A10ネットワークスは、DDoS攻撃が発生する前にお客様が対処できるよう、攻撃エージェントのIPアドレスを解析し、独自のDDoS脅威インテリジェンスデータを提供しています。今回、2021年第3四半期時点の脅威インテリジェンスデータを元に、日本を含むグローバルにおけるDDoS攻撃のエージェントの現状について調査しました。
【調査結果:サマリー】
- UDPベースのアンプ攻撃の攻撃エージェントは、日本では356,809個存在し、国別の保有順位は12位となります。
- 日本は他国と比べてSSDPリフレクション攻撃に悪用されうる端末の保有比率が高く、137,015個と昨年の観測時と比べ2倍に増加しています。
DDoS攻撃の中で、もっとも一般的で、大規模な攻撃を発生させるのが、アンプ攻撃です。攻撃対象のIPになりすまして脆弱なアプリケーションを搭載した端末にリクエスト送り、攻撃対象に増幅された大量の応答が届くことで、サービスを停止に追い込みます。特にUDP通信のコネクションレス(通信前に事前のやりとりをしない)な性質を悪用した、UDPベースのアンプ攻撃は、脆弱なアプリケーションが多様で、悪用されうる端末が膨大に存在します。
本調査では、UDPベースのアンプ攻撃に悪用されうるエージェント(端末)をグローバルで15,751,477個観測しています。エージェントの保有数が多い国は、上位から米国、中国、韓国、ロシア、イタリアと続きます。日本では356,809個観測され、保有ランキングは12位となりました。
・UDPベースのアンプ攻撃のエージェント数(国別)
また、A10が注目する主要なアンプ攻撃のエージェント(端末)のグローバルでの内訳は、SSDP(31%)、SNMP(18%)、Portmap(18%)、TFTP(16%)、DNS(13%)と続きます。日本は、SSDP(52%)、Portmap(24%)、SNMP(12%)、DNS(6%)、TFTP(5%)の順となり、SSDPリフレクション攻撃を引き起こすSSDPの比率がグローバルに比べて際立って高いです。
日本に存在するSSDPリフレクション攻撃に悪用されうるSSDPのエージェントの数は137,015個となり、2020年9月に測定した67,878個から約2倍に増加しています。SSDPは、ネットワーク機器同士が接続するためのUPnP機能で利用されるプロトコルであり、DDoS攻撃への加担を防ぐには、利用状況に応じて同機能を停止したり、セキュリティ対策をとったりする必要があります。
・主要なアンプ攻撃のエージェント内訳(グローバルと日本の比較)
また近年では、MiraiをはじめとするDDoSボットネットが、大規模なDDoS攻撃を仕掛けることも増えています。各国のDDoSボットネットの保有数は、中国が過半数を占め、インドが続きます。日本に存在するDDoSボットネットの数は1823で、保有ランキングは30位となります。
A10はこれからも、機器単体で最大1.2 Tbpsの防御性能と機械学習による自動防御を備えたDDoS対策ソリューションに加え、実用的なDDoS脅威インテリジェンスを提供することにより、ニューノーマル時代に向けてますます苛烈さが増すであろうDDoS攻撃への対策を支援してまいります。
・DDoS脅威の状況を可視化したDDoS脅威インテリジェンスマップ
https://threats.a10networks.com/
