ナビゲーションをスキップする

Azure DDoS Protection - 2021 年第 3 四半期および第 4 四半期の DDoS 攻撃傾向

2022年1月25日 に投稿済み

Product Manager, Azure Networking

このブログ記事は、Azure Networking のプリンシパル PM マネージャーである Anupam Vij とプリンシパル ネットワーク エンジニアの Syed Pasha が共同で執筆しました

2021 年後半、世界では分散型サービス妨害 (DDoS) アクティビティが、複雑さと頻度の両面において、かつてないほどのレベルで発生しました。ゲーム業界はおそらく最も大きな被害を受け、DDoS 攻撃により、Blizzard game1、Titanfall2、Escape from Tarkov3、Dead by Daylight4、Final Fantasy 145 など多くのゲームプレイが妨害されました。Bandwidth.com6、VoIP Unlimited7、VoIP.ms8 などのボイス オーバー IP (VoIP) サービス プロバイダーは、身代金要求の DDoS 攻撃を受けて、機能停止に見舞われました。インドでは、10 月の祝祭シーズンに DDoS 攻撃が 30 倍に増加し9、複数のブロードバンドプロバイダーが標的になりました。これは、このホリデーがサイバー犯罪者にとって実に魅力的な期間になっていることを示しています。2021 Microsoft Digital Defense Report で取り上げたように、DDoS の代行サービスが利用できること、そして月額約 300 ドルという安価なコストにより、誰でも、そして非常に簡単に標的型 DDoS 攻撃を行うことができます。

サイバー環境の課題が進化しているにもかかわらず、Microsoft の Azure DDoS Protection チームは、Azure と歴史の流れの両方で、過去最大の DDoS 攻撃のいくつかをうまく軽減することができました。このレビューでは、2021 年下半期を通じて Microsoft が観測し、軽減した DDoS 攻撃の傾向と分析情報を紹介します。

8 月は最も多い攻撃回数を記録

Microsoft が軽減した攻撃は 1 日平均 1,955 回で、2021 年上半期から 40% 増加しました。1 日の最大攻撃回数は、2021 年 8 月 10 日に記録した 4,296 回です。合計で、Microsoft は 2021 年下半期に Microsoft のグローバル インフラストラクチャに対するユニークな攻撃を合計で 359,713 回以上軽減し、2021 年上半期から 43% 増加しました。

興味深いことに、年末のホリデー シーズンは、例年に比べ、それほど攻撃が集中することはありませんでした。第 3 四半期は第 4 四半期よりも攻撃が多く、中でも 8 月に最も多く発生しました。これは、攻撃者が 1 年中行動するようにシフトしたことを示している可能性があります。もはや、ホリデー シーズンが DDoS シーズンであるわけではないのです。このことは、トラフィックのピーク時だけでなく、1 年を通して DDoS 防御を行うことの重要性を強調しています。

2021 年 7 月から 2022 年 1 月までの DDoS 攻撃回数を示す折れ線グラフ。

Microsoft は 1 件の 3.47 Tbps の攻撃を軽減、さらに 2.5 Tbps を超える攻撃も 2 件

昨年 10 月、Microsoft は、Azure に 2.4 テラビット/秒 (Tbps) の DDoS 攻撃があり、Microsoft がその軽減に成功したことを報告しました。その後、Microsoft はより大規模な攻撃を 3 件軽減しています。

11 月に、Microsoft は、3.47 Tbps のスループットと、アジアでの Azure のお客様を対象としたパケット レート 3 億 4,000 万パケット/秒 (pps) の DDoS 攻撃を軽減しています。これは、史上最大の攻撃であったと考えています。

これは、米国、中国、韓国、ロシア、タイ、インド、ベトナム、イラン、インドネシア、台湾など、世界の複数の国から、約 1 万のソースから発生した分散型攻撃でした。攻撃ベクトルは、Simple Service Discovery Protocol (SSDP)、Connection-less Lightweight Directory Access Protocol (CLDAP)、Domain Name System (DNS)、Network Time Protocol (NTP) を使ったポート 80 の UDP リフレクションで、1 つのピークを構成し、全体の攻撃は約 15 分間継続しました。

