フランスのクラウドコンピューティング企業OVHcloudは、2024年4月に毎秒840百万パケット(Mpps)に達する記録的な分散型サービス拒否(DDoS)攻撃を緩和したと発表しました。
これは、2020年6月にAkamaiによって報告された809百万Mppsの以前の記録をわずかに上回るものです。
840 MppsのDDoS攻撃は、5,000のソースIPから発信されたTCP ACK洪水と、約15,000のDNSサーバーを利用してトラフィックを増幅するDNSリフレクション攻撃の組み合わせであったとされています。
「攻撃は世界中に分散していましたが、総パケットの2/3は米国の4つのポイントオブプレゼンス(PoP)からのみ入りました。そのうち3つは西海岸にありました」とOVHcloudは述べています。「これは、攻撃者がわずか数個のピアリングを通じて膨大なパケットレートを送信する能力を示しており、非常に問題となる可能性があります。」
同社は、2023年以降、頻度と強度の両方でDDoS攻撃が著しく増加していると観察しており、1テラビット毎秒(Tbps)を超える攻撃が定期的に発生するようになったと付け加えています。
「過去18ヶ月間で、1+ Tbpsの攻撃は非常にまれであったものが、週ごとに、そしてほぼ毎日(1週間平均)発生するようになりました」とOVHcloudのセバスチャン・メリオットは述べています。「その期間中に観察された最高のビットレートは約2.5 Tbpsでした。」
典型的なDDoS攻撃は、利用可能な帯域幅を使い果たすことを目的としてターゲットにジャンクトラフィックの洪水を送ることに依存していますが、パケットレート攻撃は、負荷分散装置などの目的地近くのネットワーキングデバイスのパケット処理エンジンを過負荷にすることによって機能します。
同社が収集したデータによると、パケットレートが100 Mppsを超えるDDoS攻撃は同期間に急増しており、その多くはMikroTik Cloud Core Router(CCR)デバイスが妥協されていることが原因です。99,382台のMikroTikルーターがインターネット上でアクセス可能です。
これらのルーターは、管理インターフェースを公開するだけでなく、オペレーティングシステムの古いバージョンで動作しており、RouterOSの既知のセキュリティ脆弱性に対して脆弱です。攻撃者がオペレーティングシステムの帯域幅テスト機能を武器として使用して攻撃を実行していると疑われています。
インターネット上に公開されているデバイスの1%をハイジャックしてDDoSボットネットに取り込むだけでも、攻撃者に2.28億パケット毎秒(Gpps)に達するレイヤー7攻撃を実行する十分な能力を理論的に与える可能性があります。
この段階で注目すべきは、MikroTikルーターが強力なボットネットの構築に使用されていることです。例えば、Mērisやボットネットアズアサービス(botnet-as-a-service)操作のために使用されています。
「妥協されたデバイスの数とその実際の能力に応じて、これはパケットレート攻撃の新しい時代を意味する可能性があります。ボットネットが数十億パケット毎秒を発行する可能性があるため、アンチDDoSインフラストラクチャの構築とスケーリング方法に真剣な課題をもたらす可能性があります」とメリオットは述べています。