BLOG

巧妙に手口を変えるサイバーテロリストとの戦い

Shahnawaz Backer サムネール
Shahnawaz Backer
Published March 24, 2023
  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share via AddThis

F5 Distributed Cloudで大規模なDDoS攻撃を阻止する

サイバー攻撃は新たな常識となり、「もし」という仮定で考えるのではなく、いつでも起こりうる危機として対策される時代になっています。企業組織のデジタル資産を差し押さえる身代金の要求は、現在、非常に頻繁に発生しているようです。F5では、このような攻撃をかなりの割合で目にしています。この記事では、F5 Distributed Cloud を使用してオンライン ゲーム会社を攻撃から保護した弊社の直接の経験を共有したいと思います。

多くのサイバーインシデントがそうであるように、ここに挙げたインシデントも、「攻撃を受け、身代金を要求された」という通報から始まりました。そのため、緊急オンボーディングを実施した後、すぐに攻撃の規模と巧妙さに気づきました。 以下の図 1 は、F5のプラットフォームに到達した攻撃トラフィックの記録を示しています。ピーク時には、世界中から 平均 125 万件/秒のリクエストが送信されていました。

図1. F5グローバル・アプリケーション・デリバリー・ネットワークに分散された 平均100万/秒リクエストの攻撃トラフィック

攻撃者は巧妙で本気でした。攻撃者は2日間にわたる大規模攻撃を継続するための十分なリソースを保持しており、何度も作戦を立て直すことができました。攻撃者の手口の幾つかをご紹介いたします

  • 複数のソースIPを循環させ、ソースIPに基づいてトラフィックをフィルタリングするネットワークACLを迂回。図2は複数のソースIPを使用する攻撃者と関連するセキュリティイベントを示しています。
図2. 1時間の間に使用された各国の攻撃用IP
  • 地理的な位置情報に基づくブロッキングを回避するため異なる攻撃元の位置を循環。図3は、1時間ごとに変化する攻撃元の位置を示しています。
図3. ソースロケーションを1時間攻撃する
  • 複数のTLSフィンガープリントを循環させ、TLSフィンガープリントに定義されたブロックを迂回。図4は、フィンガープリントと登録されたセキュリティイベント
図4. 1時間以上にわたりキャプチャされた攻撃で使用されたTLSフィンガープリントの一例
  • 特定の URL エンドポイントへの呼び出しを行い、システムに負荷を与え、特定のエンドポイントに関連付けられているレート制限をバイパスします。 攻撃者はエンドポイントを複数回切り替え、登録されたイベント及び一部のエンドポイントを図5に示します。
図5. 1時間にわたって標的となった様々なURL

24時間体制で攻撃を行う攻撃者に対する防御には、多層防御と高度な技術が必要です。F5 Distributed Cloud プラットフォームは、このようなレイヤーと専門知識をお客様にご提供します。図 6 は、コントロールの一部を示しています。

図6. F5 Distributed Cloud Platform で使用可能なコントロール サブセット

今回のサイバー ドッグファイトでは、この攻撃を阻止するために、コントロールのサブセットのみが展開、または、自動エンゲージされました。具体的には下記の通りです。

F5 Global Application Delivery Networkは、オリジンサイトに最も近いトラフィックを取り込み、アプリケーションを通過させる前に検査しました。
ACLとGeoブロックは、悪意のあるIPアドレスや業務対象外の地域からのトラフィックを遮断
TLSフィンガープリントは悪意のあるユーザーのフィンガープリントを識別してトラフィックを遮断
④これらの検出手法で検知できない攻撃を阻止するため、レートリミットを導入
悪意のあるユーザーを人工知能で検知する機能を提供
ボットディフェンスによる標的とされたURLのエンドポイントに対する防御

F5の専任チームは、これらの制御により大規模なDoS攻撃を阻止することができました。プラットフォーム上で観測可能なため、トラフィックを分析し、再編成の取り組みを確認することが容易になりました。制御と可視性の組み合わせにより、攻撃者が攻撃を停止させるまで何度も修正を繰り返す中、私たちは十分な対応時間を確保することができました。
図7は、攻撃を緩和し、かつ、正規ユーザーがブロックされなかった 1 時間分の統計データを示しています。

図7. F5 XC は攻撃トラフィックを軽減しますが、正規ユーザーはブロックしません

今回の防御策はF5の専任チームによって管理された 24 ×7(24時間365日)オペレーションを行い、F5 Distributed Cloudチームが、顧客のプラットフォームとデジタル資産を安全に保ちました。


お問い合わせ先