FBIがサイバー犯罪者による大規模なDDoS攻撃を目的とした、新たな脅威が今後増大する可能性に警鐘を鳴らしている。どのような事態が想定されるのか、詳細を解説する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
FBI(連邦捜査局)では、DDosリフレクション攻撃に、標準装備のネットワークプロトコルが悪用される懸念が増大しているとして、米国の民間組織に警告を発した。
FBIによると、「DDoSリフレクション攻撃は、攻撃者が少量のリクエストをサーバーに送信し、サーバーが被害者により多くのレスポンスを返すことで発生する。多くの場合、攻撃者は送信元のIP(インターネットプロトコル)アドレスを偽装して、被害者のマシンが許容できるレベルを超えた負荷をかける」としている。この警告は、NJCCIC(ニュージャージー・サイバーセキュリティ・アンド・コミュニケーション・インテグレーション・セル)のWebサイトも含め、オンライン上に投稿されている。
FBIは、直近の脅威の動向と展開を注視している。ネットワークプロトコルを悪用した最初のDDoSリフレクション攻撃は2018年12月に発生し、CoAP(Constrained Application Protocol) *1のマルチキャストとコマンド送信機能を悪用していたと指摘している。インターネットでアクセス可能なCoAPデバイスのほとんどは、中国で発見されており、P2P(ピアツーピア)のネットワークを使用している。
*1 低電力下など、何かしらの制約がある中での通信を想定して作られたインターネットアプリケーションのプロトコル。
2019年の夏には、WS-DD(Web Services Dynamic Discovery:Webサービス動的検出)プロトコルを狙った130を超えるDDoS攻撃が行われ、毎秒350GBの規模に迫るものもあった。IoT(モノのインターネット)デバイスは、WS-DDプロトコルを使用して近くのデバイスを自動的に検出する。このようなデバイスが63万台に及んだため、DDoS攻撃を増幅するのに格好の餌食となった。同年、DDoS リフレクション攻撃に、誤って設定されたIoTデバイスが数多く利用されていることも研究者から報告された。
2019年10月、サイバー攻撃者がARD(Apple Remote Desktop:アップルリモートデスクトップ)の一部を構成する、ARMS(Apple Remote Management Service:アップルリモートマネジメントサービス)を悪用し、DDoSリフレクション攻撃を仕掛けている。このプロトコルは日常的に、大企業が自社のAppleコンピューターを管理するために使用されているものだ。
2020年2月には、研究者がJenkinsサーバーの標準装備のネットワークの検出プロトコルに脆弱性を確認したが、これは被害者に対してDDoS攻撃のトラフィックを100倍近くに増幅する可能性があるとの指摘を受けている。現時点ではこの脆弱性が悪用された記録は残っていないが、FBIは結果的に攻撃対象が増加していることを強調している。
FBIは、民間の産業向けの非公開な通達において、「近い将来、サイバー犯罪者は標準搭載のネットワークプロトコルがデフォルトで有効になっている多数のデバイスを悪用し、壊滅的なDDoS攻撃が可能な大規模なボットネットを構築する可能性も考えられる」と述べている。
FBIでは、この脅威に対する防御策をいくつかまとめている。
- すべての権限のないIPアドレスをブロックするように、ネットワーク上のファイアウォールを設定する
- 接続されているすべてのデバイスを最新のファームウェアに更新し、最新のセキュリティパッチを適用する
- IoTを含め、すべてのデバイスの初期設定のユーザーIDとパスワードを変更し、二段階認証を使用する
- IDMS(Intelligent DDoS Mitigation Systems)などのDDoS攻撃緩和サービスを利用する
DDoS攻撃は通常、ボットネットとしてまとめられた多数のデバイスから大量のトラフィックをターゲットに送りつけ、被害者のサービスを追い込む。このような攻撃は、ターゲットから金銭を奪取する、あるいは別の攻撃を隠すために用いられることが多い。さまざまな動機があるものの、あらゆるDDoS攻撃によって企業では数百万ドル規模の損害がもたらされていることがよく知られている。