クラウドセキュリティ

blog-what-is-bot2
クラウドセキュリティ

ボットとはの基礎知識2~ボットへの対抗策

第1回では、「ボットとは」と題してボットの最新動向について触れました。(第1回ブログはこちら)そして、本稿では、ボットへの対抗策について解説します。 ボットへの対抗策 ボットも進化していますが、さまざまなボットに対抗するための技術も共有されています。本稿では、これまでに論議され、再現できるボット対抗技術について解説します。 まず、ボットに対抗する技術の基本的な条件があります。 ① 正常ブラウザ(正常なアクセス)のブロックはせずに、悪性ボットのみ検知してブロックをします。正常ブラウザからの接続に影響をおよぼしてはいけません。 ② 既存の運営環境に影響をおよぼしてはいけません。多くの企業がとても複雑なウェブ基盤環境を持っており、例えばCDNを利用したり、ウェブサーバの前にロードバランサ、WAF、IPSなどをプロキシまたはインライン形式で配置して利用したりなど、これら既存のサービス構造に影響をおよぼしてはいけません。 ③ 単純なシグネチャベースの検知やブロックでは十分ではありません。ゼロデイ(未知の攻撃)にも対応できるビヘイビアベースでの検知・ブロックが必要とされます。 これまでのボット対抗技術 初期に活用された対抗技術は次の通りです。 – ユーザエージェントブロック/User-Agent string Block 一番シンプルで効果的な方法です。検索エンジンのような良性ボットは、存在と目的をユーザエージェントに明示します。しかし、多くの悪性ボットは一部のユーザエージェントにこれを明示するものの、まるで正常ブラウザかのように偽造しユーザエージェントが設定されており、これに大きな意味はありません。一般的にスクリプトとしてはlibwww-perl、python-requests、wget、curlなどが使用されています。 – IPブロック/ IP Block 検索エンジンが使用するIPやIP帯域を許可したり、ISPでないクラウド事業者のIPからの接続は正常ブラウザではなくボット接続だと判断する方法です。しかし、同じISPでもIPは随時変更される可能性があるため、これは参考情報程度に留め、絶対的な判断基準にはなりません。 – レート制限/Rate-limit ウェブサイトへの一定時間のヒット数をチェックしてボットをブロックする方法です。正常ブラウザが要求できるリクエスト数には限界がありますが、ボットはブラウザができないほどたくさんのリクエストを要求する特性を逆手に取ります。しかし、モバイルのようなNAT環境※1でこれを活用することはリスクが高い上に、最近のボットは途中でアイドリングするなど進化していることもあり、これは誤検知の可能性がとても高い方法で、現状ではお薦めしていません。

