分散型サービス妨害（DDoS）攻撃とは

DDoS攻撃により、Webサイトには悪意あるトラフィックがあふれ、正当なユーザーがアプリケーションやその他のサービスを利用できなくなります。 大量の不正トラフィックを処理できず、ターゲットの速度が異常に遅くなるか完全にクラッシュし、正当なユーザーが利用できなくなります。

DDoS攻撃は、より広いカテゴリーであるサービス拒否攻撃（DoS攻撃）の一部であり、アプリケーションやネットワーク・サービスを遅くしたり停止したりするすべてのサイバー攻撃が含まれます。DDoS攻撃は、「分散型サービス妨害」の「分散型」が表すように、複数のソースから攻撃トラフィックを一度に送信するという点で独特です。

サイバー犯罪者は20年以上にわたってDDoS攻撃を使用してネットワーク・オペレーションを妨害してきましたが、最近ではその頻度と攻撃力が急増しています。あるレポートによると、2022年上半期のDDoS攻撃は、2021年の同時期と比較して203%増加したとされています。

他のサイバー攻撃とは異なり、DDoS攻撃はネットワーク・リソースの脆弱性を悪用してコンピューター・システムに侵入することはありません。代わりに、ハイパーテキスト転送プロトコル (HTTP) や伝送コントロール・プロトコル （TCP）などの標準ネットワーク接続プロトコルを使用して、処理できる量を超えるトラフィックをエンドポイント、アプリ、その他のアセットにフラッディングします。Webサーバー、ルーター、その他のネットワーク・インフラストラクチャーは、有限数のリクエストしか処理できず、常に限られた数の接続を維持できます。DDoS攻撃は、リソースの利用可能な帯域幅を使い果たすことにより、これらのリソースが正当な接続要求やパケットに応答することを妨げます。

DDoS攻撃には大きく分けて3つの段階があります。

DDoS攻撃のターゲットの選択は、攻撃者の動機付けによって決まりますが、その動機は広範囲に及ぶ可能性があります。ハッカーはDDoS攻撃を利用して組織から金銭を巻き上げ、攻撃を止めるために身代金を要求しました。一部のハッカーは、意見の合わない組織や機関をターゲットにして活動にDDoSを使用します。悪徳なアクターがDDoS攻撃を利用して競合する企業を閉鎖させたり、一部の国家ではサイバー戦争でDDoS戦術を使用したりしています。

最も一般的なDDoS攻撃のターゲットには次のようなものがあります。

• オンライン小売業者。DDoS攻撃は、デジタル・ストアを営業停止させ、お客様が一定期間買い物できなくなることで、小売業者に重大な経済的損害を与える可能性があります。
  
  

• クラウド・サービス・プロバイダー。Amazon Web Services（AWS）、Microsoft Azure、Google Cloud Platformなどのクラウド・サービス・プロバイダーは、DDoS攻撃の一般的なターゲットです。これらのサービスは他の企業のデータやアプリをホストしているため、ハッカーは1回の攻撃で広範囲にわたる機能停止を引き起こすことができます。2020年、AWSは大規模なDDoS攻撃を受けました。ピーク時には、悪意あるトラフィックが2.3テラビット/秒で流入しました。
  
  

• 金融機関。DDoS攻撃により、銀行業務サービスがオフラインになり、顧客が自分のアカウントにアクセスできなくなる可能性があります。2012年、米国の大手銀行6行が、おそらく政治的動機による行為と思われる組織的なDDoS攻撃を受けました。
  
  

• サービスとしてのソフトウェア（SaaS）プロバイダー。クラウド・サービス・プロバイダーと同様、Salesforce、GitHub、Oracle などのSaaSプロバイダーは、ハッカーが複数の組織を同時に破壊できるため、魅力的な標的となります。2018年、GitHub は当時、記録上最大のDDoS攻撃に見舞われました。
  
  

