先週、インターネット史上最大規模の DDoS 攻撃が観測された。100 Gbps のトラフィックによる攻撃が絶え間なく、9時間にも渡って継続されていたのだ。

インターネット史上最大規模の DDoS 攻撃が発生―100 Gbps のトラフィックが9時間続く
この攻撃が観測されたのは9月24日。被害にあった組織の名称は公表されていない。攻撃対象となった Web サイトは、クラウドセキュリティベンダー Incapsula によって保護されていた。

Incapsula の共同創業者である Marc Gaffan 氏は eWeek に対し、被害にあったサイトは、常に攻撃の脅威にさらされている業界のものだと説明した。今回の攻撃で注目すべき点は、「DNS リフレクター攻撃」と呼ばれる攻撃手法が使われていないことだ。

今年の3月、100 Gbps を超える大規模な DDoS 攻撃が報告されたが、このときには DNS リフレクター攻撃手法が使用されていたことがわかっている。Gaffan 氏は DNS リフレクター攻撃では、トラフィックが30倍にまで「増幅」されることがあると説明した。

「今回の攻撃で驚くべき点は、トラフィックがまったく『増幅』されていなかったことだ。これは、攻撃者自身が100 Gbps のバンド幅を保有していることを意味している。攻撃は9時間継続したが、このバンド幅は安いものではないく、簡単に準備することのできないものだ」

攻撃が9時間で終わった理由とは?

攻撃が9時間続いた後、突然停止したことについて、Gaffan 氏はこれが攻撃者側の限界だったのではないかと見ている。

「通常の DDoS 攻撃では、攻撃者は目的のサイトがダウンするまで、徐々にトラフィックを増やしていくものだ。10 Gbps でダウンするサイトに対して、100 Gbps のトラフィックは必要ないからだ」

Graffan 氏は100 Gbps が、攻撃者側の持つ、物理的なバンド幅の上限だったのだろうと推理している。今回の攻撃では、トラフィックは徐々に増加していったが、100 Gbps を上回ることはなかった。

「攻撃者は、攻撃がブロックされていることに気が付いたのだろう。タンクに石を投げても、その石がすべて跳ね返されていては意味がないと悟ったのだ」

なぜ Incapsula は攻撃に耐えられたのか?

なぜ Incapsula は 100 Gbps の攻撃に耐えられたのだろうか?いくつかの理由がある。その1つとして、Incapsula が400 Gbps を超えるトラフィックを扱えるキャパシティを持っていたことがあげられる。Incapsula はまた、同社独自の Web アプリケーションファイアウォール技術と、DDoS 保護技術を保有している。

9時間の試練の間、Incapsula の顧客ネットワークに、遅延などは見られなかった。

Incapsula は今回の攻撃を撃退することができたが、Gaffan 氏は、攻撃は今後さらに大規模になっていく可能性があると警告した。

「今回の攻撃で得た最大の教訓は、我々はより大きなボートを作り続けなければならないということだ」

攻撃は常に大規模化しており、今回の50倍の規模を持つ攻撃が発生するのも、時間の問題だという。

「攻撃規模は、毎月大きくなってきている」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。