DDoS 攻撃とは？

記事をシェアする:

登場以来 20 年経ったDDoS攻撃（分散型サービス妨害攻撃）は、かつてないほど壊滅的な影響をもたらしているかもしれません。MIT Technology Review (英語) によると、最初のDDoS攻撃は 1999年7月22日に発生し、Trin00と呼ばれる悪意のあるスクリプトに感染した114台のコンピューターで構成されたネットワークが、米国ミネソタ大学の1台のコンピューターを攻撃しました。感染した114台のコンピューターは偽装したデータ・パケットを同大学のコンピューターに送りつけて混乱させ、正常の要求処理ができないようにしました。

この攻撃は2日間続き、そこで使われた戦術は、それ以降、企業のサービスとWebサイトへの攻撃手法の一つとして使われ続けています。

分散型サービス妨害攻撃は正当なトラフィックをブロック

サービス妨害（DoS）攻撃（英語）は一つのソースから行われて、トラフィックを異常に増大させることで、サイトやサーバーが負荷に耐えられなくなるように仕向ける攻撃です。ネットワークやインフラストラクチャーのレベルで DoS を防げるかどうかは、主にファイアウォール・ルールと侵入検知システム（IDS）の実装によって決まります。攻撃が検知されれば、IDSは疑わしいソースからのトラフィックをブロックします。

このアプローチはシンプルではありながら、サイバー攻撃者を遮断することに多くの場合効果的です。しかし、攻撃側は、分散型サービス妨害攻撃によって攻撃レベルを巧妙化してきました。攻撃の目的は、企業のアプリケーションをシャットダウンさせる、金銭支払いの強要、技術力の誇示などです。DDoSによって、世界中にある複数のリソースから悪意のあるトラフィックが、1つのシステムやネットワークに狙いを定めて集中攻撃を仕掛けてきます。このような場合、ファイアウォールやIDSソリューションは、インシデントの検知とブロックをどこから開始すべきか判断できません。

さらに、攻撃者は古い戦術と新しいデバイスを独創的に使用するため、状況はますます悪化していきます。ハッカーはDDoSに次々と新しいバリエーションを生み出し、トレーニングの実施やアラートの発報でもなかなか防ぎきれないフィッシング（英語）などの戦術を使用して脆弱な人々を攻略します。また、脆弱性のあるデバイス （Internet of Things（IoT） に接続された数十億台のデバイスも含まれます）を悪用して、DDoS攻撃を中継するボットネットを作成します。Miraiボットネットが示した通り、新たなバリエーションも進化しています。

DDoS 攻撃は深刻な被害に繋がる場合があり、営業収入の損失は、1件の攻撃当たり平均で5万ドル（英語) から200万ドル（英語) にものぼると予測されています。企業にとってさらに悪いことに、消費者の信用喪失や知的財産の窃盗、マルウェア感染の脅威などの可能性もあります。クラウド・サービス・プロバイダーも同様の事態に直面しており、信用の毀損や長期間のサービス停止などが発生して、収益の損失や顧客の機密データの漏えいにつながるおそれがあります。

さまざまな形を取りうるDDoS攻撃

DDoS 攻撃の脅威を緩和する（英語）最初のステップは、3つの主な攻撃タイプのうち、どのタイプの攻撃を現在受けているのかを知ることです。

ボリューム・ベースの攻撃

DDoS攻撃はボットネットを使用して帯域幅を消費し尽くすことが目的なので、フラッディングを引き起こすことが最終目標です。ボットネットは100万ノードを超える規模になることが珍しくないため、接続済みデバイス（英語）の数を急増させることによって容易に行うことができます。例えば、ファイル転送プロトコル（FTP）サービスの場合、伝送制御プロトコルのトラフィックを大量に増やすことでフラッディングを引き起し、停止させることができます。

プロトコル攻撃

フラッディングでサービスを停止させることができますが、ネットワーク・レイヤーとトランスポート・レイヤーでプロトコルのバグを悪用することでもサービスを停止できます。ネットワークが少量のトラフィックしか受け取らない場合でも、プロトコル攻撃はビジネスを中断させることができます。

アプリケーション・レイヤー攻撃

プロトコルが正しく、トラフィックが正当に見える場合、IDSで検知するのは難しくなります。例えば、HTTPフラッドDDoS攻撃の場合、攻撃者はボットネットを使用して一連の要求を送信し、Webサーバーかアプリケーションに侵入する可能性があります。この攻撃は攻撃者に有利な手法であり、各要求に応答すると、サーバーやアプリケーションが割り振らなければならないリソースが最大に増加します。例えば、アクセスすることが困難なデータの意味のない部分を求めるような要求が使用されます。