• ゲーミング会社。DDoS攻撃は、サーバーにトラフィックをフラッディングさせ、オンライン・ゲームを中断させる可能性があります。これらの攻撃は、もともとMinecraftサーバーをターゲットにするために構築されたMiraiボットネットの場合と同様に、個人的な復讐を目的として不満を抱いたプレイヤーによって開始されることがよくあります。

DDoS攻撃には通常、ボットネットが必要です。これは、ハッカーがデバイスをリモートでコントロールできるようにするマルウェアに感染した、インターネットに接続されているデバイスのネットワークです。ボットネットには、ノートPCおよびデスクトップ・コンピューター、携帯電話、IoT（モノのインターネット）デバイス、その他の消費者または商用エンドポイントが含まれる場合があります。通常、これらの侵害されたデバイスの所有者は、デバイスが感染していることや、DDoS攻撃に使用されていることに気づいていません。

一部のサイバー犯罪者はゼロからボットネットを構築しますが、他のサイバー犯罪者は「サービスとしてのサービス拒否」と称されるモデルにしたがって事前に確立されたボットネットを購入またはレンタルします。

（注記：すべてのDDoS攻撃がボットネットを使用するわけではありません。一部の攻撃は、悪意ある目的のために感染していないデバイスの通常の操作を悪用します。以下の「スマーフ攻撃］を参照してください。）

ハッカーは、ボットネット内のデバイスに、接続要求またはその他のパケットをターゲット・サーバー、デバイス、またはサービスのIPアドレスに送信するよう命令します。ほとんどのDDoS攻撃はブルート・フォースに依存しており、ターゲットの帯域幅をすべて使い切るために大量の要求を送信します。一部のDDoS攻撃は、ターゲットが応答の際に多くのリソースを消費することを必要とする、より複雑な少数の要求を送信します。どちらの場合でも、結果は同じです。攻撃トラフィックがターゲット・システムを圧倒し、サービス拒否を引き起こし、正当なトラフィックがWebサイト、Webアプリケーション、API、またはネットワークにアクセスできなくなります。

ハッカーは、サイバー犯罪者がボットネットから送信されるパケットの偽のソースIPアドレスを偽造する手法であるIPスプーフィングを通じて、攻撃のソースを隠蔽することがよくあります。「反射」と呼ばれるある形式のIPスプーフィングでは、ハッカーは悪意のあるトラフィックが被害者自身のIPアドレスから送信されたかのように見せかけます。

DDoS攻撃のタイプは、7つのネットワーク「層」を定義する概念的フレームワークであるオープン・システム間相互接続（OSI）参照モデルの用語に基づいて命名または説明されることがよくあります（OSI 7階層モデルと呼ばれることもあります）。

名前が示すように、アプリケーション層攻撃は、OSI モデルのアプリケーション層（層 7）、つまりユーザー要求に応答してWebページが生成される層をターゲットにします。アプリケーション層攻撃は、Web プリケーションに悪意ある要求をフラッディングすることでWebアプリケーションを中断させます。

最も一般的なアプリケーション層攻撃の1つは、攻撃者が複数のデバイスから同じWebサイトに大量のHTTP要求を継続的に送信するHTTPフラッド攻撃です。WebサイトはすべてのHTTP用要求についていけず、速度が大幅に低下するか、完全にクラッシュします。HTTPフラッド攻撃は、何百、何千ものWebブラウザが同じWebページを繰り返し更新することに似ています。

アプリケーション層攻撃は比較的簡単に開始できますが、防止したり軽減したりするのは難しい場合があります。マイクロサービスやコンテナベースのアプリケーションの使用に移行する企業が増えるにつれ、アプリケーション層が攻撃されて極めて重要なWebサービスやクラウド・サービスが無効になるリスクが増加します。

プロトコル攻撃は、OSIモデルのネットワーク層（層 3）とトランスポート層（層 4）をターゲットにします。これらは、ファイアウォール、ロード・バランサー、Webサーバーなどの重要なネットワーク・リソースを、悪意ある接要求で過負荷にすることを目的としています。