Read More
2017年11月14日
blog-what-is-bot
クラウドセキュリティ

ボットとはの基礎知識1、最新動向と基礎技術

ボット(bot)は、ロボット(Robots)から由来した用語です。ボットとは、本来Googleのように予め指定したルールによってWebサイトをモニタリングしたり、データを収集して情報を簡単に検索・取得できるようにサポートするプログラムを言います。しかし昨今、このボットがサイバー攻撃者に悪用されています。 特定の企業サイトをスキャンして脆弱性を見つけ出し重要情報を搾取したり、スパムコメントを残したり、無作為でID/PWを入力(ブルートフォース攻撃)してログイン侵害したり、Webサーバやネットワークなどに意図的に過剰な負荷をかける攻撃(DDoS攻撃)を仕掛けたりします。 今日のボットは量だけでなく質も進化しています。Webサイトの運営者は、既知のWAF(ウェブ・アプリケーション・ファイアウォール)を導入してこれら問題に対応しようとしがちです。しかし、大抵のWAFがボットの特徴を認識することができません。なぜなら、単純にユーザエージェント文字列で区分して対応したり、レート制限などの古い技術で対応しているためです。 本ブログでは、「ボットとはの基礎知識」と題してボットの最新動向を調査してボットとブラウザを区分する新しい技術でこれに対処する方法を複数回に分けてご紹介していきます。 ボットの最新動向 Webサイトの運営者なら、訪問者数やページビューなどの統計情報を日々モニタリングしつつ、いかに訪問者数を増やしてビジネスを成功に導くかを思い悩みます。 例えば検索エンジンに広告費用を支払っている場合、広告から流入する訪問者の一人ひとりがコスト換算され、これは売上と直接つながるとても重要な情報となります。ところが、訪問者の多くが人(ブラウザ)ではなく、自動化された“ボットプログラム”だとしたらどうでしょうか? 実際にCDNetworksで一部のお客様サイトを対象に分析した結果、ブラウザを利用してアクセスした割合は60%程度で、ボットがアクセスした割合は40%にもおよぶことが判明しました。他のボット分析機関が分析したレポートでも同様の結果が示されており、これが全般的なトレンドであることが分かります。画像1: ユーザとボットの割合, Incapsula参照 興味深いポイントとして、Webサイトの規模が小さいほどボットの割合が大きくなるということです。例えば、1日の訪問者数が10万人を超える大きなWebサイトの場合、ボットは30~40%くらいの割合ですが、1,000人以下のWebサイトの場合には、ボットの割合が80%以上でした。また、深刻に受け止めなければならない事実として、Webサイトの停止や悪意のある接続、そして違法データコピーなどを目的とする悪性ボットの割合が年々増加傾向にあります。 ボットの危険性 ボットは機能によって大きく良性ボット(Good Bot)と悪性ボット(Bad Bot)に分かれます。 GoogleやYahoo, Microsoft Bing, Alexaなどの検索エンジン上で稼動しているボットは、WebサイトをPRしたり、必要とされる情報を提供するために許可された良性ボットです。一方でrobots.txtなどボット標準規則に従わないボットは、Webサイトの所有者の許可なく違法行為を犯す悪性ボットと認識されます。 悪性ボットは次のような問題を引き起こします。 ‐ フェイクオーダー(偽の注文) インターネットで予約サービスを提供する多くの会社がフェイクオーダーに困惑しています。攻撃者が悪性ボットを利用して公演チケットやスポーツ観戦チケット、航空チケットなどを先占したり買占めてしまい、売り切れや満席で購入できないばかりか、インターネット上などで高価取引される問題が発生しています。 対象 :