3.47 Tbps DDoS 攻撃を 2 分以内に軽減した様子を示す折れ線グラフ。

12 月には、2.5 Tbps を超える攻撃を 2 件軽減しましたが、いずれも再びアジアで発生しました。1 つは、アジアで発生したポート 80 と 443 に対する 3.25 Tbps の UDP 攻撃で、15 分以上にわたって、最初の 3.25 Tbps、2 番目の 2.54 Tbps、3 番目の 0.59 Tbps、4 番目の 1.25 Tbps の 4 つのピークが発生しました。もう 1 つの攻撃は、443 番ポートに 2.55 Tbps の UDP フラッドが 1 つのピークで、全体としては 5 分強の攻撃でした。

3.25 Tbps DDoS 攻撃を 15 分以内に軽減した様子を示す折れ線グラフ。

2.55 Tbps DDoS 攻撃を 2 分以内に軽減した様子を示す折れ線グラフ。

このような場合、お客様は、オンプレミスで運用しているワークロードを Azure で保護する方法について心配する必要はありません。分散型 DDoS 検出および軽減パイプラインを基盤とする Azure の DDoS 防御プラットフォームは、膨大な量の DDoS 攻撃を吸収できるように非常にスケーラブルで、お客様が必要とする保護レベルが提供されます。Microsoft のグローバル ネットワーク上の多くのポイントで Microsoft のインフラストラクチャを継続的に監視することにより、このサービスでは大規模な攻撃の高速な検出と軽減が実現しています。トラフィックは、サービスの可用性に影響を与える前に、Azure ネットワークのエッジでスクラブされます。Microsoft は、攻撃の規模が大きいと判断した場合は、Azure のグローバルなスケールを活用して、攻撃の発信元から防御を行います。

ショートバースト攻撃やマルチベクトル攻撃は依然として流行しているが、より長く続く攻撃も増えてきている

2021 年上半期と同様、短時間の攻撃がほとんどでしたが、2021 年下半期には、30 分以内の攻撃の割合が 74% から 57% に減少しています。1 時間以上継続する攻撃の増加が見られ、構成比は 13% から 27% へと 2 倍以上になっています。マルチベクター攻撃は引き続き流行しています。

ここで重要なのは、長時間の攻撃の場合、お客様は、それぞれの攻撃は通常、複数の短時間のバースト攻撃を繰り返すシーケンスとして経験するということです。このような例の 1 つとして、3.25 Tbps の攻撃は、4 つの連続した短時間のバーストの集合体であり、それぞれが数秒でテラビットのボリュームに上昇したものです。

Q3 と Q4 と、Q1 と Q2 の攻撃時間の内訳を時間と分で表した折れ線グラフ。

UDP スプーフィング フラッドがゲーム業界を支配

2021 年下半期に UDP 攻撃がトップ ベクトルに浮上し、全攻撃の 55% を占め、2021 年上半期から16%増加しました。一方、TCP 攻撃は 54% からわずか 19% に減少しました。攻撃タイプは、UDP スプーフィング フラッドが最も多く (55%)、次いで TCP ACK フラッド (14%)、DNS アンプ攻撃 (6%) でした。

攻撃ベクトル分布の内訳を示す円グラフ。

ゲーム業界は、最も大きな被害を受け続けています。ゲーム業界は、プレイヤーが勝つために多大な努力をすることが多いため、常に DDoS 攻撃が蔓延しています。しかし、金融機関、メディア、インターネット サービス プロバイダー (ISP)、小売、サプライ チェーンなど、他の業界においても攻撃の増加が確認されており、より幅広い業界が同じように影響を受けやすくなっていることがわかります。特に年末年始には、インターネット電話サービス、オンライン ゲーム、メディア ストリーミングを支える重要なサービスを提供する ISP が、攻撃者にとって魅力的なターゲットとなります。

