2016 年の大規模なサイバー攻撃の長いリストに、インターネット パフォーマンス管理会社 Dyn に対する最近の分散型サービス拒否 (DDoS) 攻撃が加わり、10 月 21 日金曜日に複数のオンライン プロパティの顧客がサービス不能に陥りました。
DynはDNSプロバイダーであり、多くの大手企業のドメイン名を特定のIPアドレスにリダイレクトするサービスを提供しています。攻撃中、Twitter、Amazon、Reddit、Netflixなどのブランドは、日中に複数回サービス停止に陥りました。
参照:サイバーセキュリティ研究 2016:弱点、デジタルフォレンジック、国際的な懸念(Tech Pro Research)
Dyn DDoS攻撃は、その広範な影響から、おそらく史上最大規模のDDoS攻撃の一つとして記憶されるでしょう。ここでは、この攻撃に関する詳細と、企業が学ぶべき重要なポイントをご紹介します。
1. 攻撃は1回だけではない
DynへのDDoS攻撃は、実際には金曜日の一日を通して異なる時間帯に発生し、異なる顧客層に影響を与えた一連の攻撃でした。Dynの公式声明によると、攻撃は金曜日の東部時間午前7時頃に開始されたとみられています。最初の攻撃は東海岸の顧客のみに影響を与え、Dynのネットワークオペレーションセンター(NOC)チームは約2時間で攻撃を阻止することができました。
声明によると、同日正午過ぎに別の攻撃が発生し、Dynのネットワーク全体への影響はなかったものの、世界規模で顧客に影響を与えた。Dynは1時間でこの攻撃を緩和し、東部時間午後1時までにサービスを復旧した。攻撃者は3回目の攻撃を試みたものの、顧客に大きな影響を与える前に阻止された。
2. 攻撃は巧妙だった
Dynの公式声明によると、攻撃には「数千万のIPアドレス」が関与しており、高度に分散され、巧妙に仕組まれたものであると推定されています。攻撃の全体的な影響と、潜在的な攻撃元は未だ特定されていません。
同社は調査を実施しており、新たな情報が入り次第、最新情報をお伝えすると約束している。しかし、攻撃に関する全ての情報を公開することはないかもしれない。Dynは声明の中で、「攻撃の詳細や、将来の防御策を維持するための緩和策について、全てを公開する可能性は低いことをご承知おきください」と述べている。
3. IoTが原因
潜在的な攻撃元は未だ全てが特定されていないものの、DynはFlashpointとAkamaiの協力を得て、Miraiボットネットに感染したデバイスが攻撃に関与していたことを確認しました。Miraiボットネットは、デフォルトのユーザー名とパスワードを使用しているデバイスなど、特定のIoT(モノのインターネット)デバイスやスマートホームデバイスを探し出し、それらをボット化してサイバー攻撃に利用します。
IP Architects の社長であるジョン・ピロンティ氏は、Dyn 攻撃は、特に IoT を通じて導入されるすべての新しいエンドポイントが新たな脅威をもたらすという事実を浮き彫りにしていると述べました。
「最近のDDoS攻撃にIoTデバイスが利用されたことは、これらのデバイスの多くが現在いかに脆弱で安全でないかを露呈しています」とピロンティ氏は述べた。「当初はDDoS攻撃に利用されましたが、これらのデバイスは、より広範囲に普及するにつれて、接続先の社内ネットワークへの入り口としても利用される可能性が高いでしょう。」
4. これは終わりではない
Dyn攻撃は規模こそ異例ですが、小規模な攻撃の青写真となる可能性もあります。Miraiボットネットのソースコードが10月初旬に公開されたことで、今回のような攻撃の実行が容易になり、コストも削減される可能性があります。Pironti氏は、Miraiのコード、あるいはBashlightボットネットのコードを使用することで、この種のDDoS攻撃の実行が著しく容易になると述べています。
サイバーセキュリティコンサルタント会社コグニティオの共同創業者で元国防情報局CTOのボブ・ゴーリー氏は、今年のDDoS攻撃は75%増加しており、こうした攻撃の平均規模も拡大していると語った。
「現在、DDoS攻撃の30%以上が10Gbpsを超えるスループットに達しており、これはほぼあらゆる企業を機能不全に陥らせるのに十分な規模です」とゴーリー氏は述べた。「最大の攻撃は600Gbpsを超え、あらゆるインフラプロバイダーを機能不全に陥らせるのに十分な規模です。事実、この種の攻撃は適切なセキュリティ対策を講じることで軽減できますが、それは市民、企業、そして政府による幅広い対策が不可欠です。」
5. IoT業界はより厳しい基準を必要としている
Dynへの攻撃で最も顕著な点の一つは、IoT業界におけるセキュリティのためのより強力な標準とプロトコルの必要性を浮き彫りにしたことです。ピロンティ氏は、「テクノロジー業界でオペレーティングシステムやアプリケーション開発者に求めているのと同じセキュリティ基準を、IoTデバイスメーカーにも求める必要があります」と述べています。IoTベンダーが既知の脆弱性を抱えた製品の製造を許せば、今回のような攻撃が今後さらに増える可能性が高いと、同氏は指摘しています。
「市民は、自分が使用するあらゆるデバイスにパッチを適用し、セキュリティを確保する方法を知る必要があります。あるいは、その方法を知っている人から支援を得るべきです」とゴーリー氏は述べた。「企業は、コミュニティのベストプラクティスを活用して、イングレスフィルタリングを行うようにネットワークを構成する必要があります。政府は、ネットワークプロバイダーに対し、継続的な品質向上を促す必要があります。私たちが提案したいのは、医療のように格付けの仕組みを政府に導入することです。」