Read More
2017年10月23日
blog-web-server-management-security-guideline
クラウドセキュリティ

Webサーバ運営時のセキュリティ対策ガイドライン

最近、Linuxサーバを利用してホスティングサービスを展開するある企業がランサムウェアに感染し、このホスティングを利用していたお客様のホームページが、ランサムウェアの警告メッセージに変わってしまうというセキュリティ事故が初めて発生しました。残念ながらこのケースでは、身代金を支払ったにも関わらずデータが戻ることはなく、バックアップデータが失われてしまったがために、お客様のホームページは回復困難な状態に陥りました。結局、未だこの事故に関する正確な情報は明らかにされておらず、身代金を窃取した犯人も分かっていません。 ただ、この手のセキュリティ事故は、程度や方法の違いはあれ、あらゆる企業において発生する危険性が少なからずあることは事実です。そこでこの機会に、Webサービスを提供する企業にとって必須の、Webサーバ運営に関わるセキュリティポリシーについて考察します。 PCからWebサーバへのダイレクトなアクセスを禁止し、ゲートウェイを介してアクセスさせることの必要性 網分離、ネットワーク分離 インターネットに接続して、PCを介してメールを送受信し​たり、ネットサーフィンをする場合、そのPCはいつでもマルウェアに感染する危険性があり、感染してしまうと最終的には、攻撃者によるリモートコントロールが可能になってしまうことを認識しておく必要があります。いくら最新のセキュリティパッチを適用していたとしても、まだ世の中に知られていない脆弱性もたくさん存在するため、自分も知らない間に悪意のあるコードがインストールされて感染してしまう可能性があるためです。 下図からも脆弱性の公開直後に攻撃が急増していますが、いくつかは脆弱性が公開される以前から攻撃が発生していることが分かります。 ▲ゼロデイ脆弱性公開前後のFW つまり、感染の可能性があるPCの使用は、常にセキュリティ事故が発生するリスクを抱えているため、ホスティングに置いているWebサーバにアクセスする場合には、分離されたネットワーク上のデバイス、すなわち網分離されたネットワークを介して接続することが大切です。 (もちろん、最近の研究により、ネットワーク分離環境でも様々なリスクがあることが知られていますが、網分離が現実的に最も安全な方法の一つであることは明らかです。) PCからWebサーバへのダイレクトなアクセスを禁止し、ゲートウェイを経由する Webサーバ運営のためにSSHやRDPなどを介してLinuxやWindowsサーバへアクセスをする場合は、便宜上PCからダイレクトにアクセスするケースが多いのが現状です。この際に、オフィス全体や人事・総務チームなど、運用チームと関係のないIPアドレスを許可したり、rootやadminなどの共有アカウントを使用したりする場合には、実際に誰がアクセスしたか履歴を追跡するのに困難が生じるなど、様々な問題点があります。 これらの問題点を解消するには、SSHやRDPを介したWebサーバへのアクセスのために別のゲートウェイを作成し、このゲートウェイを介してのみアクセスができるようにACLの設定を行うのが良いでしょう。なぜなら、この構成にすることで、Webサーバにアクセスするための要所となるゲートウェイだけを集中的に監視して管理すればよいからです。もちろん、Webbサーバから別のWebサーバへの直接アクセスも遮断し、必ずゲートウェイを介してのみアクセスするように強制しなければなりません。 ゲートウェイを介したアクセス時に、2段階認証のOTPを活用する 単純なID / PWまたはKeyを利用したアクセスは容易に推測することができるため、悪用されてしまう可能性があります。例えばオペレーターのPCにキーロガー(PCのキーボードの入力内容を追跡するスパイウェア)を設置して認証情報を取得したり、その他の手法を利用して推測されたりすることもあり得るためです。 すなわち、接続者が本人であることを確認するために、PC以外のデバイスを介して認証を得る構成にすることが大切です。そこでお勧めしたい最も簡単で効率的な2段階認証は、OTP(ワン・タイム・パスワード)です。SSHやRDPを介したWebサーバへのアクセス時にOTPを利用して追加の認証を受けるような仕組みにすると良いでしょう。 Google OTPはフリーで簡単に利用することができます。また、様々な管理機能を提供するDuo OTPのような市販のOTPの導入も有効です。ただし、OTP導入時の注意点は、ゲートウェイにアクセスする端末(PCなど)とは別のデバイス(スマートフォンなど)を必ず活用しなければならないという点です。もし、ゲートウェイにアクセスする端末にOTPソフトウェアをインストールして利用する場合には、攻撃者に悪用されてしまう危険性が生じることを予め考慮してください。 ▲グーグルOTP活用 定期的なセキュリティチェック 新しい脆弱性は、日々新たに公開されていますが、これをすべて追うことは容易ではありません。セキュリティを専門に担当する私でさへも、オペレーティングシステムに果たしてその脆弱性があるかどうか分かりづらいのが実情です。このような問題を解消するためにOpenVasやnmapまたはNessusなどの脆弱性スキャンを利用して定期的にシステムのセキュリティスキャンを実行することをお勧めします。 ▲Nessus脆弱性点検結果画面 OpenVasやnmapのようなオープンソースまたは公開版であっても、以前とは異なり、誤検知や検出漏れは大幅に改善されており、業務活用に支障はありません。特にホスティングのような大規模システムを運営している場合は、nessusは大きな業務負荷がなく活用できるソリューションです。スケジュール機能を利用して、定期的にスキャンを実行し、結果をメールで受信することができます。

