,"コネクティビティクラウド"],"footer.developer_services":[0,"開発者サービス"],"footer.investor_relations":[0,"IR"],"page.not_found.error_code":[0,"エラーコード:404"],"search.autocomplete_title":[0,"クエリを挿入し、Enterキーを押して送信してください"],"footer.logos_and_press_kit":[0,"ロゴとプレスキット"],"footer.application_services":[0,"アプリケーションサービス"],"footer.get_a_recommendation":[0,"推奨製品"],"posts.social_buttons.reddit":[0,"Redditで議論"],"footer.sse_and_sase_services":[0,"SSEサービスとSASEサービス"],"page.not_found.outdated_link":[0,"古いリンクを使われたか、アドレスを誤って入力された可能性があります。"],"footer.report_security_issues":[0,"セキュリティの問題を報告"],"page.error.error_message_page":[0,"お探しのページは見つかりませんでした。"],"header.subscribe_notifications":[0,"新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:"],"footer.cloudflare_for_campaigns":[0,"Cloudflare for Campaigns"],"header.subscription_confimation":[0,"サブスクリプションが確定されました。ご登録ありがとうございます!"],"posts.social_buttons.hackernews":[0,"Hacker Newsでの議論"],"footer.diversity_equity_inclusion":[0,"多様性、公平性、包摂性"],"footer.critical_infrastructure_defense_project":[0,"重要インフラ防衛プロジェクト"]}]}" ssr="" client="load" opts="{"name":"PostCard","value":true}" await-children="">2024-10-23
2024年第3四半期にDDoS攻撃数が急増。Cloudflareは600万件近くのDDoS攻撃を軽減。これは前四半期比49%増、前年同期比55%増となります。...
続きを読む »2024-03-07
Advanced DNS Protectionシステムを紹介できることを嬉しく思います。これは、最も高度なDNSベースのDDoS攻撃から保護するように設計された堅牢な防御メカニズムです...