ボットネットの威力は増大している。完全に組織化され、グローバル化されたボットネットは、個々のウェブサイトだけでなく、インターネットの一部を破壊してしまうでしょう。その威力にもかかわらず、最大のDDoS攻撃は、従来のボットネット構造を使用していません。

ボットネットの力がどのように拡大し、次に耳にする巨大なDDoSが、前回のものよりもさらに大きなものになるのかを見てみましょう。

ボットネットはどのように拡大するのか？

SearchSecurityのボットネットの定義は、「ボットネットとは、共通のタイプのマルウェアに感染し制御された、パソコン、サーバー、モバイルデバイス、Internet of Thingsデバイスを含むインターネット接続デバイスの集合体である」とされています。ユーザーはボットネットに感染していることに気づかないことが多い。"

ボットネットは、感染したマシンの集合体であるという点で、他のタイプのマルウェアとは異なります。ボットネットは、マルウェアを使って他のシステムにネットワークを拡張するもので、主に感染した添付ファイルを持つスパムメールを使用します。また、スパムの送信、データ収集、クリック詐欺、DDoS攻撃など、多くの重要な機能を有しています。

ボットネット攻撃は急速に勢力を拡大している

最近まで、ボットネットはセキュリティ研究者によく知られた共通の構造を持っていました。しかし、2016年末に状況が変わりました。一連の巨大なDDoS攻撃は、研究者たちをハラハラさせた。

1. 2016年9月新たに発見されたMiraiボットネットは、セキュリティジャーナリストのBrian Krebs氏のウェブサイトを620Gbpsで攻撃し、サイトに深刻な損害を与えましたが、最終的にはアカマイのDDoS保護により失敗しました。
2. 2016年9月。フランスのウェブホストOVHをMiraiボットネットが攻撃し、約1Tbpsの速度に向上。
3. 2016年10月巨大な攻撃により、米国東海岸のほとんどのインターネットサービスが破壊されました。この攻撃はDNSプロバイダーのDynを標的とし、推定1.2Tbpsのトラフィックを処理していたため、Airbnb, Amazon, Fox News, GitHub, Netflix, PayPal, Twitter, Visa, Xbox Liveなどのウェブサイトを一時的に停止させることに成功しました。
4. 2016年11月、MiraiはリベリアのISPやモバイルサービスプロバイダを襲い、同国の通信経路のほとんどを機能不全に陥れました。
5. 2018年3月 GitHubが過去最大のDDoS攻撃を受け、約1.35Tbpsのトラフィックが持続的に発生しました。
6. 2018年3月サイバーセキュリティ企業のArbor Networksは、同社のATLASグローバルトラフィックおよびDDoSモニタリングシステムが1.7Tbpsを記録したと発表しています。

これらの攻撃は時間とともにエスカレートする可能性があります。しかし、それ以前に過去最大のDDoSは、香港のOccupy Central**の際に民主的なウェブサイトに対して行われた500GbPSの攻撃でした。

勢力が拡大し続けている理由の一つは、マルウェアに感染した数十万台の端末を必要としない、全く別のDDoS手法にあります。

メモリキャッシュのddos

memcachedサービスを悪用した新しいDDoS手法。6つの攻撃のうち、GitHubとATLASの攻撃は、memcachedを使用してネットワークトラフィックを新たな高みへと増幅させるものです。memcachedとは何ですか？

さて、memcachedは多くのLinuxシステムで動作する、正当なサービスです。データをキャッシュし、ディスクやデータベースなどのデータストアにかかる負担を軽減し、データソースの読み込み回数を減らすことができます。通常、Linuxのデスクトップよりもサーバー環境で見かけることが多い。さらに、memcachedを実行するシステムは、インターネットに直接接続してはいけません（その理由はおわかりいただけると思います）。

Memcachedは通信にUDP（User Data Protocol）を使用し、認証なしで通信することができます。つまり、インターネットに接続されたマシンでmemcachedサービスを利用している人なら誰でも、直接memcachedと通信でき、データを要求することもできます（だから、インターネットに接続してはいけないのです！）。

この機能の残念な欠点は、攻撃者がリクエストを出すコンピュータのインターネットアドレスを詐称できることです。その結果、攻撃者はサイトやサービスのアドレスをDDoSに偽装し、できるだけ多くのmemcachedサーバーにリクエストを送信します。memcachedサーバーからの応答が合わさるとDDoSとなり、サイト全体をカバーすることになります。

この意図しない機能は、それだけで十分に悪いことです。しかし、memcachedにはもう一つユニークな「能力」があります。memcachedは少量のネットワークトラフィックを驚くほど大きく増幅することができます。UDPプロトコルのいくつかのコマンドは、オリジナルのリクエストよりはるかに大きなレスポンスを返すことができます。

その結果得られる増幅率は帯域増幅率として知られており、攻撃増幅率は元の要求の10,000倍から52,000倍の範囲である。(赤見氏は、memcachedの攻撃は「倍率50万倍以上！」になると考えています。)

何が違うの？

memcached DDoS攻撃は、感染したシステムの大規模なネットワークを必要としませんが、安全でないLinuxシステムに依存します。

高付加価値ターゲット

memcachedによる強力なDDoS攻撃の可能性は既に存在しているため、この種の攻撃はさらに増加すると予想されます。しかし、今回発生したmemcachedの攻撃は（GitHubの攻撃とは規模が異なるが）、通常とは異なる攻撃を誘発するものであった。

セキュリティ企業のCybereasonは、memcached攻撃の進化を綿密に追跡してきました。その分析の過程で、memcachedの攻撃が身代金受け渡しツールとして使われていることを発見したのです。攻撃者は、Monero（暗号通貨）での支払いを要求する小さな身代金メモを埋め込んだ後、memcachedサーバーにファイルを配置しました。DDoS攻撃が始まると、攻撃者は身代金要求ファイルを要求し、ターゲットに繰り返し身代金要求ファイルを受け取らせるようになりました。

安全に過ごすために？

実際、memcachedの攻撃は止められない。実際、出来上がってみないとわからない。少なくとも、お気に入りのサービスやウェブサイトが使えなくなるまでは。memcachedを実行しているLinuxシステムまたはデータベースにアクセスできる場合を除きます。それなら、ネットワークセキュリティのチェックを受けるべきでしょう。

一般的なユーザーにとっては、マルウェアによって拡散される通常のボットネットに焦点が当てられることに変わりはなく、つまり

• システムを更新し、その状態を維持する
• アンチウイルスのアップデート
• Malwarebytes Premiumなどのマルウェア対策ツールの使用を検討する（プレミアム版ではリアルタイムに保護される）。
• メールソフトのスパムフィルターを有効にし、ほとんどのスパムをキャッチできるようにする
• 不確かなリンクはクリックしない。

安全な生活を送ることは、面倒なことではなく、ほんの少しの警戒が必要です。

写真提供：BeeBright/Photo