UDP は、ゲームおよびストリーミング アプリケーションでよく使用されます。ゲーム業界への攻撃の大半は、Mirai ボットネットの変異と低容量の UDP プロトコル攻撃でした。圧倒的多数は UDP スプーフィング フラッドで、ごく一部は UDP リフレクションおよびアンプ攻撃であり、そのほとんどが SSDP、Memcached、NTP でした。

マルチプレイヤー ゲーム サーバーなど、遅延に非常に敏感なワークロードは、このような短時間の UDP 攻撃を許容することはできません。わずか数秒の停止が競技の試合に影響を与え、10 秒以上続く停止は通常、試合を終了させることになります。このシナリオに対して、Azure は最近、Azure Gateway Load Balancer と一緒にデプロイされるパートナーのネットワーク仮想アプライアンス (NVA) を通じて提供されるインライン DDoS 保護のプレビューをリリースしました。このソリューションは、トラフィックの形状に合わせて調整することができ、遅延の影響を受けやすいアプリケーションの可用性やパフォーマンスに影響を与えることなく、攻撃を瞬時に軽減することができます。

インドでの DDoS 攻撃が大幅に増加、アジア太平洋は引き続き攻撃者に人気

攻撃された先のトップは、依然として米国 (54%) です。インドでの攻撃が急増し、2021 年上半期には全攻撃のわずか 2% だったのが、2021 年下半期には全攻撃の 23% で 2 位になっています。東アジア (香港) は、依然として攻撃者の人気ホット スポットです (8%)。興味深いことに、他の地域と比較して、ヨーロッパでの DDoS アクティビティが減少し、2021 年上半期の 19% から下半期には 6% に減少しています。

攻撃先の内訳を円グラフで表したもので、米国が 54% でトップ。

アジアに攻撃が集中しているのは、特に中国、日本、韓国、香港、インドにおける巨大なゲームのフットプリント10によるところが大きく、スマートフォンの普及がアジアでのモバイルゲームの人気を牽引し、今後も成長が続くと考えられます。インドでは、「Digital India」イニシアチブ11などのデジタル トランスフォーメーションの加速により、地域全体がサイバーリスクにさらされる機会が増えていることも、増加要因の 1 つであると考えられます。

新しい攻撃ベクトルに対する防御

10 月から 12 月のホリデー シーズン中、Microsoft は香港、韓国、日本などのアジア太平洋地域で多発した新手の TCP PUSH-ACK フラッド攻撃を防御しました。また Microsoft は、攻撃者が大型のペイロードをダンプするために使用する新しい TCP オプション操作の手法も確認しました。この攻撃のバリエーションでは、TCP オプションの長さがオプション ヘッダー自体よりも長くなっています。

この攻撃は、Microsoft プラットフォームの高度なパケット異常検知および軽減ロジックによって自動的に軽減され、介入の必要はなく、お客様への影響もまったくありませんでした。

Microsoft と共に DDoS 攻撃からワークロードを保護する

5G や IoT の拡大で世界がデジタル化の新時代に向かい、オンライン戦略を取り入れる産業が増える中、オンラインのグローバル フットプリントが拡大することは、サイバー攻撃の脅威が拡大し続けることを意味します。ホリデー シーズン以外の時期にも DDoS 攻撃が横行するようになったことを目の当たりにした今、企業にとって、ホリデー シーズンだけでなく、年間を通じて堅牢な DDoS 対応戦略を策定することが極めて重要となっています。

Microsoft では、Azure DDoS Protection チームが Microsoft のあらゆる財産と Azure インフラストラクチャ全体を保護しています。Microsoft のビジョンは、ネットワーク スタックのすべてのレベルにわたって、既知のすべての DDoS 攻撃から Azure のすべてのインターネットに面したワークロードを保護することです。

DDoS Protection Standard と Application Gateway Web Application Firewall の組み合わせで包括的な保護を実現