一般的なプロトコル攻撃は次のとおりです。

SYNフラッド攻撃。SYNフラッド攻撃は、2 つのデバイスが相互に接続を確立するプロセスである TCP ハンドシェークを利用します。

一般的な TCP ハンドシェークでは、一方のデバイスがSYNパケットを送信して接続を開始し、もう一方のデバイスが SYN/ACKパケットで応答して要求を確認し、元のデバイスがACKパケットを送り返して接続を終了します。

SYNフラッド攻撃では、攻撃者は、スプーフィングされたソースIPアドレスを持つ大量のSYNパケットをターゲット・サーバーに送信します。サーバーは、スプーフィングされた IP アドレスに応答を送信し、最後の ACK パケットを待ちます。ソースIPアドレスがスプーフィングされているため、これらのパケットは到着しません。サーバーは多数の未完了の接続で拘束されており、正当なTCPハンドシェイクが利用できなくなります。

スマーフ攻撃。スマーフ攻撃は、2 つのデバイス間の接続ステータスを評価するために使用される通信プロトコルであるインターネット・コントロール・メッセージ・プロトコル（ICMP）を利用します。一般的なICMP交換では、あるデバイスが別のデバイスに ICMPエコー要求を送信し、後者のデバイスがICMPエコー応答によって応答します。

スマーフ攻撃では、攻撃者は被害者のIPアドレスと一致するスプーフィングされたIPアドレスからICMPエコー要求を送信します。このICMPエコー要求はIPブロードキャスト・ネットワークに送信され、所定のネットワーク上のすべてのデバイスに要求が転送されます。ICMPエコー要求を受信するすべてのデバイス（場合によっては数百または数千のデバイス）は、ICMPエコー応答を被害者のIPアドレスに送り返すことで応答し、処理できる以上の情報をデバイスにフラッディングします。他の多くの種類のDDoS攻撃とは異なり、スマーフ攻撃は必ずしもボットネットを必要としません。

ボリューム型DDoS攻撃は、ターゲット・ネットワーク内またはターゲットサービスとインターネットの他の部分との間で利用可能な帯域幅をすべて消費するため、正当なユーザーがネットワーク・リソースに接続できなくなります。ボリューム攻撃は、他のタイプのDDoS攻撃と比較しても、ネットワークやリソースに大量のトラフィックをフラッディングすることがよくあります。ボリューム攻撃は、悪意あるトラフィックを正当なトラフィックからフィルター処理すリングするように設計されたスクラビング・センターなどのDDoS保護対策を圧倒することが知られています。

一般的なボリューム攻撃には次のタイプがあります。

UDPフラッド。これらの攻撃は、偽のユーザー・データグラム・プロトコル（UDP）パケットをターゲット・ホストのポートに送信し、ホストにこれらのパケットを受信するアプリケーションを探すようプロンプトします。UDPパケットは偽であるため、それを受信するアプリケーションはなく、ホストは送信者に ICMP「宛先に到達不能」メッセージを送り返す必要があります。ホストのリソースは偽のUDPパケットの絶え間ないストリームへの応答に拘束され、ホストは正当なパケットに応答できなくなります。

ICMPフラッディング。「pingフラッド攻撃」とも呼ばれるこれらの攻撃は、複数のスプーフィングされたIPアドレスからのICMPエコー要求をターゲットに爆撃します。ターゲットのサーバーはこれらの要求すべてに応答する必要があり、オーバーロードになり、有効なICMPエコー要求を処理できなくなります。ICMPフラッドは、攻撃者がネットワーク・デバイスをだまして被害者のIPアドレスにICMP応答を送信させるのではなく、ボットネットから大量のICMP要求を送信するという点で、スマーフ攻撃とは区別されます。

