12月の DDoS 攻撃

2024年12月のアプリケーション DDoS 攻撃の最新トレンドと実用的なインサイト

アプリケーション DDoS 攻撃は、インターネットに接続されたアプリケーションや API にとって重大な脅威であり、エンドユーザーに対するサービスのパフォーマンスと可用性を阻害し、組織の収益損失につながる可能性があります。これらの攻撃は、Web アプリケーションなどのレイヤー7のサービスを特にターゲットとし、巧妙に作成された比較的少量の HTTP リクエストでサーバーのリソースを使い果たそうとします。多くの場合テラビット/秒 (Tbps) 単位の大量のトラフィックでネットワークインフラストラクチャに過負荷をかけることを目的とするネットワーク DDoS 攻撃とは異なり、アプリケーション DDoS 攻撃は、アプリケーションコードやプロトコル実装の弱点を悪用して、比較的少ないトラフィックで障害を引き起こします。これにより検出が難しくなる一方、危険性は変わりません。

Fastly は、自社のグローバルインフラストラクチャから得たテレメトリと Fastly DDoS Protection を使用して攻撃トラフィックを検出し、軽減しながら世界中の企業と大規模に連携しています。このレポートでは、最新のアプリケーション DDoS のトレンドに関する匿名データ、インサイト、実用的なガイダンスを共有し、セキュリティへの取り組み強化をサポートします。

主な調査結果

1. Fastly は、DDoS 攻撃に関連するリクエストの量が前月比で249%増加したことを観測しました。

2. DDoS 攻撃のアクティビティが確認される可能性が最も低かったのは週末 (協定世界時/UTC の土曜日と日曜日) でした。 

3. 検出された攻撃のほぼ半数が、メディア/エンターテインメント業界の組織を標的としており、これにハイテクおよびeコマース業界の組織が続きました。

トラフィックのトレンド

12月に Fastly DDoS Protection は、アプリケーション DDoS 攻撃に関連する数十億件のリクエストを検出しました (図1)。

2024年11月と2024年12月に観測された全体的な DDoS 攻撃の量を比較したところ、 12月には攻撃に関連するリクエストの数が 2.5倍 (249％) 増加しました。図1を見ると、12月に他の日と比べて攻撃が大幅に急増した日が6日見られました。これらのスパイクは、合わせて **月全体の攻撃量の62.5%**を占めました。さらに詳しく見てみると、これらの6日のうち5日の急増は、攻撃を受けた組織の数が77%増加したことが主な原因でした。異常値は12月4日に観測されました。この日は攻撃を受けた組織の数が月平均より38%少なかったものの、はるかに大きな規模の攻撃が見られました。

ホリデーシーズンの減速と週末の休止

月の初めにはかなりの活動が見られましたが、後半にかけて攻撃トラフィックの量が大幅に減少しました。これは、一般人の多くと同様に、攻撃者も休暇を取っていたことを示している可能性があります。12月後半は、観測された DDoS 攻撃のリクエストが前半に比べて約60%減少しました (図2)。

サービスにおけるリクエストの量だけでなく、サービスに対する DDoS 攻撃の累計数を調べると (図3)、月の後半に同様の減少傾向が見られました。

これは、攻撃者がいつものように集中的な攻撃を行うよりも、休暇をゆっくり楽しんでいることを示唆しています。別の説明として、「パワーオフ作戦」が、その月の後半に見られた DDoS アクティビティの顕著な変化に貢献した可能性があります。  12月11日、Europol は進行中のこの作戦により、攻撃者が攻撃を開始するために最もよく使用していたとされる27の DDoS プラットフォームを押収したと発表しました。1月にこのトレンドに変化が見られるかどうか、私たちは引き続きモニタリングを続けます。

