Microsoftは、50万以上の侵害されたIPから発信されたこの攻撃が家庭用IoTの深刻な脆弱性を露呈し、企業のDDoS対策の備えに疑問を投げかけていると述べています。
Azureはこれまでで最大規模となるDDoS攻撃、15.72Tbpsの攻撃を阻止しました。この攻撃はAisuru IoTボットネットに関連し、1秒あたり約36億4千万パケットにも達し、オーストラリアの単一クラウドエンドポイントを標的にしたとMicrosoftは発表しました。
「この攻撃は、特定のパブリックIPアドレスを標的とした非常に高頻度のUDPフラッドで、さまざまな地域にわたる50万以上の発信元IPから発信されました」と同社はブログで述べています。「これらの突発的なUDPバーストは発信元のなりすましがほとんどなく、ランダムな発信元ポートを使用していたため、追跡が容易になり、プロバイダーによる対策が促進されました。」
Microsoftはさらに、AzureのDDoS保護プラットフォームが自動的に攻撃を検知し、顧客のワークロードに一切の影響を与えることなく悪意のあるトラフィックをフィルタリング・リダイレクトしたと付け加えました。
Microsoftはまた、ホリデーシーズンを前に、すべてのインターネットに面したワークロードの保護を検証するよう組織に呼びかけており、攻撃者が住宅用光回線の高速化やより強力な家庭用IoTデバイスの普及に合わせて攻撃規模を拡大していると警告しています。
IoTにおけるシステム的なセキュリティギャップ
DDoSトラフィックの規模と分布は、家庭用IoTデバイスにおけるシステム的な脆弱性がどれほど根深いかを示しています。これらのデバイスはしばしば設定が不十分で、デフォルトで安全性が低く、ほとんどパッチが適用されず、基本的なセキュリティ制御も欠如しています。
「これは単なる技術的な問題ではありません」とSunil Varkey氏(サイバーセキュリティアナリスト)は述べています。「これはグローバルなサイバーハイジーン(衛生管理)の失敗であり、今や戦略的インフラリスクとして顕在化しています。これは、命令を待つ多数の侵害済み、または容易に侵害可能なデバイスの大軍です。セキュリティの責任と保証は、OEM、サービスプロバイダー、家庭ユーザーのいずれであっても、優先的に見直す必要があります。」
Varkey氏はさらに、現代のDDoS攻撃はヒットアンドラン事件にますます似てきており、突然発生して数分しか続かず、防御が完全に機能する前に消えてしまうと述べています。その速度と激しさは、リアクティブな対策ではなく、常時稼働の保護と事前のレジリエンスを必要とします。
この攻撃は、何百万もの家庭用デバイスが実質的に戦略兵器となり、ハイパースケールクラウドプラットフォームでさえも負荷をかけうることを示しています。
「DDoSはもはや抑えられる迷惑行為ではなく、経済的影響を及ぼす可能性のある本格的なインフラレベルのリスクです」とChandrasekhar Bilugu氏(SureShield CTO)は述べています。「企業はDDoS対策をTier-0インフラとして扱い、数十テラビット毎秒単位の余裕を持つマルチプロバイダー・常時稼働の構成を採用すべきであり、後回しにしてはなりません。」
Confidis創業者兼CEOのKeith Prabhu氏によると、高帯域幅の家庭用インターネットと強力なIoTデバイスが1台あたりの攻撃能力を高め、より少ないノードで大規模なDDoS攻撃を可能にしています。
「現代のIoTボットネットは、単なるボリューム型攻撃だけでなく、より賢いレイヤー7攻撃も実行できます」とPrabhu氏は述べています。「家庭ユーザーのセキュリティ意識が低いことが、エンドポイントの侵害につながり、こうした攻撃に利用されることが多いのです。」
企業はしばしばクラウドプロバイダーがDDoSから完全に保護してくれると考えがちですが、プロバイダーが保護するのはプラットフォームであって、個々のワークロードやAPIではないとアナリストは指摘しています。
緩和策
Prabhu氏は、CISOは今や自社のコントロールプレーンが15Tbps超の攻撃に耐えられるか、インシデント時の自動スケーリングによるクラウドコストの急増をどう抑えるか、防御が突破された場合に重要サービスをどう維持するかをテストすべきだと述べています。「CISOはDDoSシミュレーションやCSPインフラのDDoSレジリエンス評価を通じて、これらのベンチマークをストレステストできます」とも付け加えました。
他の専門家は、強力なサイバーハイジーンだけではDDoS攻撃で武器化されたデバイスを阻止できないと指摘しています。
「実際の緩和は、DDoSスクラバー、CDN、ネットワークエッジでのトラフィックレートリミッターなどの多層防御に依存しています」とVarkey氏は述べています。「しかし、ほとんどの家庭用IoTデバイスはこれらの保護境界の外で動作しているため、外向きの攻撃トラフィックを防ぐには不十分です。これは、デバイスレベルのセキュリティをISPレベルのフィルタリングやOEMの責任と組み合わせてグローバルなDDoSリスクを低減する必要があるというシステム的なギャップを浮き彫りにしています。」
数十万台のセキュリティが不十分なIoTデバイスが、単一かつ短時間のデジタル攻撃に動員されるとき、過失と国家インフラリスクの境界線は危険なほど曖昧になります。「クラウドを守るということはエッジを守ることであり、そのエッジには今や何百万もの家庭用ルーター、カメラ、スマートデバイスが静かにボットネットの軍勢として機能しているのです」とVarkey氏は述べています。