セキュリティー・ツールと技法の組み合わせでDDoS攻撃に対処

セキュリティー・オペレーション・センター（SOC）は現在、DDoS脅威などの脅威への対処について、多数の課題に直面しています。悪意のある攻撃者は、時間をかけて少しずつシステムやネットワークに侵入し、最も価値のある資格情報を盗み出すことがあります。また、アナリストが対処しなければならないイベント、アラーム、システムが大量にあり、要員が不足している場合は、データが失われていることに気付いても、それを止められないかもしれません。このことは、脅威の検知や特定の重要性だけでなく、脅威を解消または緩和する（英語）ことの重要性にも留意する必要があります。

分散型サービス妨害攻撃は、歴史的に見て防御が難しい攻撃です。クラウドでDDoS攻撃を緩和するには、セキュリティー・チームが、許可するパケットと拒否するパケットに関するセキュアな防衛線と関連ルールを確立する必要がありますが、防衛線防御だけでは不十分です。専門家は、高度なファイアウォール、コンテンツ配信ネットワーク（CDN）、ソース・レートの制限、トラフィックのスクラブ（洗浄）など、防御と緩和のためのツールと技法に重点を置くことを推奨しています。

• • 次世代ファイアウォールによって、侵入防止とアプリケーション認識が従来型の機能に追加されます。これらのファイアウォールは、アプリケーション、ネットワーク、セッションの各レイヤーにセキュリティー・ポリシーを適用することで、DDoS脅威などの高度な攻撃に対する強力で幅広い防御を提供します。SOCはこれらのファイアウォールを使用して必要な制御を掌握し、ネットワーク・トラフィックのセキュリティー・ルールをカスタマイズできます。
  • 通常、CDNを定義するプロキシー・サーバーとそれに関連するデータ・センターがWebコンテンツとリッチ・メディアの配信スピードを上げるように機能しますが、DDoS攻撃中は、CDNが自動的に何万ものサーバーにトラフィックを分散します。これにより、容量ベースのDDoS攻撃やプロトコルDDoS攻撃を受けた場合でも、Webサイトの稼働を維持できます。
  • ソース・レートの制限は、攻撃の発生元であるソース・インターネット・プロトコル（IP）の過剰なトラフィックをブロックします。これは、容量ベースの攻撃においてアプリケーション・レイヤーでトラフィックを制限するときに特に効果的です。Webアプリケーションで要求が発生した場所に応じて許可する要求数を制限できるほか、違反に応じて応答を調整することも可能です（例えば、5分間ユーザーをブロックする、ユーザーにCAPTCHAページを送信するなど）。ソース・レートの制限はWebサイトまたはアプリケーションの保護に効果的ですが、効果があるのはIPアドレスが偽装されていない場合に限ります。
  • 最後に、サード・パーティーはDDoSトラフィックのスクラブ・サービスを提供できます。この場合、ベンダーはターゲット・ネットワークで着信トラフィックを分析し、できる限り速やかに脅威を検知して、除去します。DDoS攻撃では、世界中に分散されたトラフィック・スクラブ・センターにすべてのトラフィックが転送されます。そこで、悪意のあるトラフィックがスクラブされ、クリーンなトラフィックがターゲット・ネットワークにリダイレクトされます。

DDoSに対するインシデント対応プランの策定

SOCでの人工知能 （AI）の活用が増えると、DDoS攻撃の検知と防止における機械学習が果たす役割も高まります。ただし、使用されているアルゴリズムが脅威の攻撃者に知られると、防御が無効にされてしまいます。完璧なセキュリティー・ツールやセキュリティー技法はありません。企業は、標的にされた場合にはバックアップ・サービスを確実に作動させてダメージを最小限に抑えるインシデント対応プランを策定する必要があります。

【関連情報】

インシデント対応全体をサポートする統合インシデント対応サービスIBM Security X-Forceの概要はこちらから

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者情報】

Diana Kightlinger

Diana Kightlinger は、科学、テクノロジー、医療機関の分野における知識が豊富なジャーナリスト、コピーライター、ブロガーです。フォーチュン500に名を連ねる法人顧客のために頻繁に記事を書くだけでなく、学術研究の解説、問題に関する意識の向上、個人および地域社会全体に好ましい成果をもたらすことにも情熱を注いでいます。ジャーナリズムと環境科学の修士号を有しています。