Read More
2017年8月7日
blog-brute-force-of-xor-ddos-attacks
クラウドセキュリティ

XOR.DDoS攻撃の分析、インフォグラフィック

2015年9月に、Linux用のマルウェアを利用した150Gbpsを超える大規模なXOR.DDoS攻撃が発生しました。XOR.DDoSとは攻撃名称ではなく、Linuxに感染させるためのマルウェアの名称で、2014年9月に検出され、これまで多くのセキュリティサービス事業者やブログを通じてマルウェアの分析内容が公開されています。 CDNetworksは、9月14日に新ホワイトペーパー「XOR.DDoS 攻撃とその対策」を発表しました。 >> ダウンロードはこちら 今までのLinuxを利用した一般的なDDoS攻撃の仕組みは、Linuxシステムの脆弱性を悪用したものでした。しかしXOR.DDoSは、これまでのWindows PCに攻撃を行う仕組みと同様に、Linuxシステムをゾンビ化させてC&Cサーバを介して攻撃を行うことができる、遠隔操作機能が組み込まれたLinux用マルウェアです。 今回は、2016年6月に発生したXOR.DDoS攻撃について分析した結果をインフォグラフィックにまとめました。また、攻撃を阻止するための方法も以下にてご紹介いたします。 XOR.DDoS攻撃は、意味のない文字列を含めることでデータボリュームを巨大にしたSYNパケット送信することで、ネットワークに過度な負荷をかけます。このデータ量はほとんどの一般企業が持つネットワークキャパシティを大きく超えるため、深刻な脅威です。 これまでは大規模なトラフィックをブロックするためにはネットワークの上位でUDPをブロックまたはソースポートを遮断する方法が使われてきました。しかし、XOR.DDoS攻撃ではTCPが利用されているため、これまでの方法では対処する事ができず、大規模なネットワーク回線が必要です。しかし、それを企業が自社で用意し、運営するには膨大な費用がかり、大規模なトラフィックを有する企業でない限りとても非効率な方法です。 そこで最近では、大規模ネットワークと豊富なキャパシティを有するCDNベンダが、自社のCDN配信プラットフォーム上でDDoS攻撃を遮断するセキュリティサービスを提供しています。お客様は、CDNを利用することで、外部からの攻撃に対して自社のウェブサービスを安定した配信環境で、コスト効率よく、セキュアに維持することができます。 CDNetworksでは、クラウド・セキュリティDDoS対策「フラッド・シールド」を提供しています。サービスの詳細については、以下よりご覧いただけます。 http://www.cdnetworks.co.jp/solution/ddos.html 詳しく知りたい場合には、お気軽にお問い合わせください。 ================================== ■お問い合わせはこちら >>お問い合わせフォーム ■その他資料のダウンロードはこちら >> 資料ダウンロード ================================== ☟CDNetworksでは、セキュリティレポートも提供中です。是非ダウンロードしてご一読ください。 株式会社シーディーネットワークス・ジャパン  TEL:03-5909-3373(営業部)

Read More
2016年9月20日
event report image
イベントレポート

Game Developers Conference、ブラジルとアジアに熱い視線

本記事は、現地時間2016/3/17に公開されたCDNetworks USAのブログ記事INTEREST IN BRAZIL AND ASIA AT GAME DEVELOPERS CONFERENCEを翻訳したものです。     サンフランシスコでは今週大変良い天気の中、世界で最も大きなオンラインゲームのカンファレンスイベント「Game Developers Conference」が行なわれています。およそ28,000人もの人が参加しているとのことです。   私は昨日、CDNetworksのブース運営にあたっていましたが、本当に多くのゲーム会社の方から「アメリカ国外への展開に興味がある」というお話を聞くことができました。その中で、南米、特にブラジルではオンラインゲームに対する興味が高まっていると話されていた方もいらっしゃいました。南米のデジタルゲーム市場は「クラウンジュエル」と呼ばれることがあります。SuperData Researchによると、ブラジルはその中で3番目に大きい市場を有しており、その市場規模は2017年までに16億ドルに達すると予想されています。ゲーム会社がブラジルでのパフォーマンスを改善したいと考えるのももっともです。そしてCDNetworksはブラジルに2つの配信拠点を有していますし、他にもメキシコ、ペルー、アルゼンチン、チリ、コロンビアにもあり、南米全体をカバーしているため、そうした企業を支援することができます。(CDNetworksが選ばれる理由:世界主要都市を結ぶグローバルネットワーク)   CDNetworksは中国本土やアジア全体に配信プラットフォームを展開していることで知られていますが、そうした地域へ新たに展開したいというお話も多く伺いました。多くのスタートアップにとってアジアは「いつか攻めたい地域」ですが、より大きなタイトルを有するゲーム会社は既にアジア進出の準備があるようです。特に中国はそうした企業にとって今もっとも熱い市場です。14年間禁止されていたゲーム機の販売が2014年に解禁されたことも、その契機となりました。MarketMeChinaによると、中国のインターネット人口のうち60%がオンラインゲームを利用しており、これは2015年には2億6600万人に達すると予想されています。   それから、お話しさせていただいたすべての方に、私たちが提供するDDoS攻撃防御サービス(クラウド・セキュリティ DDoS)についてもご紹介しました。どんなゲーム会社も、自社のアプリケーションに脆弱性があると考えたくはないものですが、CDNサービスの一部分にこうした防御の機能を持たせておくことで、損害を防ぐことができます。最近もある顧客で経験したことですが、CDNetworksはゲームローンチの日であっても、DDoS攻撃による大きな突発的トラフィック増に耐えることができました。   一つ面白い話をしますと、展示会の中で私が耳にした最もおかしな会話は

