最近珍しくはないSYN/ACK リフレクション攻撃ですが、この数ヶ月爆発的な規模で送られてきています。自前ハニーポットは設置数が少ないため、「やたら最近多いな」くらいにおもっていたのですが、NICTERが観測規模についてtweetしていました。

　NICTERのホームページはこちら。余計なお世話だと思いますが、いつまでFlash使うのかな？

どれくらい大変なの？

　5分間のうちに150万の送信元から1500万パケットの送信と書かれています。なんのことやらと思う方は、5分の間に150万人が1500万回ピンポンダッシュしてしまって、される側は困ってると思ってください。ざっくりな説明ですが。いや間違ってるかなこれ？また、この一ヶ月くらいは日本ばかり狙われているのかと思っていましたが、NICTの設置しているセンサーでは海外でも同様の攻撃を観測しているそうですので、日本だけではないと思ってよさそうです。

　最近の傾向として、宛先ポートが80/tcpと443/tcpがほとんどを占めており、一時期流行ったIoT機器への高ポート番号への攻撃が相対的に減っている気がします。80と443はWebの表示使われるポートです。つまり、ホームページを所有している人が誰もがこの攻撃を受けます。一般的なレンタルサーバーであればサーバー屋さんが対応してくれますが、自分で設定しているクラウド上の仮想マシンやVPSで特に対策をしていなければ、ダウンさせられたり、脆弱性をつかれてしまう可能性があります。

　AS2497の（笑）松崎さんもMRTGの画像付きで紹介されてましたが、やはりこの立ち上がりはエグいですね。

　結局何がしたいんだ？というのは攻撃者によってピンキリで、サービスを運用していない個人に何か悪影響があるかというと、普段使っているサービスが使えなくなったりします。特に使いたいときに限って・・・でも本当に意識してほしいのは「150万の送信元から1500万パケット」という150万のうちの1台があなたのパソコンやWebカメラにならないように、最新のソフトウェアを使うようにしてほしいのです。OSのアップデートは面倒だとは思いますが、最近は更新ボタン1つでできますので、是非最新版のソフトウェアを使ってください。

　とかいいながら、ウィルス感染するときにはしちゃいますからね。バックアップをお忘れなく！