Akamaiの2015年第4四半期レポート Akamaiは、DDoS攻撃などに関する調査結果を四半期ごとにまとめた「インターネットの現状」報告書の2015年第4四半期版を公開しました。 DDoS攻撃に関するポイントは以下の5点。 1年前と比較してDDoS攻撃は149％の増加

攻撃の継続時間は短くなっているが、頻度は増加

反復攻撃が普通のことに（攻撃対象サイトあたり平均24回の攻撃）

リフレクション攻撃の割合は46％、複数ベクトルの攻撃の割合は56％

100Gbpsを超える攻撃は5回 まず、DDoS攻撃の内訳の変遷を四半期ごとにまとめたのが以下の図です。 2014年から2015年にかけて目立っていた「SSDP（Simple Service Discovery Protocol）」を使ったリフレクション攻撃が、2015年第1四半期をピークに減少傾向にあり、第4四半期には8.02％にまで下がっているのが目を引きます。その一方で、リフレクション攻撃に悪用される「定番」のDNSとNTPは増加傾向にあります。 また、DDoS攻撃の攻撃元トップ5の変遷を四半期ごとにまとめたのが以下の図です。 「常連」である中国と米国はともかく、これまで登場したことのなかったトルコが初めてランクインし、2位に着けています。ちなみに前四半期に1位だった英国は9位に後退していますが、実は英国からの攻撃トラフィック自体は全体として減っておらず、中国、トルコ、米国のトラッフィクが増加したために相対的に順位を下げたのだそうです。 次にウェブアプリケーションに対する攻撃について紹介します。まず、攻撃手法をまとめたのが以下の図です。 HTTP、HTTPSともに、LFI（Local File Inclusion）、SQLi（SQL injection）が上位を占めています。ちなみに、2014年9月に明らかになったShellshockの脆弱性を使った攻撃は、前四半期に比べて31％減少していますが、それでもまだ一部では行われているようです。 攻撃元を国や地域別にまとめたのが以下の図です。 米国が半数以上で他を圧倒していますが、日本もわずかながら含まれています。一方、攻撃対象をまとめたのが以下の図です。 米国が8割近くを占めていますが、これに関して報告書では、多くの企業が本社やITインフラを米国内に置いているためとしています。 さらに、ウェブアプリケーションに対する攻撃を業種別でまとめたのが以下の図です。 小売業界が半数以上を占めていますが、これは攻撃者にとって価値のある情報を多数保有しているためとしています。 今回のAkamaiの報告書の内容は、それ自体に特筆すべき結果は含まれていませんでしたが、DDoS攻撃やウェブアプリケーションに対する攻撃といったAkamaiならではの観点で定期的に統計データをまとめている「インターネットの現状」報告書は、報告書ごとに単独で読むのではなく、その内容の変遷を見ることが大事なのではないかと考えます。DDoS対策を担う事業者だけでなく、広くセキュリティにかかわる人であれば、継続して目を通しておくべき資料でしょう。

攻撃側も人材不足 セキュリティ人材の不足が謳われるようになって久しいですが、この場合の「セキュリティ人材」は当然ながら防御側の人材です。しかし、人材不足は防御側だけでなく、攻撃側も深刻であるとのレポートがセキュリティ企業の英Digital Shadowsから公開されました。 攻撃側で組織化・分業化が進んでいるのはよく知られていますが、そのような中で技術者を採用することは、攻撃側にとっても難しいようです。そもそも卓越した能力を持つ人材自体が限られており、その中で「信用できる（仲間を裏切らない）」人物で、かつ「法を犯す」というハードルを越えられる者となると、さらに一部に限られます。また、人材募集広告をはじめとする採用活動自体が司法機関などに犯罪グループに関する情報を与えてしまうリスクもあります。例えば、募集する人材に関する技術的要件を具体的に示してしまうと、犯罪グループの持つ技術レベルを知られてしまう可能性もあるわけです。そのため、最も見つけやすい（採用しやすい）、簡単なツールや攻撃手法しか使えない初心者レベルの攻撃者が多くなってしまうのだそうです。もちろん、ツール自体の機能や性能が向上しているため、それらのツールを使うだけでも、それなりに「成果」を上げることができてしまうのも問題でしょう。 一方、採用にあたってはTorのような匿名ネットワーク上でSkypeを使った「面接」が行われることが多いそうですが、カメラはオフ、声もマスクされた状態で行われるようです。また、グループによっては「試用期間」を設け、例えば「3カ月以内にウェブサイトに侵入しろ」といった課題をクリアできなければ不採用というケースもあるようですが、クリアできても採用の保証はないとしています。 攻撃側の力を削ぐ方法の1つとして、彼らの採用活動を今以上に難しくすることは有効です。そのためには、彼らの採用活動や彼らの求めるスキルが何かを継続して監視していく必要があります。また、攻撃側の採用関連情報は、手法をはじめとする攻撃に関する情報に繋がることから、防御側にとっても有益な情報と言えるでしょう。