ブログ

F5 分散クラウド サービスは、新たな L7 DDoS 攻撃に対抗します

F5 は 2022 年に分散クラウド サービスを開始し、サービスとして利用できるエッジベースのセキュリティを必要とするエンタープライズ組織に Web アプリケーションと API の保護を提供しています。 今日の相互接続された世界では、サイバー脅威が増加しており、組織は進化する新しいタイプの攻撃から重要なインフラストラクチャを保護する準備をする必要があります。 最も一般的なタイプのサイバー攻撃の 1 つは分散型サービス拒否 (DDoS) 攻撃であり、最大規模の Web サイトやオンライン サービスでもダウンさせる可能性があります。

最近、 Killnetとして知られる著名な親ロシア派ハクティビスト グループが、大規模なヨーロッパの組織に対して高度な L7 DDoS 攻撃を開始しました。 この攻撃は、大量のトラフィックで同社のサーバーを圧倒し、攻撃トラフィックがピーク時に 120K RPS に達してユーザーが Web サイトにアクセスしにくくなることを目的としていました。 しかし、 F5 セキュリティ オペレーション センター(SOC) の努力と F5 分散クラウド サービスの高度な DDoS 緩和機能のおかげで、攻撃はうまく緩和され、Web サイトは攻撃中も稼働し続けました。 この攻撃は、このグループが発信源となって過去数週間にわたって発生している複数の DDoSキャンペーンの一部です。

注記: これは 1 週間以上にわたって行われているアクティブな攻撃キャンペーンであり、このブログ投稿を書いている時点では、これらの攻撃をうまく軽減しています。

この特定の DDoS 攻撃は、世界中の複数の場所から発生しました。 上記の地図上の灰色の点は攻撃元を表し、赤いボックスはアプリケーションの攻撃トラフィックがフィルタリングされ、正当なトラフィックが許可されているF5 グローバル ネットワークのポイント オブ プレゼンスを表します。

Killnet 攻撃の主な特徴の 1 つは、アプリケーション層 (L7) に重点を置いていることです。 これらの攻撃は、通常のユーザー行動を模倣する(正当なトラフィックとの区別が困難)ことや、複数のアプリケーション攻撃ベクトル、さまざまなソースの場所、IP、その他の攻撃コンポーネントの切り替えなどの再ツール化機能を伴うことが多いため、検出と軽減が特に困難です。

攻撃の発信元となる上位のソース IP。 攻撃トラフィックは、世界中の複数の分散 IP アドレスにわたって確認されています。
この攻撃シナリオにおける攻撃トラフィックの大部分を占める TLS フィンガープリント。

攻撃トラフィックの発信元は 35 の異なる IP アドレスと 19 か国に分散しているにもかかわらず、攻撃トラフィックは 3 つの異なる TLS フィンガープリントからのみ発信されています。 上の画像に示すように、攻撃トラフィックの 72% が 1 つの TLS フィンガープリントから発生していることがわかります。 このフィンガープリントはTofsee マルウェアに関連付けられており、Tofsee に感染したシステムは DDoS ボットネットの一部として使用されます。

攻撃者は、地理位置情報保護の隙間を見つけるために、さまざまな地理情報を活用しました。
攻撃中にターゲットとなったさまざまな HTTP メソッドと URL の組み合わせ。

F5 SOC は、トラフィック フィルタリング、IP インテリジェンス、レート制限など、さまざまな戦略を採用して攻撃を防御しています。 これにより、チームは悪意のあるトラフィックのみを識別してブロックし、正当なトラフィックが引き続き Web サイトに到達できるようにすることができます。 緩和を成功に導くもう 1 つの重要な要素は、チームがリアルタイムの脅威インテリジェンスと L7 DDoS 自動緩和機能を使用したことです。これにより、人間の介入を必要とせずに、この攻撃の要素をリアルタイムでブロックできました。 この情報により、チームは攻撃者より一歩先を行き、攻撃が地域、異なる IP アドレス、新しい攻撃パスにわたって進化するにつれて、防御を迅速に調整することができます。

Killnet やその他のグループによる L7 DDoS 攻撃の緩和が成功したことは、新たな常態を表しています。F5 Labs の 2023 年 DDoS 攻撃トレンド レポートで、DDoS 攻撃に関する詳細な情報をご確認ください。 この攻撃の要約では、多層セキュリティ インフラストラクチャを導入し、十分に訓練されたセキュリティ チームがリアルタイムでサポートできるようにしておくことの重要性が強調されています。 トラフィック フィルタリング、レート制限、クラウドベースの DDoS スクラビング、リアルタイムの脅威インテリジェンス、堅牢な災害復旧計画を組み合わせて使用することで、組織はインフラストラクチャとアプリケーションを標的とする最も高度な DDoS 攻撃からも身を守ることができます。

破壊的な攻撃を受けており、F5 分散クラウド サービスへの緊急オンボーディングが必要な場合は、次の緊急サポート ラインにお問い合わせください。 (866) 329-4253 または +1 (206) 272-7969