DNS増幅攻撃。ここで攻撃者は、1つまたは複数のパブリックDNSサーバーに複数のドメイン・ネーム・システム（DNS）ルックアップ要求を送信します。これらのルックアップ要求は、スプーフィングされた被害者に属するIPアドレスを使用し、DNSサーバーに要求ごとに大量の情報を返すように要求します。その後、DNSサーバーは、被害者のIPアドレスに大量のデータをフラッディングして要求に応答します。

名前が示すように、マルチベクトル型攻撃は複数の攻撃ベクトルを悪用して、損害を最大化し、DDoSの緩和の取り組みを挫折させます。攻撃者は、1つのベクトルが阻止されたとき、複数のベクトルを同時に使用したり、攻撃中にベクトルを切り替えたりする可能性があります。たとえば、ハッカーは最初はスマーフ攻撃を開始するが、ネットワーク・デバイスからのトラフィックがシャットダウンされると、ボットネットからUDPフラッドを開始する可能性があります。

DDoS脅威は、他のサイバー攻撃と併用される場合もあります。たとえば、ランサムウェア攻撃者は、身代金が支払われない場合はDDoS攻撃をマウントすると脅して被害者に圧力をかける可能性があります。

DDoS攻撃は非常に長期間にわたって継続しており、時間の経過とともにサイバー犯罪者の間で人気が高まっています。

• 実行するのにスキルはほとんど、またはまったく必要ありません。サイバー犯罪者は、他のハッカーから既製のボットネットを利用することで、ほとんど準備や計画を立てずに、単独でDDoS攻撃を簡単に開始することができます。
  
  
• それらを発見するのは難しいです。 ボットネットは主に消費者向けおよび商用デバイスで構成されているため、組織が悪意あるトラフィックを実際のユーザーから分離するのは困難な場合があります。さらに、DDoS攻撃の兆候（サービスの低速化、サイトやアプリの一時的な利用不能) は、正当なトラフィックの突然の急増によって引き起こされることもあるため、DDoS攻撃を初期段階で検出することが困難になります。
  
  
• それを軽減するのは難しいです。DDoS攻撃が特定されると、サイバー攻撃の分散型の性質により、組織は単一のトラフィック・ソースをシャットダウンするだけで攻撃をブロックすることができません。レート制限など、DDoS攻撃を阻止することを目的とした標準的なネットワーク・セキュリティー・コントロールは、正規ユーザーのオペレーションを遅らせる可能性もあります。
  
  
• 潜在的なボットネット・デバイスはこれまで以上に増えています。モノのインターネット（IoT）の台頭により、ハッカーはボットに変えるデバイスの豊富なソースを手に入れることができました。医療装置や製造システムなどのオペレーショナル・テクノロジー（OT）を含め、インターネット対応のアプライアンス、ツール、ガジェットは、多くの場合、ユニバーサル・デフォルトの状態で販売および運用されており、セキュリティ管理も脆弱かまたは存在しないため、マルウェア感染の危険性が特に高くなっています。IoTおよびOTデバイスは多くの場合受動的に使用されるか、使用頻度が低いため、これらのデバイスの所有者が侵害されたことに気づくのは難しい可能性があります。

DDoS攻撃は、ハッカーが人工知能（AI）や機械学習（ML）ツールを採用し、攻撃の方向付けを支援することで、より高度になってきています。これにより、適応型DDoS攻撃が増加しています。適応型DDoS攻撃は、AIとMLを使用してシステムの最も脆弱な側面を検出し、サイバーセキュリティー・チームのDDoS軽減の取り組みに対応して攻撃ベクトルと戦略を自動的に変更します。

DDoS攻撃の目的はシステム運用を中断させることであり、組織には高額なコストがかかる可能性があります。IBMの2022年版データ侵害のコストに関する調査によると、サイバー攻撃によるサービスの中断、システムのダウンタイム、その他のビジネスの中断は、組織に平均142万米ドルの損害を与えているとのことです。2021年、DDoS攻撃により、あるVoIPプロバイダーは約1200万米ドルの損害を被りました。

