今年に入ってから、時刻同期に利用するNTP(Network Time Protocol)サーバーを踏み台にしたDDoS攻撃の話題をよく耳にするようになった。DDoS攻撃とは、サーバーなどに大量のパケットを送り付けて、サービスを提供できない状態にしてしまう攻撃のこと。ルーターやサーバーのログを見て、規模が小さくてもDDoSらしき形跡を見た経験がある人は多いのではないだろうか?

 昨年はDNSを悪用した大規模なDDoS攻撃が話題になった。DDoS攻撃自体は以前から発生しているが、最近は規模が大きいのが特徴。300Gビット/秒や400Gビット/秒などのトラフィックが観測されている。

 NTPサーバーを踏み台にしたDDoS攻撃(NTPリフレクション攻撃)については、ITproでも「悪用される時刻同期(NTP)サーバー、新手のDDoS攻撃で“加害者”になるおそれも」や、「過去最大400ギガビット/秒のDDoS攻撃」などの記事が公開されている。攻撃の手法や対策は、これらの記事に詳しく書いてある。

世界中のDDoS攻撃を可視化するDigital Attack Map

 最近、DDoS対策製品を扱うベンダーに話を聞く機会があった。米アーバーネットワークスという、トラフィックの可視化やセキュリティ対策の技術を持つベンダーだ。通信キャリアやコンテンツプロバイダーなどへの導入実績が多く、Tier1と呼ばれる大手通信キャリアの9割に製品を導入しているという。

 興味深かったのは、同社製品で受けたDDoS攻撃のデータを集めて可視化していること。データは、顧客の同意を得て収集している。同社はATLAS(Active Threat Level Analysis System、脅威レベル解析システム)と呼ばれるデータべースを運用しており、キャリア向け製品「Peakflow SP」のデータや、ダークネット(インターネット上の未使用アドレス空間)で攻撃活動を収集する「ATLAS SENSOR」のデータ、サードパーティが提供するデータなどから、世界中の攻撃活動を分析している。

 そのデータは、米グーグルの「Digital Attack Map」に提供されている(図1)。トラフィックの規模が視覚的に分かるので、今どこで大規模なDDoS攻撃が起こっているかが一目瞭然。発生状況を、過去にさかのぼって見ることもできる。

図1●DDoS攻撃を可視化するDigital Attack Map
図1●DDoS攻撃を可視化するDigital Attack Map
グーグルのサービス。アーバーネットワークスがデータを提供している。
[画像のクリックで拡大表示]