Read More
2016年3月18日

【2016/3/3 講演録(4)】DDoS攻撃の防御事例、DDoS攻撃対策を検討する際のポイント

本記事は、2016年3月3日に開催されたイベント「Security Days Tokyo 2016」にてCDNetworksが行なった講演「CDNだからこそできるクラウド型DDoS防御と標的型攻撃への対応策~実録データから読み取る2015年の攻撃トレンドとDDoS攻撃トラフィックレポート」の内容を全4回にわたりブログ化したものです。 第1回 第2回 第3回 第4回(本記事) また、各記事の末尾に講演資料のダウンロードリンクを設置しています。あわせてご利用ください。   前回まで、DDoS攻撃の最新動向、その中心にいるアノニマスについて、最近増加しているSSDP攻撃について、そしてCDNだからこそできるDDoS攻撃対策の形についてご説明しました。本記事では、CDNetworksがお客様に向けて発生したDDoS攻撃を防御した事例を4つご紹介します。 DDoS攻撃の防御事例1:某国大統領府 某国の政府機関に導入いただいた事例です。2009年に国内の金融企業、ECサイト、ポータルサイトなどに対して同時にDDoS攻撃が発生した「7.7DDoS大乱」をきっかけにDDoS攻撃への対策方法を検討し、当社へお問い合わせをいただきました。DDoS攻撃への対策のほか、ウェブサイトや動画の高速化・安定化をしたいというニーズもあり、CDNetworksをご選択いただきました。 2015年の一年間でUDPフラッド、GETフラッドなどさまざまな攻撃が大小合わせて33回発生していますが、すべて当社のプラットフォームにて攻撃を撃退できているため、ウェブサイト本体への影響はありませんでした。     DDoS攻撃の防御事例2:有名テレビ通販企業 テレビで告知を行なった瞬間に一斉にアクセスが集中する、という特性を持ったウェブサイトをお持ちの企業です。サイトのダウンは販売機会の損失に直結するため、攻撃を受けても絶対に止まらないサイトにしたい、ということでCDNetworksのクラウド・セキュリティを導入いただきました。 このお客様のウェブサイトは通常一秒あたりのリクエスト数が300程度なのですが、先日この数字が突然1,500まで伸びました。当社のプラットフォームで即座に攻撃を遮断することができ、また一般のエンドユーザからの正常なアクセスは問題なく受け付け続けたため、大変喜んでいただきました。     DDoS攻撃の防御事例3:上海の某自動車ポータルサイト 次に、中国の自動車関連ポータルサイトの導入事例です。頻繁にDDoS攻撃を受けるということで、当社のクラウド・セキュリティを導入いただきました。 導入後発生した攻撃は20Gbpsと比較的大きなものでしたが、当社のプラットフォームでしっかりと防御することができました。15分おきに2回、1回につき2-3分同程度の攻撃が発生しましたが、攻撃者も想定外だったのでしょうか、この攻撃はすぐに終了しました。  

Read More
2016年3月15日

【2016/3/3 講演録(3)】SSDP攻撃とは、一般的なDDoS攻撃対策の問題点、CDNだからこそできるDDoS攻撃対策の形

本記事は、2016年3月3日に開催されたイベント「Security Days Tokyo 2016」にてCDNetworksが行なった講演「CDNだからこそできるクラウド型DDoS防御と標的型攻撃への対応策~実録データから読み取る2015年の攻撃トレンドとDDoS攻撃トラフィックレポート」の内容を全4回にわたりブログ化したものです。 第1回 第2回 第3回(本記事) 第4回 また、各記事の末尾に講演資料のダウンロードリンクを設置しています。あわせてご利用ください。   SSDP攻撃とは 前回の記事では最近のトレンドとして、増幅型攻撃、なかでもSSDP攻撃が増えていると紹介しました。ではSSDP攻撃とはどんな仕組みの攻撃なのか、簡単にご説明します。 SSDPとは、Simple Service Discovery Protocolの略で、UPnP(Universal Plug and Play)の中で使われるプロトコルです。UPnPは、接続するだけで自動的に各種設定を実施し、機器をネットワークに参加できるようにするもので、家庭内のPCやルータ、プリンタといった機器でも多く使われています。 家庭内で使われている機器の中には脆弱性対策がとられていないものも多く、世界中にSSDPの踏み台にできる機器が大量に存在しています。これは攻撃者にとって非常に都合が良い状態です。     また、SSDPの大きな特長の一つに、要求パケットに比べて応答パケットのサイズが非常に大きくなるというものがあります。以下のキャプチャを見ると、パケットサイズは約30倍に増幅していることがわかります。こうした背景から、実際に攻撃を発生しやすく、大きなトラフィックを発生させることができるため、SSDP攻撃が増えているものと考えられます。    

