Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

金融サービスへのDoS攻撃リスク、政府機関並に - Bitcoinも標的に

金融分野においてDoSおよびDDoS攻撃のリスクが高まっているとのレポートを、米Radwareが取りまとめた。複数の攻撃を組み合わせたり、緩和ツールを回避するなど、巧妙化も進んでいる。

同レポートは、DoSおよびDDoS攻撃への対策サービスを展開する米Radwareの緊急対策チームが作成したもの。2013年に扱った300件以上の事例を分析した結果と、同社が実施した「セキュリティーに関する業界調査」に参加した198人の回答を取りまとめた。

同レポートによれば、攻撃期間や攻撃手法の種類、複雑さなどからリスクを算出し、3段階に分類。リスクがもっとも高いとレーティングする「高」は、これまで政府機関に限られていたが、金融機関もリスクレベルが高まり、同様の状態にあるという。

米国の主要金融機関を標的とした攻撃「Operation Ababil」の発生や、BitCoinの両替サービスや取引所への攻撃などが背景にあるとしている。

こうした攻撃について、必ずしも目的が破壊抗議であるとは限らず、同時並行で行っているほかの侵入行為や破壊活動を隠蔽するために行われるケースもあると指摘。1段階リスクは低いものの、オンラインゲームやホスティング、ISP、小売事業者なども攻撃対象となっている。

攻撃緩和策の導入が進む一方で、「HTTPフラッド」や「Kill' em All」など従来の対策をかいくぐるあたらしい攻撃も行われており、こうしたいたちごっこのサイクルが早まっているという。

さらに関連する一連の攻撃を「攻撃キャンペーン」として分析すると、5割以上の攻撃において5種類の攻撃を組み合わせていた。緩和ツールの回避を狙ったと見られる。

またDoSやDDoS攻撃による被害状況を見ると、調査対象の87%が攻撃によるサービスレベルの低下を経験。60%が「サービスレベルの低下」を深刻な問題と捉えていた。この結果は、「サービス停止(27%)」から見ても高い数字で、顧客満足低下を大きな問題と捉えていることがわかった。

(Security NEXT - 2014/03/03 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「BIND 9」が意図せずオープンリゾルバとなるおそれ - 設定の確認を
「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで
4月はDDoS攻撃568件を検出、5時間以上に及ぶケースも - IIJまとめ
F5、ボットやDDoSへの対策備えたWAF - オプションでPWリスト攻撃にも対応
「Spring」関連で5件の脆弱性 - 3件が「クリティカル」
2018年1Qの不正アクセス届出は11件、7件で被害 - 「不正ログイン」相談は52件
「memcached」狙う攻撃者、増幅可能な他プロトコルも物色
会員13万人以上の低価格DDoS攻撃サービスが検挙 - 1カ月約2000円、攻撃は400万回以上
「Drupal」脆弱性で感染を拡大するボット「Muhstik」見つかる
「Spring Data Commons」に深刻な脆弱性 - REST処理などでコード実行のおそれ