※本ブログは米国時間2025年8月12日に公開されたA10本社ブログの日本語訳です。原文はこちらからご覧ください。
A10 ネットワークスは、脅威マップの最新データを公開しました。このマップでは、A10の脅威リサーチチームによる最新のグローバル調査で検出された、国別の上位のアンプリファイアとボット/ドローンの総数をハイライトしています。このマップはこれらのDDoS武器(DDoS攻撃ツール)がホストされている場所を示しており、それは世界中の悪意のある攻撃者がこれらの武器のいずれかを使用して攻撃を開始および制御する可能性の表示でもあります。DDoS武器に関する包括的なデータをご覧になるには、レポートをダウンロードしてください。
DDoS攻撃は年々巧妙化、大規模化しています。今日のDDoS攻撃は、複数の国から複数の攻撃ベクトルを用いて大量の攻撃を仕掛け、攻撃元を隠蔽しています。脅威マップやA10 Defend Threat Controlで得られるデータは、企業やサービスプロバイダのサイバー脅威対策チームがネットワーク内の不審なアクティビティを特定・隔離し、DDoS攻撃からの防御を強化するために役立ちます。
2025年4月、 6.5Tbps、48億パケット/秒という、非常に大規模なマルチベクトル攻撃が発生しました。これは、これまでに報告された最大のDDoS攻撃です。この攻撃では、147か国から3万以上の固有IPアドレスが使用され、SYNフラッド攻撃、Miraiボットネット、SSDPアンプ、CLDAP、ESPリフレクション/アンプなど、複数の攻撃ベクトルが使用されました。A10の脅威マップには、これらの攻撃ツールが配置されている可能性のある場所の詳細が示されています。
SSDP(Simple Service Discovery protocol)は、DDoS攻撃で広く利用される攻撃ベクトルです。A10の調査によると、世界中で数百万台のアンプリファイアが発見され、特に米国と中国に集中しています。SSDPはその全体の約22%を占めています。SSDPアンプリファイアの半数以上は、ベネズエラ、中国、アルジェリア、クロアチア、韓国、ベトナム、台湾、インド、カザフスタンの10カ国に集中しています。残りのアンプリファイアは200カ国に分布しています。
SSDPは、ローカルネットワーク上のデバイスが他のデバイスを自動的に検出するためのプロトコルです。プラグアンドプレイ環境、ホームオートメーション、メディアストリーミングとデバイス設定、スマートフォン、ネットワークカメラなど、コンシューマー向けデバイスで広く利用されています。ネットワーク上には数百万台のSSDPを利用するデバイスがあり、そのうちの多くがインターネットに接続されています。
一方、CLDAP(Connectionless Lightweight Directory Access Protocol)は、あまり知られていないプロトコルで、世界中のアンプリファイアのわずか0.2%で利用されています。CLDAPは、主にMicrosoft Active Directoryなどのディレクトリへのクエリに使用されるネットワークプロトコルです。CLDAPはUDPを使用するため、リフレクション・アンプリフィケーション攻撃に悪用される可能性があります。攻撃者は、無防備なCLDAPサーバに小さな偽装リクエストを送信し、被害者へのレスポンスを最初のリクエストの最大70倍のサイズで生成します。CLDAPを利用した攻撃は2016年以降報告されており、増加傾向にあります。
A10の脅威マップには、CoAP(Constrained Application Protocol)の分布も示されています。CoAPは世界のアンプリファイアの4%を占め、CoAPベースの武器は155か国で確認されています。マップでは、CoAP武器の半分以上が中国、ロシア、フィリピンの3か国に集中していることを示しています。
CoAPは、リソースが限られたIoTデバイスやM2M(Machine-to-Machine)のデバイス(センサ、コントローラ、スマートホームデバイス、ウェアラブルデバイス、エネルギー管理デバイスなど)で広く使用されている軽量のWeb転送プロトコルです。UDP経由でCoAPを利用したリフレクション型アンプリファイアDDoS攻撃の事例が記録されています。A10のリサーチチームは、増幅係数を元のリクエストの34倍と測定しました。
脅威マップは、各国における主要な増幅兵器とボット総数の相対的な地理的集中度を把握するのに役立ちます。2025年DDoS武器レポートでは、より詳細なデータを提供しています。