DDoS Protection Standard と組み合わせることで、Application Gateway の Web アプリケーションファイアウォール (WAF)、またはパブリック IP を持つ仮想ネットワークに導入されたサードパーティの Web アプリケーション ファイアウォールによって、Web および API 資産に対する L3-L7 攻撃に対する包括的な防御が提供されます。これは、Azure Front Door を Application Gateway WAF と一緒に使用している場合や、バックエンド リソースがお客様のオンプレミス環境にある場合にも有効です。

Azure App Service や Azure SQL Database 上で動作する PaaS Web アプリケーション サービスがある場合、お客様はアプリケーションを Application Gateway と WAF の内側でホストし、Application Gateway と WAF を含む仮想ネットワーク上で DDoS Protection Standard を有効化することができます。このシナリオでは、Web アプリケーション自体はパブリック インターネットに直接公開されず、Application Gateway WAF と DDoS Protection Standard によって保護されます。潜在的な攻撃対象領域を最小限に抑えるために、お客様は Web アプリケーションが Application Gateway のパブリック IP アドレスからのトラフィックのみを受け入れ、不要なポートをブロックするように設定することも必要です。

DDoS Protection Standard と Application Gateway Web Application Firewall

待機時間の影響を受けやすいワークロードにはインライン DDoS 防御を使用する

待機時間が非常に重要で、短時間の DDoS 攻撃を許容できないワークロードがある場合に対応するため、Microsoft は Azure Gateway Load Balancer とともにデプロイされるパートナーのネットワーク仮想アプライアンス (NVA) を通じて提供されるインライン DDoS 保護のプレビューを最近リリースしました。インライン DDoS 保護は、短期間の低ボリューム DDoS 攻撃も瞬時に軽減し、待機時間の影響を受けやすいアプリケーションの可用性やパフォーマンスに影響を与えません。

Azure Firewall Manager での SecOps の最適化

DDoS Protection Standard は、IaaS 仮想マシン、ロード バランサー (クラシックおよび標準ロード バランサー)、Application Gateway、Azure Firewall Manager に接続された仮想ネットワーク内のすべてのパブリック IP アドレスを保護するように自動的にチューニングされます。Azure Firewall のポリシー管理に加え、ネットワーク セキュリティ管理サービスである Azure Firewall Manager によって、お客様の仮想ネットワークの DDoS Protection Standard の管理もサポートされるようになりました。仮想ネットワーク上で DDoS Protection Standard を有効にすると、Azure Firewall、および仮想ネットワーク内に存在する公開エンドポイントが保護されます。

Azure DDoS Protection Standard の詳細

•    Azure DDoS Protection Standard 製品ページ
•    Azure DDoS Protection Standard のドキュメント
•    Azure DDoS Protection Standard の参照アーキテクチャ
•    DDoS Protection のベスト プラクティス
•    Azure DDoS Rapid Response
•    Azure DDoS Protection Standard の価格と SLA


1『Overwatch、World of Warcraft』 が DDoS 攻撃後にダウン | Digital Trends

2DDoS 攻撃に苦戦した『Titanfall』が販売停止に | PC Gamer

3『Escape From Tarkov』はDDoS 攻撃の可能性で持続的なサーバー問題に見舞われる (nme.com)

4『Dead by Daylight』ストリーミング配信者が DDoS 攻撃を受ける

5『ファイナル ファンタジー14』 ヨーロッパ サーバーが DDoS 攻撃の影響を受ける (nme.com)

6Bandwidth CEO、DDoS 攻撃による障害発生を確認 | ZDNet

7DDoS 攻撃で VoIP とインターネット プロバイダーの VoIP Unlimited が再び攻撃される、更新情報 2 - ISPreview UK

8VoIP 企業、大規模な身代金要求の DDoS 攻撃と戦う | ZDNet

9祝祭シーズンにインドで DDoS サイバー攻撃が 30 倍に増加 (ahmedabadmirror.com)

10アジア太平洋地域のゲーム産業 - 統計と事実 | Statista

11Di-Initiatives | Digital India プログラム | 電子工学および通信技術省 (MeitY)、インド政府