攻撃者の活動は、ホリデーシーズンに落ち着いていただけでなく、その月を通して週末の活動にも明らかな減少が観測されました。土曜日と日曜日 (UTC) には、平日よりも少ない数の DDoS リクエストが検出されました。実際、組織が DDoS 攻撃を受ける可能性は週末に最も低く、土日の2日間に発生した DDoS リクエストの数は、週全体のわずか12%でした (図4を参照)。攻撃者は、Webサイトの訪問者が最も多いときを狙って攻撃を仕掛け、影響が最も大きいタイミングで最大限の障害をもたらすことを好むのかもしれません。

組織の動向

誰が攻撃を受けたかという観点から12月の DDoS 攻撃を見ると、メディア/エンターテインメント、ハイテク、eコマースの3つの業界が最も多くの DDoS 攻撃のリクエストを受けていました (図5)。他にも公共部門や医療、ファイナンスサービスなどの業界の組織が攻撃を受けていました。

ところで、これらの組織の規模は一体どれくらいだと思いますか？ Fortune 500のような大企業に勤めていない場合でも、12月に観測された統計に基づいて、アプリケーション DDoS について懸念する必要があるでしょうか？ 答えは「 YES」です。私たちは12月に組織が受けたアプリケーション DDoS 攻撃の数と、組織の年間収益の推定値との相関関係を調べました。分かりやすいように、収益帯を4つのグループに分けました。

• Enterprise (エンタープライズ) : 10億 USD 以上

• Commercial (商業企業) : 1億-10億 USD

• SMB (中小企業) : 1億 USD 以下

• Undisclosed (未公開) : 信頼できる年間収益のデータを得ることができなかった企業。これらは上場しておらず、公開されている情報が限られているため、SMB または Commercial に属している可能性が高いです (図6)。

最も小規模な組織でさえも (特に非公開カテゴリーの攻撃の一部が小規模組織に属すると仮定される場合)、アプリケーション DDoS 攻撃を受けています。年間収益が1億 USD のしきい値を超えている組織については、攻撃者は12月にほぼ同じ割合で分け隔てなく攻撃を仕掛けていました。

実用的なアドバイス

これらの情報から何を学ぶべきでしょうか？

今回のデータは1か月分のデータのみを表しており、包括的に状況を把握するには、オブザーバビリティツールが提供するファーストパーティのインサイトや長期的な調査と併せてこのデータを活用する必要があることに留意してください。しかしこのデータだけでも、既存のセキュリティ対策に組み込むことができる重要な教訓がいくつかあります。

• 組織はセキュリティ・オペレーション・センター (SOC) に24時間365日体制で人員を配置することを目指す必要がありますが、今月のデータを見ると、営業日 (UTC) に人員を配置することが最も重要です。

• メディア/エンターテイメント、ハイテク、eコマースの分野で事業を展開している組織は、アプリケーション DDoS 攻撃に対する防御に特に注意を払う必要があります。攻撃量が増加し、ビジネス目標をサポートする上で可用性とアップタイムの重要性が高まる中、これは非常に大切なポイントです。 

• あらゆる規模の組織は、アプリケーション DDoS 攻撃から保護するためのツールを備えていることを確認する必要があります。商業組織やエンタープライズ組織は攻撃を受ける可能性が最も高く、頻繁なスパイクに対応できる堅牢なソリューションの確保が欠かせませんが、中小企業も標的となっているため、何らかのツールを使用して保護する必要があります。インターネット上のすべてのアプリと API は、ある程度、この種の攻撃の影響を受けます。

ビジネスに支障をきたす分散型攻撃を自動的に軽減

もちろん、Fastly DDoS Protection などのソリューションは、このレポートで報告されているタイプの攻撃を自動的に阻止できます。ブロックモードが使用されている場合、検出された攻撃リクエストはすべてブロックされます。Fastly DDoS Protection は Fastly ネットワークの大規模な帯域幅と適応技術を活用し、特別な設定なしでアプリケーションの高いパフォーマンスと可用性を維持します。詳しくは Fastly までお問い合わせください。