コンテンツにスキップ

四半期ごとのDDoS脅威レポート

四半期ごとのDDoS脅威レポートは、DDoS攻撃の洞察とトレンドを3か月間にわたって包括的に提供します。

Cloudflareの広範なネットワークのおかげで、攻撃の規模、手法、主要な発信国、主要な標的国、標的産業の変動を含む進化する脅威の状況に関する洞察を提供します。各レポートは、グローバルな展望を示し、重要な攻撃やキャンペーンに深く掘り下げ、DDoS戦術の変化を探り、サイバー脅威環境をよりよく理解するためのデータ分析と洞察の組み合わせを提供します。

最新の四半期ごとのDDoS脅威レポートは、Cloudflare Radarのレポートセクションで見つけることができます。

方法論

身代金DDoS攻撃の洞察をどのように計算するか

Cloudflareのシステムは常にトラフィックを分析し、DDoS攻撃が検出されると自動的に緩和を適用します。攻撃を受けた各顧客には、自動化された調査が提示され、Cloudflareが攻撃の性質と緩和の成功をよりよく理解するのに役立ちます。Cloudflareは2年以上にわたり、攻撃を受けた顧客に調査を行っています。調査の質問の1つは、回答者が脅迫や身代金のメモを受け取ったかどうかを尋ねます。過去2年間で、Cloudflareは四半期ごとに平均164件の回答を収集しました。この調査の回答は、身代金DDoS攻撃の割合を計算するために使用されます。

地理的および産業の洞察をどのように計算するか

発信国

アプリケーション層では、Cloudflareは攻撃のIPアドレスを使用して攻撃の発信国を理解します。この層では、IPアドレスは偽装できないためです1(または変更できません)。しかし、ネットワーク層では、発信IPアドレスは偽装可能です。したがって、発信元を理解するためにIPアドレスに依存するのではなく、Cloudflareは攻撃パケットが取り込まれたデータセンターの位置を使用します。Cloudflareは、世界中の300以上の場所に広がる大規模なグローバルカバレッジのおかげで、地理的な正確性を得ることができます。

標的国

アプリケーション層およびネットワーク層のDDoS攻撃の両方について、攻撃とトラフィックは顧客の請求国によってグループ化されます。これにより、Cloudflareはどの国がより多くの攻撃を受けているかを理解できます。

標的産業

アプリケーション層およびネットワーク層のDDoS攻撃の両方について、攻撃とトラフィックは内部顧客関係管理システムに従って顧客の産業によってグループ化されます。これにより、Cloudflareはどの産業がより多くの攻撃を受けているかを理解できます。

総量対割合

発信元および標的の洞察について、Cloudflareは攻撃トラフィックの総量をすべてのトラフィックと比較して1つのデータポイントとして見ます。さらに、Cloudflareは特定の国からの攻撃トラフィックの割合や、特定の国または特定の産業への攻撃トラフィックの割合も考慮します。これにより、特定の国/産業に対する「攻撃活動率」が得られ、これはその総トラフィックレベルで正規化されます。これにより、通常多くのトラフィックを受け取る国や産業のバイアスを排除するのに役立ちます。

ランキング

発信元、標的、産業の洞察について、Cloudflareは各次元の「ランク」を計算することがあります。この計算は、HTTP DDoS攻撃、ネットワーク層DDoS攻撃、および各攻撃タイプの総トラフィックに対するDDoS攻撃トラフィックの総量と割合を考慮に入れます。ランキングシステムにより、Cloudflareは特定の産業がどれだけ攻撃を受けているかを示す単一のスコアを提供できます。グラフでは、ランク値は逆に表示されます(チャートの長いバーは高いランクとより多くの攻撃を意味します)。

攻撃の特性をどのように計算するか

攻撃のサイズ、持続時間、攻撃ベクトル、および新たな脅威を計算するために、Cloudflareは攻撃をバケットに分け、その後、各次元の総量に対する各バケットのシェアを提供します。

ただし、セキュリティと攻撃のRadarページのネットワーク層攻撃分布グラフでは、これらのトレンドはバイト数によって計算されます。攻撃はバイト数が大きく異なる可能性があるため、これにより四半期ごとのレポートとCloudflare Radarに表示されるグラフのトレンドが異なる可能性があります。

最終的な注意事項

攻撃の発信元または標的としての国

Cloudflareが攻撃の発信元または標的として「主要国」を説明する場合、それは必ずしも特定の国が国として攻撃されたことを意味するのではなく、その国を請求国として使用する組織が攻撃の標的となったことを意味します。

同様に、「特定の国から発信された攻撃」は、特定の国が攻撃を開始したことを意味するのではなく、その国にマッピングされたIPアドレスから攻撃が開始されたことを意味します。脅威アクターは、世界中にノードを持つグローバルなボットネットを運営しており、しばしばVPN(仮想プライベートネットワーク)やプロキシを使用して真の位置を隠します。これにより、発信国はその国における出口ノードやボットネットノードの存在を示す可能性があります。

不十分なデータによる除外項目

四半期ごとのレポートで提示される洞察とトレンドは、統計的に意味のある洞察を提供するのに十分なデータがない場合、特定の国や産業を除外します。

地図チャートの色付け

地図チャートでは、国や地域は白(最小値)から赤(最大値)までの分岐スケールを使用して色付けされます。これらは選択された世界の大陸グループに応じて変わります。

Footnotes

  1. IP偽装とは、送信者の身元を隠すため、別のコンピュータシステムを偽装するため、またはその両方のために、変更された送信元アドレスを持つインターネットプロトコル(IP)パケットを作成することです。

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings