“ボット40万台、ピーク・トラフィック124Gbps”の大規模DDoS攻撃にどう対処したか/index/rss|セキュリティ・マネジメント|トピックス|Computerworld

　「DDoS（分散サービス拒否）攻撃のトラフィックはピーク時で124Gbpsにまで達した。だが、標的となったWebサイトには何の影響もなかった――」。米国Akamai Technologiesの技術開発担当上級副社長、ハラルド・プロコップ（Harald Prokop）氏は、昨年7月に発生した米国政府系Webサイトを狙った大規模サイバー攻撃についてそう総括した。

米国Akamaiの技術開発担当上級副社長、ハラルド・プロコップ（Harald Prokop）氏

　Akamaiは、CDN（コンテンツ配信ネットワーク）サービスを提供するネットワーク・サービス・プロバイダーである。70カ国、3,000以上の拠点（インターネットのネットワーク・エッジ）に6万台を超える「エッジ・サーバ」群を配置し、高ビットレートの動画や楽曲、アプリケーション、動的なWebコンテンツなどの配信負荷を分散／緩和させるために利用されている。

　そのAkamaiが現在注力しているのが、エッジ・サーバを活用したネットワーク・セキュリティ・サービスだ。3月4日に開催された同社日本法人によるセミナーでは、インターネットにおけるサイバー攻撃の実態と、クラウド時代にふさわしいセキュリティがテーマとなった。

攻撃トラフィックは100Gbps超の時代

　同セミナーで講演したプロコップ氏はまず、各種調査に基づいて、企業Webサイトにおける脅威の現状を示した。それによれば、企業が有するWebアプリケーションの95％に重大な脆弱性が潜在しており、2008年には「4.5秒に1回」というペースでWebページがマルウェアに感染していったという。

Webアプリケーションに潜在する脆弱性はそれ以外の脆弱性よりも多く、また年を追って拡大している（同社発表資料より、以下同様）

　さらに、各国におけるブロードバンド・ネットワークの浸透によって、攻撃の規模も急拡大しているとプロコップ氏は指摘する。「ブロードバンドの普及とともに、攻撃に利用できる帯域も拡大した。さらに、ボットネットのキャパシティも大きくなっている」（同氏）。大規模なボットネットに対しては強制的な遮断措置がとられることもあるが、攻撃元がほかの国／地域に移ったり、すぐに新たなボットネットが登場したりするため「根絶は非常に困難」（同氏）というのが現状だ。

　Akamaiでは2009年を迎えるにあたり、過去の攻撃トラフィックの規模を調査し、そこから想定される攻撃トラフィックを予測して防御策を練っていたという。「2009年には、攻撃トラフィックは最大で100Gbpsを超えるだろうと想定していた」（同氏）。

攻撃トラフィックの最大規模推移。2001年時点では0.4Gbps程度だったものが、2007年時点で40Gbpsにまで急拡大している。このデータから、2009年には100Gbpsを超える規模の攻撃が行われることを予測していたという

政府系サイトに対する大規模DDoS攻撃

　そうしたなか発生したのが、2009年7月のサイバー攻撃だった。この攻撃では、米国政府系の7つのWebサイトに対し、ボットネットを利用した大規模なDDoS攻撃が行われた。「公共性の高い、有名なWebサイトが狙われた」（プロコップ氏）。だが、これらのWebサイトではAkamaiのソリューションを採用しており、数時間前の「攻撃のリハーサル」段階から兆候を察知していたため、迅速な対応ができたとプロコップ氏は振り返る。

　「本格的な攻撃が始まる前に止めることもできたのだが、2つの理由からそうした対応はとらなかった。1つは攻撃の“黒幕”を暴き、告訴に足りうる十分な証拠収集が必要だったため。もう1つ、早期に攻撃を止めてしまうと、攻撃のターゲットがほかのサイトに移ってしまう恐れがあったからだ」（プロコップ氏）

　やがて攻撃者は大量のボットを動員してDDoS攻撃を開始し、主目標であるWebサイトへの攻撃トラフィックは100Gbpsを超えるほどになった。「だが、Webサイトはその攻撃にも動じなかった」（プロコップ氏）。インターネット上に点在するエッジ・サーバが個々に攻撃トラフィックをブロックしていたためだ。

　「攻撃者はさらに、すべての攻撃リソースを使って攻撃トラフィックを124Gbpsにまで高めた。これは通常時のトラフィックの600倍にあたる。だが、サイトには何の影響もなかった」（プロコップ氏）。このピーク時には、40万ものIPアドレス（つまりボット）が攻撃に投入されていたという。

　攻撃者は引き続き攻撃を試みたが、すでに「証拠集め」を終えていたAkamai側が攻撃元のIPアドレスを一気にブロックし、攻撃は失敗に終わった。「当社のソリューションにより完全に防御されたため、Webサイトに障害は発生せず、特に報道もされることもなかった」（プロコップ氏）。

2009年7月に発生した大規模DDoS攻撃における、攻撃トラフィックの推移。Akamai側では本格的攻撃が始まる数時間前に前兆を察知しており、終始、攻防における主導権を握ることができた。「我々は攻撃状況を観察しながら柔軟に対応していった」（プロコップ氏）

攻撃対象となった各Webサイトのピーク・トラフィックと通常時トラフィックとの差（倍率）。最大で通常時の600倍の攻撃トラフィックが発生している

ボット攻撃とコンテンツ配信の「共通点」

　プロコップ氏は、ボットネットを利用した攻撃と、同社がCDNで取り扱うような大容量コンテンツの配信には「共通点がある」と指摘する。攻撃元のボットやコンテンツ利用者は広範な地域に分散しており、トラフィックが集中するデータセンターで一元的に対処を行うよりも、インターネット上で分散的な対策を図るほうが効果的である点だ。「Akamaiのセキュリティ・ソリューションは、攻撃発生元に近いエッジ・サーバで攻撃を押さえ込んでしまおう、という発想に基づいている」（同氏）。

プロコップ氏は、ボットネットのような分散型の脅威には「分散型の対策」をとるのが有効だと強調した

　Akamaiはこの日、「アカマイ・クラウド・セキュリティ・スイート」を発表したが、これはまさにこうした発想に基づくソリューションである。エッジ・サーバでトラフィックのモニタリングや分析を行い、アプリケーション・レイヤ（WAF：Web Application Firewall、HTTP認証）、ネットワーク・レイヤ（IPベースのアクセス認証など）、DNSレイヤ、DDoS防御、さらにビジネス継続性（劣化ルートの自動回避やフェイルオーバなど）といったソリューションを提供するというものだ。

　Akamai Technologies北東アジア地域担当副社長でアカマイ日本法人の代表取締役社長も務める小俣修一氏は、「これまでもクラウドの中でセキュリティ・ソリューションを提供してきたが、今回はそれを集約し、セキュリティ・スイートとした。今日を皮切りに、Akamaiはネットの中でセキュリティ・ソリューションを提供していく会社になるのだ、ということをご理解いただきたい」と抱負を述べた。