1秒間に3.47テラビットの悪意あるトラフィックを発生させた過去最大のDDoS攻撃は、2021年11月にMicrosoft Azureの顧客を標的にしました。攻撃者は世界中から1万台のデバイスからなるボットネットを使用し、毎秒3億4,000万パケットにより被害者を爆撃しました。

DDoS攻撃は、2021年のベルギーへの攻撃など、政府に対しても使われています。ハッカーは政府運営のインターネット・サービス・プロバイダー（ISP）をターゲットにし、200以上の政府機関、大学、研究機関のインターネット接続を切断しました。

ハッカーがDDoSを1次攻撃としてではなく、より深刻なサイバー犯罪行為から被害者の注意をそらすために使用するケースが増えています。たとえば、サイバーセキュリティー・チームがDDoS攻撃をかわすことに専念している間にデータを盗み出したり、ランサムウェアをネットワークにデプロイしたりするなどです。

DDoSの緩和と保護の取り組みは通常、ネットワーク・トラフィックをスクラビング・センターにルーティングしたり、ロード・バランサーを使用して攻撃トラフィックを再分散したりするなど、悪意あるトラフィックのフローをできるだけ早く迂回することに重点を置いています。その目的のため、DDoS攻撃に対する防御の強化を目指す会社は、悪意あるトラフィックを特定して傍受できる次のようなテクノロジーを採用する可能性があります。

• Webアプリケーション・ファイアウォール。現在、ほとんどの組織は、ネットワークとアプリケーションを悪意あるアクティビティから保護するために、境界ファイアウォールとWebアプリケーション・ファイアウォール（WAF）を使用しています。標準のファイアウォールはポート・レベルで保護しますが、WAFは要求がWebサーバーに転送される前に安全であることを確認します。WAFは、どのタイプの要求が正当でどれがそうでないかを把握しているため、悪意あるトラフィックをドロップし、アプリケーション・レイヤーの攻撃を防ぐことができます。
  

• コンテンツ配信ネットワーク（CDN）。CDNは、ユーザーがより迅速かつ確実にオンライン・サービスにアクセスできるようにする分散サーバーのネットワークです。CDNを導入すると、ユーザーの要求がサービスの起点サーバーにまで遡ることがなくなります。代わりに、コンテンツを配信する地理的に近いCDNサーバーにルーティングされます。CDNは、サービス全体のトラフィックのキャパシティーを増やすことで、DDoS攻撃からの保護に役立ちます。CDNサーバーがDDoS攻撃によってダウンした場合、ユーザー・トラフィックはネットワーク内の他の利用可能なサーバー・リソースにルーティングされる可能性があります。

• SIEM（セキュリティー情報およびイベント管理）。SIEMシステムには、ログ管理やネットワーク・インサイトなど、DDoS攻撃やその他のサイバー攻撃をライフサイクルの早い段階で検出するためのさまざまな機能があります。SIEMソリューションは、オンプレミスおよびクラウドベースのセキュリティー・ツールによって生成されたセキュリティー・データを集中管理します。SIEMは、接続されたデバイスやアプリケーションを監視して、セキュリティー・インシデントや、過度のpingや不正な接続要求などの異常な動作がないかを監視できます。その後、SIEMはこれらの異常をフラグし、サイバーセキュリティー・チームが適切な措置を講じるようにします。
  
• 検出および応答のテクノロジー。エンドポイントの検出と対応（EDR）、ネットワークの検出と対応（NDR）、拡張検出と対応（XDR）ソリューションはすべて、高度な分析とAIを使用して、DDoS攻撃を示す可能性のある異常なトラフィック・パターンなどの侵害のインジケーターがないかネットワーク・インフラストラクチャーを監視し、進行中の攻撃にリアルタイムで対応するための自動化ケイパビリティー（疑わしいネットワーク接続の終了など）を行います。