Read More
2016年3月11日

【2016/3/3 講演録(2)】アノニマスとは、2016年度版DDoS攻撃レポートの解説

本記事は、2016年3月3日に開催されたイベント「Security Days Tokyo 2016」にてCDNetworksが行なった講演「CDNだからこそできるクラウド型DDoS防御と標的型攻撃への対応策~実録データから読み取る2015年の攻撃トレンドとDDoS攻撃トラフィックレポート」の内容を全4回にわたりブログ化したものです。 第1回 第2回(本記事) 第3回 第4回 また、各記事の末尾に講演資料のダウンロードリンクを設置しています。あわせてご利用ください。   アノニマスとは 既にご存知の方も多いかもしれませんが、アノニマスとは、匿名で活動する国際的ハッカー集団のことです。メンバーは固定されず、インターネットを通じてゆるく繋がっているようです。サイバーテロを行ないますが、愉快犯ではなく思想に基いている、という意味でハクティビスト(Hacktivist)と呼ばれます。 「思想」が理由であれば日本はターゲットにならないのでは、とお考えの方がいらっしゃるかもしれませんが、実は、アノニマスは日本に対しての攻撃を既に宣言しています。その理由は、イルカ漁への抗議です。”OpKillingBay”と言うオペレーションコードで、2016年に入ってからも日本企業への攻撃は増えています。 以下は、2016年に入ってから報じられたDDoS攻撃の例です。公的機関だけでなく、民間企業までもが標的になっているということがおわかりいただけるのではないでしょうか。     DDoS攻撃レポートの解説:回数・規模ともに増大を予想 ここで、当社が2016年2月に発行しましたDDoS攻撃の最新動向レポートについて簡単に解説します。     攻撃の件数ですが、2014年は2013年に比べて29%増加しましたが、2015年は2014年に比べて209%増加しました。これはDDoS攻撃のターゲットとなる企業や業種が多様化したこと、かつ、攻撃ツールの入手が容易となり、攻撃に要する費用が安くなったことも要因と考えられます。2016年もこの傾向は続くと予想され、件数はさらに増えることでしょう。     攻撃の規模についても、拡大しています。2014年までは、1Gbps以下の比較的小規模な攻撃が多数を占めていましたが、2015年は1~5Gbpsの攻撃が多数を占め、さらに10Gbps以上の攻撃が初めて全体の20%以上を占めるなど、攻撃規模の平均が大きくなっています。2016年は更に大規模な攻撃の割合が増えるものと予想されています。  

Read More
2016年3月8日

【2016/3/3 講演録(1)】2015年~2016年 最新のDDoS攻撃トレンド、攻撃の動機

本記事は、2016年3月3日に開催されたイベント「Security Days Tokyo 2016」にてCDNetworksが行なった講演「CDNだからこそできるクラウド型DDoS防御と標的型攻撃への対応策~実録データから読み取る2015年の攻撃トレンドとDDoS攻撃トラフィックレポート」の内容を全4回にわたりブログ化したものです。 第1回(本記事) 第2回 第3回 第4回 また、各記事の末尾に講演資料のダウンロードリンクを設置しています。あわせてご利用ください。   多様な攻撃手法のうち、被害件数が多いのは 企業が受ける攻撃手法は多様化しており、被害件数・被害額も増大しています。その中で被害件数が多い攻撃にはどんなものがあるでしょうか。     機械的に防げない巧妙な手口での攻撃 事前に管理者権限のIDとパスワードを盗むなどして、ウェブサーバのコンテンツを改善したり、マルウェアを仕込んだりといった標的型攻撃。挙動上は問題ない場合があり、機械的に防ぎづらいものも多いようです。 セキュリティの脆弱性をついた攻撃 SQL Injectionなどに代表される、ウェブアプリケーションやCMSなどの脆弱性をついた攻撃。脆弱性診断やタイムリーなアプリバージョンアップなど、ある程度防ぐ方法が存在します。 大量のトラフィックによる攻撃 いわゆるDDoS攻撃・DoS攻撃と呼ばれる攻撃。小細工をすることなく突然大量のトラフィックを送りつけてくる力ずくの攻撃です。ウェブ上で展開しているサービスが停止してしまう場合もあり、被害件数・被害額ともに非常に大きくなってきています。   数で見るDDoS   次に、関連する数によってDDoS攻撃を解説します。1週間のDDoS攻撃代行費用が150ドルと非常に小額であるため、世界中で一日2,000件以上のDDoS攻撃が発生しており、サーバダウン障害のうち原因がDDoS攻撃とされるものは全体の1/3を占めるまでになっています。

