Black Hat 2016 でのプレゼンテーションのご紹介 – DDoS-as-a-Service の研究・調査
2016 年 8月 10 日、Marc Laliberte 著
ラスベガスで先週開催された Black Hat と DEF CON で、私は、情報セキュリティの優れた研究者によるいくつかのプレゼンテーションに参加する機会に恵まれました。その中でも特に興味深かったいくつかのプレゼンテーションを、今日以降のいくつかの記事でご紹介したいと思います。
先週の木曜日の Black Hat のプレゼンテーションで、FBI 特別捜査官の Elliot Peterson(エリオット・ピーターソン)氏と Malware Patrol の共同設立者である Andre Correa(アンドレ・コレア)氏は、調査目的で DDoS-as-a-Service をハッカー市場で購入した経験を含む、DDoS 攻撃に関する調査結果を公開しました。両氏のプレゼンテーションでは、DDoS 攻撃、過去および現在のいくつかの異なる攻撃方法、DDoS-as-a-Service を利用した体験談などが紹介されました。
初期の DDoS 攻撃は、サイバー犯罪者が標的から金銭を盗み取る段階でオンラインバンキングのアカウントにアクセスできないようにする手段として使用されていました。今では、犯罪、政治活動、あるいは単なる悪戯といったさまざまな目的で、DDoS が一般的なツールとして使われるようになっています。DDoS 攻撃ではこれまでに、アプリケーション攻撃(Brobot の例など)、ボットネットのツールキット(Dirt Jumper など)、特定のアプリケーション脆弱性(NTP の monlist など)、LOIC ツールといった方法が使用されてきました。両氏の研究で、最近は増幅やリフレクションなどのテクニックや IoT ベースのボットネットが使われるようになり、攻撃が高度化してきていることがわかりました。さらには、DDoS-as-a-Service を簡単に利用できるようになったことで、クレジットカードやビットコインでの支払が可能であれば、誰でも攻撃を始められるようになっています。
両氏は研究の一環として DDoS-as-a-Service のサイトを訪問し、いくつかのサービスプロバイダと契約して、テスト用の標的に実際に侵入できるかどうかを実験しましたが、彼らのテストによって、たくさんの興味深い結果が得られました。まず初めに、おそらくは誰もが想像するように、サービスプロバイダの多くは、代金を騙し取るだけで、実際には何の攻撃も開始されないものでした。実際に DDoS 攻撃が実行されなかったサービスプロバイダはいずれも、宣伝文句どおりの帯域幅を記録することはありませんでした。ほぼすべてのサービスプロバイダが攻撃の帯域幅は 250Gbps 以上としていたにもかかわらず、30Gbps 以上を記録したプロバイダは 1 つもなく、実際には、せいぜい 1~5Gbps 程度でした。また、ピーク帯域幅が数分以上続くことは 1 度もなく、宣伝している攻撃時間の長短にかかわらず、極めて短時間で帯域幅が減少しました。こういった怪しげなサービスの宣伝文句は我々の予想どおり、信用度がとても低いものであることがわかりました。
両氏は、ターンキー DDoS のサービスプロバイダもいくつも発見し、テストしました。これらのプロバイダは、DDoS 攻撃に使用するサーバーをレンタルするサービスを提供しています。通常、それらのサーバーには、攻撃用スクリプト、API の機能、攻撃先リストなどが提供されていて、それらを使って増幅攻撃に開始できます。そして、(リフレクション型 DDoS 攻撃のための)IP ヘッダーのスプーフィングを可能にするために、ISP の背後でホスティングされます。また、これも当然ながら、これらのサーバーのセキュリティは万全ではなく、両氏はいくつかの脆弱性を攻撃し、標的とする宛先のリストを発見することができました。
以上の調査結果から、両氏は、DDoS-as-a-Service の効果は極めて低く、簡単に防御できると結論付けました。いずれの攻撃も継続時間は極めて短く、ほとんどが、ピーク帯域幅も比較的少ないものでした。DDoS-as-a-Service の標的で短時間のサービス中断が発生する可能性はありますが、攻撃が長く続くことはありません。攻撃のほとんどは、ISP が RFC2827 などのスプーフィング対策を講じることで緩和できます。クライアント側では、(たとえば、ウォッチガードの Firebox でご利用いただけるような)DDoS 保護ツールでほとんどの攻撃を制限できます。両氏は結論として、自分が使用するサービスには十分に注意するべきだと呼びかけました。そして、具体例として、オンラインゲームを利用すれば、DDoS 攻撃の標的になるリスクが高くなり、手痛い思いをすることになる可能性は高くなると助言しました。
– Marc Laliberte