DDoSおよびアプリケーションセキュリティ脅威
ネットワーク層(L3/L4)DDoS攻撃
攻撃動向:小規模攻撃の正常化、非常に大規模な攻撃のサイズの著しい増加
DDoS攻撃は2024年にも強い成長を見せています。体積型DDoS攻撃の数は前年比144%増加し、100Gbps未満の小規模攻撃の数は前年比146%急増しました。攻撃者は低強度の持続的な攻撃を通じて防御リソースを消費することを好むようになり、これは保護能力が弱い企業にとって大きな圧力となっています。同時に、300Gbpsを超えるメガ攻撃の数は前年比73%増加し、年間を通じてピークトラフィック量は1.5Tbpsを超え、攻撃者が単一攻撃の破壊力を高めるためにさらに投資を続けていることを示しています。
高攻撃期間:休日は攻撃の集中期間になる
月次ピーク攻撃データは、2024年12月の攻撃帯域幅の規模が過去最高に達し、前年比115%増加したことを示しています。さらに、6月、8月、10月の最大攻撃帯域幅も1Tbpsを超え、eコマースプロモーション、夏のトラフィックピーク、年末決算期間などの重要なビジネスサイクルに焦点を当てています。このトレンドは、攻撃者が休日やピークビジネス期間を利用して攻撃を開始することにますます注目していることを示しています。したがって、企業はこれらの期間中のDDoS攻撃の保護にもっと注意を払う必要があり、異なる攻撃パターンに対応できる防御能力を確保する必要があります。
攻撃は脈動型の集中発生を示し、地域間協調攻撃のリスクが高まります
2024年9月と12月には、世界中の攻撃トラフィックが「短時間の急増」パターンを示し、年間の他の時期に比べて攻撃密度が大幅に増加しました。ローカライズされたビジネス、特にヨーロッパ、アメリカ、東南アジアの企業が攻撃の主なターゲットとなり、グローバルな多地域協調攻撃が重要なトレンドとなりました。グローバル化および国際的なビジネスは、地域インフラのローカライズされた遮断能力を強化する必要があります。
攻撃戦略:プロトコルの脆弱性の深い悪用
攻撃タイプの分布に関して、SYN Flood攻撃は依然として低コスト攻撃を支配しており、特に100 Gbps未満の規模では58%を占めています。一方、UDP Floodは中規模攻撃を支配し、100-300 Gbpsの攻撃の91%と300 Gbpsを超える攻撃の69%を占めています。従来のプロトコル脆弱性の悪用は依然として主な攻撃形態であり、反射攻撃に対する保護はDDoS保護に取り組むインターネットサービスの核心的要件です。
攻撃源の地理的分析
2024年には、攻撃トラフィックは主にアメリカや中国などの地域から発生しており、露出したインフラ(例えば、セキュリティが強化されていない反射源など)が攻撃者によって反射攻撃のための拠点としてしばしば悪用されます。これらの地域の攻撃トラフィックが多いとしても、攻撃が直接これらの地域から来ているわけではありません。企業はインフラ保護を強化し、特に一般的な反射プロトコル(例えば、DNS、NTPなど)が悪用されないように防ぎ、不必要なポートを閉鎖し、サービス認証を強化し、必要なトラフィックフィルタリングポリシーを展開して、インターネットサービスが反射攻撃の源泉となるリスクを減らすべきです。同時に、全世界に展開されたアプリケーションサービスについては、分散アクセスアーキテクチャと保護メカニズムを採用し、トラフィック処理をローカライズして、異なる地域間の攻撃リスクをできるだけ隔離することを推奨します。
クラウドインフラストラクチャおよびデータサービス業界が最大の打撃を受ける
