1月29日、中国で開発された大規模AIモデル「DeepSeek」が世界的な話題となり、シリコンバレーのみならずウォール街でも波紋を呼んでいると報じられた。

DeepSeekの爆発的な人気は米国株式市場に影響を与え、Nvidiaの時価総額は27日の一夜にして約5,900億ドル（約4兆3,000億人民元）減少した。

同時に、DeepSeekのオンラインサービスも大規模な悪意ある攻撃を受けました。DeepSeekは1月28日、サービス提供を継続するため、+86の携帯電話番号以外の登録方法を一時的に制限すると発表しました。

Qi An Xin氏によると、DeepSeekは過去1ヶ月間、海外から多数の攻撃を受けていることが監視によって確認されている。1月27日以降、攻撃は高度化している。DDoS攻撃に加え、Qi An Xin氏のXLab研究所では、パスワードブルートフォース攻撃も多数発見されている。

XLab Labs は、DeepSeek DDoS 攻撃の舞台裏の詳細を直ちに公開し、再現しました。

最初のフェーズでは、1 月 3 日、4 日、6 日、7 日、13 日に、HTTP プロキシ攻撃の疑いのある攻撃が発生しました。

この期間中、XLab は、プロキシ経由で DeepSeek に接続するプロキシ要求を多数観測しましたが、これは HTTP プロキシ攻撃である可能性が非常に高いです。

第2フェーズ（1月20日から22日〜26日）では、攻撃手法はSSDPとNTPのリフレクション増幅に移行しました。

この期間中、XLabの監視では主にSSDPとNTPのリフレクション・アンプリフィケーション攻撃が検出され、HTTPプロキシ攻撃は少数でした。一般的に、SSDPとNTPのリフレクション・アンプリフィケーション攻撃は防御とクリーンアップが容易です。

第3フェーズの1月27日と28日には攻撃数が急増し、その手法はアプリケーション層攻撃に移行しました。

XLabは27日以降、主な攻撃手法がHTTPプロキシ攻撃に変化したことを発見しました。このタイプのアプリケーション層攻撃は、通常のユーザー行動を模倣するため、従来のSSDPやNTPリフレクション・アンプリフィケーション攻撃よりも防御がはるかに困難であり、より効果的です。

攻撃コマンドトレンドチャート

部分攻撃コマンド

XLabはまた、1月28日の攻撃のピークは北京時間（UTC+8）の午前3時から午前4時の間に発生したことを発見した。これは北米東部標準時（UTC-5）の午後3時から午後4時に相当する。

この攻撃のタイミングは、国境を越えた性質があることを示唆しており、海外でのサービスの可用性を向上させることを目的とした標的型攻撃の可能性も排除できません。

注目すべきは、1 月 28 日午前 3 時から始まったこの DDoS 攻撃には、すべて米国から発信された大量のブルート フォース攻撃も伴っていたことです。

斉安欣氏は、DeepSeekが27日遅くから28日にかけての大規模DDoS攻撃の急激なエスカレーションに対応し、対処したと述べた。

XLab は、メイン ネットワークからのパッシブ DNS データに基づいて、攻撃者が効果的で破壊力の高い HTTP プロキシ攻撃を開始した 28 日の 00:58 に DeepSeek が IP を切り替えたことを観察しました。

この切り替え時期は、上記のスクリーンショットに示されているDeepseek自身の発表タイムラインと一致しており、セキュリティ対策の強化を目的としていることを示唆しています。これは、XLabによる今回のDDoS攻撃に関する以前の評価をさらに裏付けています。(Seventeen)