Read More
2016年3月7日
blog-keep-an-eye-on-the-traffic-volume-of-ddos-attacks
クラウドセキュリティ

DDoS攻撃のトラフィック規模増大に注意

CDNetworksは2月17日に新ホワイトペーパー「2016年度版 DDoS攻撃の動向と今後の見通し」を発表しました。本記事では、そのレポート中から特に2016年に予想されるDDoS攻撃の動向について簡単にご紹介します。 >> ダウンロードはこちら DDoS攻撃のトラフィック規模はさらに増大 2013年から2014年にかけて、DDoS攻撃の平均トラフィックは一度減少したものの、2015年は一気に上昇しました。2016年も同様にDDoS攻撃の規模は増えることが予想されており、10Gbps以上の大規模なDDoS攻撃が増加すると考えられます。 増幅型攻撃のトレンド変化 攻撃パターンは複合型に 増幅型攻撃の中でいま最も多く発生しているのはSSDP攻撃です。2015年に続き、2016年も大きな割合を占めることでしょう。2014年から2015年頭にかけて多く発生したNTPやDNSを利用した増幅型攻撃は、企業による対策が施され多くのパッチ適用がなされたため、大規模なトラフィックを発生させることが難しくなってしまいました。そのため、SSDP攻撃が増えただけでなく、複合型攻撃が増えました。 *SSDP攻撃とは UPnP(ネットワーク上の機器を自動的に検知・接続する)で用いられるSSDPというプロトコルを悪用した攻撃。発信元を偽造してリクエストを発信し、リクエストよりも応答の方がパケットが大きくなる仕組みを利用して攻撃対象機器に大きな応答パケットが送られるようにする。 *NTP攻撃 正確な時間を取得するためのNTPというプロトコルを悪用した攻撃。リクエストに対し応答のパケットが数十倍・数百倍になる機能「monlist」を有しており、これを利用した増幅型攻撃が多く観測されている *DNS攻撃 オープンリゾルバの状態になっているDNSサーバを悪用した攻撃。DNSのキャッシュ機能に大容量の文字列を並べた文字データを保存させておき、ウィルスに感染させ遠隔沿う亜可能な多数のゾンビPCから、発信元を偽造して当該データへのリクエストを送信することで、攻撃対象に巨大な応答パケットが送りつけられる仕組み。 IoTデバイスのセキュリティに注意 モノのインターネット(IoT)の普及に伴い、IoTデバイスを利用したSSDP攻撃も今後増えることが予想されています。従業員のPCや、サービスを運用するためのサーバやスイッチなどはセキュリティ部門による管理がきちんとなされていても、IoTデバイスのセキュリティ対策は事業部門による管理となっている場合もあるようです。 その他、Booterを利用した攻撃、クラウドサービスを利用した攻撃などの増加も予測されています。詳細は、最近の動向を踏まえ、2016年のDDoS攻撃について予測した資料「2016年度版 DDoS攻撃の動向と今後の見通し」をご覧ください。以下よりダウンロードしていただけます。 詳しく知りたい場合には、お気軽にお問い合わせください。 ================================== ■お問い合わせはこちら >>お問い合わせフォーム ■その他資料のダウンロードはこちら >> 資料ダウンロード ================================== ☟ホワイトペーパーはこちら。是非ダウンロードしてご一読ください。 株式会社シーディーネットワークス・ジャパン  TEL:03-5909-3373(営業部)

Read More
2016年2月22日

© 2025 CDNetworks Japan Co.,Ltd. All rights reserved.

Facebook Twitter Linkedin Youtube

03-5843-5487   |   support@cdnetworks.com