今回はインターネットイニシアティブの最新レポートを取り上げ、2025年8月に観測されたDDoS攻撃とマルウェアの特徴を解説します。リスナーの皆さんには攻撃の規模感や新しい攻撃手法の実態、過去の傾向との比較を通じて自社で取るべき対策や監視のポイントを具体的に持ち帰っていただきます。短時間で実務に結びつく知見をわかりやすくお届けします。
株式会社インターネットイニシアティブ(IIJ)は9月29日、「wizSafe Security Signal 2025年8月 観測レポート」を発表した。
こちらの記事を、簡単に解説お願いできますでしょうか?
2025年8月にIIJが観測したDDoS攻撃は合計308件で、1日平均約9.94件でした。最も大きな攻撃は約447万パケット毎秒、51.43ギガビット毎秒の通信を発生させたTCP ACK Floodで、約29分継続しました。マルウェア面ではClickFixの亜種FileFixが報告され、従来のファイル名指定実行の手法とは異なり、ブラウザのファイルアップロードで表示されるエクスプローラのアドレスバーを悪用してクリップボード経由でPowerShellコマンドを実行させる攻撃が確認されています。業界動向としてはDDoSのパケット量や攻撃頻度が増加傾向にあり、攻撃手法はソーシャルエンジニアリングとブラウザ機能の悪用を組み合わせた巧妙化が進んでいます。今後はより大容量の攻撃と、ユーザ操作を誘導する新手法が増える見込みで、ネットワーク層とエンドポイント層の多層防御が重要になります。
質疑応答
TCP ACK Floodという用語について、具体的にどういう攻撃なのか教えていただけますか?
TCP ACK Floodは大量のTCP確認応答パケットを送ってターゲットの処理能力や帯域を消費させる攻撃です。本来ACKは通信の正常確認に使われますが、攻撃者は送信元を偽装して短時間で大量のACKを送りつけます。これによりルータやファイアウォール、サーバのキューが飽和し正当な通信が妨げられます。防御にはレート制御や異常検知ルール、上位のDDoS緩和サービスとの連携が有効で、パケット特性の変化を早期に検出するシステムが重要です。
今回の観測で攻撃が29分続いたとありますが、どのような検知や初動対応が有効でしょうか?
まずネットワークのベースラインを日常的に把握することが前提です。異常なトラフィック増加を自動で検知するための閾値やシグネチャに基づく監視を設定し、検知後はトラフィック遮断だけでなくトラフィックのシェーピングや流量分散、上位のクラウド型緩和サービスへのトラフィック迂回を速やかに実行します。ログ保全とタイムライン作成も重要で、事後分析で攻撃ベクトルと被害範囲を特定して設定の見直しを行うことが再発防止につながります。
FileFixの攻撃手法はブラウザのファイルアップロード機能を悪用するとありますが、どのように防げますか?
ユーザを騙してクリップボード経由でコマンドを貼り付けさせる手口はユーザ教育とブラウザ側の制約強化が両輪です。具体的には疑わしいサイトでのファイルアップロードや不審な指示に従わないことを周知し、ブラウザの自動クリップボードアクセスを制限する設定や拡張機能を導入します。エンドポイント側では実行制御ポリシーでPowerShellや未知スクリプトの自動実行を抑止し、アンチマルウェアでダウンロードしたスクリプトの検査を行うことが重要です。
企業はこれからどのようなセキュリティ戦略を優先すべきでしょうか?投資配分の考え方を教えてください。
短期的にはDDoS緩和サービスの導入とネットワーク監視強化を優先し、中長期的にはゼロトラストやエンドポイント防御の強化に投資することが望ましいです。具体的には外部トラフィックの吸収やフィルタリングを担うサービス、ログ集約と解析体制の整備、ユーザの操作ミスを減らすための教育とポリシー運用、自動化されたインシデント対応ワークフローをバランスよく整備することが効果的です。
今後の予測には不確実性があると思いますが、特に注目して観測すべき指標は何でしょうか?
注目すべきはトラフィックのピーク幅とパケット毎秒の変動、攻撃の持続時間と攻撃ベクトルの多様化の指標です。加えて、エンドポイントで観測される不審なブラウザ挙動やクリップボード操作の増加、未知スクリプトのダウンロード頻度も重要な早期警戒信号になります。これらを継続的に監視し、外部の脅威インテリジェンスとも連携してトレンドの変化を素早く掴むことが不確実性の高い環境で有効です。
まとめ
今回はDDoSの大規模化と持続時間、そしてブラウザ機能を悪用する新しいマルウェア手法を学びました。観測指標の整備と多層防御、ユーザ教育が鍵であり、実務に直結する対策を優先して進める重要性がよくわかりました。また一つ、勉強になりました!
