Kasperskyは11月8日(米国時間)、2021年第3四半期のDDoS攻撃について総括したレポート「Kaspersky Q3 2021 DDoS attack report」を公開した。同レポートでは、この四半期の間に2種類の新しい攻撃ベクトルが現れ、主要なWebリソースにとって今後の深刻な脅威になる可能性があると指摘されている。そのほか、強力なボットネット「Mēris」の発見、前年同四半期や前四半期と比較して、DDoS攻撃の数が大幅に増加したことなどが報告された。

  • DDoS attacks in Q3 2021

    DDoS attacks in Q3 2021

Kasperskyによると、新たに登場した攻撃ベクトルの一つはTCPによるスプーフィング(なりすまし)を悪用したものだという。従来のDDoS攻撃は、接続の確立を必要とせず、IPアドレスのスプーフィングが可能なことから、UDPプロトコルを使用して実行されていた。しかし、今年新たにTCPによってスプーフィングを行う手法が発見されたことで状況が変わる可能性が危惧されている。新しい攻撃はクライアントとサーバの間にあるファイアウォールなどのセキュリティデバイスをターゲットにして実施される。これらのデバイスはセキュリティ機能の性質上、TCPセッションの有効性を監視せずに受信パケットに反応することがあるため、意図的に不正なTCPパケットを送りつけることでDDoS攻撃が成立する可能性があるとのことだ。

新たに登場した2つ目の攻撃ベクトルは「Black Storm」と呼ばれるもので、同じネットワーク内の他のデバイスを装って、通信サービスプロバイダー(CSP)ネットワーク内の任意のデバイスの閉じたポートに対してリクエストを送信する。ターゲットとなったデバイスはポートが使用できない旨のメッセージで応答する。このような不正なリクエストを意図的に大量に送りつけることで、ターゲットのデバイスを過負荷状態にできる可能性がある。

第3四半期においてさらに特筆すべき点として挙げられているのが、「Mēris」と呼ばれる強力なDDoSボットネットの発見だ。Mērisは主にMikroTik社製の高性能ネットワークデバイスで構成され、HTTPパイプラインを使用して短時間に大量のリクエストを送信することが可能だという。第3四半期にはニュージーランド全体で大規模なDDoS攻撃が広がったが、その一部はMērisによるものであることが判明している。

全体的な傾向としては、2021年第3四半期のDDoS攻撃の数は、前年の同期間(2020年第3四半期)や、前四半期(2021年第2四半期)と比べても大幅に増加したことが報告されている。一般的にDDoS攻撃の数と暗号通貨の市場価値には相関関係があるとされてきた。これはDDoS攻撃市場と暗号通貨のマイニング市場がコンピュータの計算リソースを奪い合うためで、暗号通貨の価値が高いときにはDDoS攻撃が下火になる傾向があった。それに対してこの四半期は、暗号通貨の価値が依然として高いままであるにもかかわらず、DDoS攻撃も増加しており、この動きは注目に値すると指摘されている。

  • 2021年第2四半期と第3四半期、および2020年第3四半期のDDoS攻撃の数の比較

    2021年第2四半期と第3四半期、および2020年第3四半期のDDoS攻撃の数の比較 資料:Kaspersky

上記に加えて、DDoS攻撃の傾向をまとめた各種統計や分析についても掲載されている。例年、第4四半期はDDoS攻撃の勢いが増しやすいことが知られているため、企業のセキュリティ担当者は対策のためにも今年の傾向をつかんでおくとよいだろう。