クラウドインフラストラクチャとデータサービス業界は攻撃の主要なターゲットとなっています。最新のデータによると、クラウドインフラストラクチャとデータサービスセクターはすべての業界で60,000回以上攻撃されており、他の業界よりもはるかに多いです。組織がビジネスをクラウドに移行するにつれて、クラウドインフラストラクチャとデータサービスのセキュリティは特に重要です。攻撃者は敏感なデータにアクセスするだけでなく、クラウドインフラストラクチャとデータサービスへの攻撃を通じて組織の運営や評判にも影響を与えることを狙っています。したがって、クラウドサービスプロバイダーとユーザーはセキュリティ対策を強化し、潜在的な脅威を認識し対応する能力を向上させる必要があります。
HTTP/S攻撃
HTTP/S DDoS攻撃のボリュームが爆発的に増加し、メガ攻撃は高頻度で発生し続ける
2024年、HTTP/S DDoS攻撃はより洗練された攻撃パターンを示しています。10万QPS未満の小規模HTTP/S攻撃の件数は前年比491%増加し、30万QPSを超えるメガ攻撃の件数は187%増加し、年間ピーク値は200万QPSを超えました。攻撃者は「大量の低強度プローブ+断続的な高圧突破」という戦術を通じて企業のアプリケーション層の弱点を狙っています。攻撃者は「大量の低強度プローブ+断続的な高圧侵入」という戦略を使用して、企業のアプリケーション層の弱点を狙っています。
高攻撃期間:ピークビジネス時間は依然として最も打撃を受ける
2024年には、5月、9月、12月がHTTP/S攻撃の主なピーク期間となり、特にeコマースプロモーション、夏のトラフィックピーク、年末決算期間中に、攻撃者は高頻度のリクエストを通じて大量のサーバーリソースを占有し、アプリケーションシステムに巨額の負担をかけています。eコマース、金融などの業界は、これらの時間帯に対する保護戦略に特に注意を払う必要があります。
グローバル攻撃の急増、クロスドメイン協調保護への需要増加
2024年9月には、グローバルHTTP/S攻撃が254%増加し、攻撃の60%以上がヨーロッパとアメリカで発生しました。この「クロスドメイン攻撃」のパターンは、グローバル化したビジネスがより厳しいセキュリティ課題に直面していることを示しており、エッジノードの保護能力を向上させる必要があります。
脆弱性悪用攻撃
任意ファイル読み取りの脆弱性と脆弱性スキャナーが最大の脅威であり続ける
2024年には、脆弱性悪用攻撃が引き続き高い発生傾向を示し、高リスクの脆弱性攻撃の総数は17億を超え、そのうち36.5%が任意ファイル読み取り/ダウンロードの脆弱性で、SQLインジェクションやスキャナー攻撃などの従来型攻撃を大幅に上回っています。攻撃者はますます脆弱性をスキャンし、構成エラーや特権の抜け穴など「低技術の閾値」の攻撃ベクトルを通じて侵入しようとしています。企業は特権管理とディレクトリアクセス管理を強化し、機密データの漏洩を防ぐ必要があります。
新たな脅威トレンド:帯域幅盗難攻撃
2024年には、ダウンロード帯域幅盗難攻撃が新たなセキュリティ脅威トレンドとなっており、特に電子商取引、クラウドストレージ、オンラインストリーミングメディアなどの業界でそうです。EdgeOneは、悪意のあるスクリプトや模倣されたユーザー行動を通じて頻繁に偽のダウンロードリクエストを開始し、帯域幅リソースを消費し、正常なユーザーのアクセスを不可能にしたり、プラットフォームのパフォーマンスを低下させたりするトラフィック盗難攻撃に対して、企業が効果的に対応するのを支援できます。攻撃者はプラットフォームリソースを利用して経済的損失やビジネスの中断を引き起こし、企業にとって深刻な脅威となっています。
単一四半期のトラフィック海賊行為規模が2 PBを超え、ゲーム業界が総計の70%以上を占める
