近年のDDoS攻撃はこれまでと違う傾向に

　前回記事では、8月から日本の企業に対するDDoS攻撃が活発化し、ヨドバシカメラやさくらインターネットが被害を受けたことを紹介した。


　その後、ブルース・シュナイアー氏のブログに、世界的に増えるDDoS攻撃について、不気味ともいえる「とある背景」を考察した文章が掲載された。これまでの愉快犯や犯罪組織が行うDDoS攻撃とは様子がちがう、新たな意図を感じさせるものだという。

　シュナイアー氏は、セキュリティ業界で知らなければモグリ、エセといわれるほど著名なエンジニアだ。元BT（ブリティッシュ・テレコム）、現在Resilient（IBM傘下のセキュリティ企業）のCTOであり、電子フロンティア財団（Electronic Frontier Foundation：EEF）の役員でもある。氏の論文、レポート、講演など専門家なら一度は目にしているはずだ。

　シュナイアー氏は、ここ1年でDDoS攻撃が急激に増えていることを指摘する。その特徴はIP、TCP、UDP、アプリケーションなど、複数の攻撃手法を組み合わせるマルチベクター化が進んでいること。1Gbps以下の小規模な攻撃の比率が減り、5Gbps以上の攻撃比率が高まっていること（2016年第2四半期だけだと全体の60％以上）などだ。

　この動向はベリサインが四半期ごとに発行しているDDoS攻撃のレポートに示されており、シュナイアー氏のブログにも引用されている。同様なレポートはアカマイなども出しており、攻撃トラフィックの増大やマルチベクター化はそこでも指摘されている。

探索のためのDDoS攻撃に注目

　シュナイアー氏が注目したのは、全体の動向ではなく、ある攻撃パターンだ。企業関係者の話として、多くの企業や組織が、何かを探るような長期間のDDoS攻撃を受けているというのだ。このサイトはどれくらいのトラフィックでダウンするのか。復旧など対応にどれくらい時間がかかるのか。相手の防御能力がどの程度なのかを探るように、トラフィックを段階的に増やしながら何度も攻撃を行う。

　攻撃者が単にしつこいだけ、あるいはよほど標的に恨みがあるだけとも考えられるが、段階的にトラフィックを増やしたり、相手の対応状況を観察できたり、複数の攻撃手法を組み替えたりといった行動ができるのは、攻撃側にある程度のリソースやインフラがある可能性を示している。

　この点についてシュナイアー氏は、冷戦時、米国が高高度（注1）からソ連（現ロシア）に侵入し、徐々に高度を下げ、相手の索敵能力を探っていたようだという。国レベルのサイバー戦争への備えとも解釈可能なDDoS攻撃だ。

（注1）地上から7、8000メートルから1万メートル前後までの高さ

【次ページ】政府・公共機関ではなく民間事業ばかり狙われるワケ