Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Cloudflareは1,720万RPSの攻撃を耐えた

つぶやいてみた。

本日のニュースをチェックしていてCloudflareが8/19(木)に過去最大のDDoS攻撃を受けた事が出ていました。

thehackernews.com

 

元ソース(Cloudflare)

Cloudflare thwarts 17.2M rps DDoS attack — the largest ever reported  (8/19)

今年の夏の初め、Cloudflareの自律エッジDDoS保護システムは、1720万リクエスト/秒(rps)のDDoS攻撃を自動的に検出して軽減しました。これは、私たちが認識している以前の攻撃のほぼ3倍の攻撃です。この攻撃の大きさの観点から:Cloudflareは平均して1秒あたり2500万を超えるHTTPリクエストを処理します。これは、2021年第2四半期の正当なトラフィックの平均レートを指します。したがって、ピークは1,720万rpsで、この攻撃は正当なHTTPトラフィックの第2四半期の平均rpsレートの68%に達しました。

 

キタきつねの所感

7月の攻撃に受けたDDoS攻撃(HTTP要求)の分析結果の様です。7月という事は・・東京五輪に関係する攻撃か?とも考えられそうですが、関連記事を見ると「金融業界の顧客の1つ」と書かれていたので恐らく関係が無いのかと思われます。

※最近システム障害が多いメガバンクM・・・が一瞬頭をよぎりましたが、7月は”穏便”だったはずです。

Cloudflareの1秒あたりの平均リクエスト数とDDoS攻撃の比較グラフ

大手CDNであるCloudflareの四半期平均レート(正常リクエスト)が1秒2,500万のHTTPリクエストに対して、その7割弱に当たる1,720万RPS(Request per second)の過去最大のDDoS攻撃があったと考えると、Cloudlareでも”落ちそう”な気がしますが、Cloudflareが誇る自立エッジDDoS保護システムは耐えきった様です。

 

参考:

f:id:foxcafelate:20210821091626p:plain

 

1つ気になるのが、攻撃をかけてきたBOTが『Mirai』だと言う事。Miraiマルウェア(亜種)は、2016年頃からかなり問題になっていましたが、日本ではNOTICE等の取り組みにより減少傾向にあったかと思います。

今回のCloudflareの分析データを見ると、攻撃送信IPアドレス上位国に日本は入ってませんが、海外ではまだまだ脅威である事が良く分かります。インドネシア、インド、ブラジル、ベトナムウクライナ・・・IPアドレスで考えると、こうした国々にかなり感染端末が存在する可能性が高く、そうした国々からの攻撃対象が”日本組織”に向かってきた場合には、耐えきれない所が大多数かと思います。

f:id:foxcafelate:20210821092315p:plain

 

Cloudflareの観測データの中で、もう1点気になったのが、過去数週間ベースのMirai DDoS攻撃の傾向で、6月からL3/4攻撃が高いレベルで推移している事もありますが、8月の暫定データではL7(=アプリケーションレイヤー)攻撃が急増している点です。

※詳しく書かれてはいませんが、APIを標的にした攻撃が増えているといった事も考えられますので、日本でも警戒しておいた方が良いかも知れません。

 

f:id:foxcafelate:20210821092900p:plain

 

少しデータが古いかも知れませんが、5月のNICTERの観測データでは日本のMirai感染ホストは1,000程度とありますので、以前の様に、国内からのMirai-DDoS攻撃を警戒する必要はあまりなさそうです。

※NICTERの記事の中で、ロジテック製のルータが”怖い”事が書かれていますので、ご家庭で、当該機種を使われている方は、セキュリティ設定等を見直す方が良いかも知れません。(一般的には管理者パスワード変更でしょうか)

blog.nicter.jp

脆弱な実機を用いて検証を行った結果,以下の2機種が実際に感染し DDoS 攻撃の踏み台となることを確認

LAN-WH300N/DR 
LAN-W300N/DR
再感染を繰り返す脆弱なロジテック製ルータは約1,500台残存しており,これらの対策が国内の Mirai 感染ホスト数の低減の鍵を握る

 

余談です。DDoS攻撃にはSYNフラッド、ACKフラッド、UDPフラッド、HTTP GET/POSTフラッド等、様々な攻撃パターンがありますので、Cloudflareの”凄さ”は分かりづらい所があるかも知れませんが、Cloudflareは6月にも大規模なDDoS攻撃(攻撃は6月)を受けた(=耐えた)事を明らかにしており、図らずもその自動処理能力の高さを証明したと言えそうです。

参考:

atmarkit.itmedia.co.jp

 

しかし、Cloudflareと言えども死角が無い訳ではありません

高度なセキュリティ対策を誇る(他社にサービス提供する)企業であっても、残念ながら穴は存在するものであり、日本企業で良く使われる表現の1つ、「万全のセキュリティ対策」は無い事が、下記の記事を読むとそれが分かるのではないかと思います。

※とは言え軽微なものでしたが・・・

gigazine.net

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 DDoS攻撃のイラスト

 

更新履歴

  • 2021年8月21日 AM