2024年9月から12月にかけて、トラフィック窃盗攻撃の規模は2PB(捕捉された未生成の盗まれたトラフィックを含む)を超えました。ゲーム業界が77%を占めています。第4四半期には、前年同期比で134%の増加が見られました。攻撃者は、ゲームの更新パッケージ、画像、その他の静的リソースを繰り返しダウンロードすることで巨額のトラフィック請求書を生成し、企業の帯域幅コストやシステム資源に深刻な影響を与えます。特にゲーム業界では、ゲームのインストールおよび更新パッケージファイルは一般的に大きいため、トラフィック窃盗の主要なターゲットとなります。EdgeOneは、すべてのプラットフォームビジネスに無料のトラフィックアンチスキミング機能を提供し、企業がスキミングされることによる財務損失を大幅に削減します。
トラフィックスクレイピング攻撃のIP追跡の難易度が増加し、1四半期で47,000を超えるIPが関与
2024年第4四半期には、トラフィック窃盗攻撃が47,000以上のIPを巻き込んでおり、9月から367%増加しました。その中で、攻撃トラフィックの87%はより分散化されたネットワークセグメントに起因しており、攻撃者は検出を回避するために分散型の低強度アプローチを利用していることを示しています。従来のIPブラックリスト機構ではこの複雑な攻撃パターンに対処できなくなっています。保護効果を改善するために、企業は異常トラフィックを正確に特定し、デバイスフィンガープリンティングやユーザー行動分析などの多次元リスク管理手法を組み合わせて防止を強化する必要があります。EdgeOneは、プラットフォーム全体のインテリジェンスデータベースを通じて、窃盗のソースとクライアントのフィンガープリンティングの特定と遮断を自動化することで、企業および個人サイトの静的コンテンツを効果的に保護します。
アプリケーションレイヤーHTTPS攻撃事例
ライブストリーミングサービスプラットフォームは、グローバルなライブストリーミングサービスを提供し、ユーザーは複数のエンドポイント(例:アプレット、アプリ、ウェブなど)を介してアクセスします。2024年、プラットフォームは大規模なアプリケーション層DDoS攻撃を受け、攻撃者は多大なリソースを投じ、高度に隠密な攻撃方法を実施しました。2025年、攻撃はボットネットワークを介して攻撃者によって実行されました。
このタイプのアプリケーション層攻撃は、さまざまな脅威メカニズムを組み合わせており、攻撃者はクライアントとリクエストを深くカスタマイズするだけでなく、ボットネットワークを介して大規模な分散攻撃を行い、単一クライアントのリクエスト頻度を低下させます。従来のIP頻度制限やヘッダー特性フィルタリングでは、このような攻撃を効果的に識別し区別することができないため、新しいハイブリッド攻撃は企業の保護システムに新たな課題をもたらします。
このような攻撃は今後1〜2年で徐々に増加すると予想されます。インターネットサービス、特に金融、ゲーム、電子商取引、小売、インターネットSaaSサービスは、この新しい脅威の傾向に対処するために、セキュリティ保護のベースラインをアップグレードすることをお勧めします。
より適切な保護リソースを持つ分散型エッジセキュリティメカニズム(例:Tencent Cloud EdgeOne)を使用して、より大規模なDDoS攻撃に対処します。
ネットワークの最外縁にセキュリティソリューションを展開し、新しいTLSフィンガープリントとクライアントフィンガープリント技術をより適切に適用して、攻撃のソースを効率的に特定します。
全体的な可用性リスクを軽減するために、複数の統計指標に基づく頻度制限メカニズム。
非攻撃期間中にクライアントフィンガープリントとリクエスト特性を分析し、動的にホワイトリストに登録してセキュリティ信頼基準を確立するポジティブ保護メカニズムを確立します。
クラスター分析戦略を使用して、TLSフィンガープリントやHTTPヘッダーなどのメトリクスを集約・分析し、保護効率を向上させます。
強力な保護機能を持つテンセントクラウドEdgeOneは、世界中の企業が幅広い複雑なネットワークセキュリティ脅威に対処し、インターネットサービスの安全を守るのを支援します。