分散型サービス妨害(DDoS)の保護と軽減では、 データセンター、アプリケーション、Webサイト、その他のリソースを不正なトラフィックで飽和状態にさせることでサービスを停止させるサイバー攻撃の一種であるDDoS攻撃を防止または迅速に解決するために、サイバーセキュリティーツールやサービスを活用します。
IBM® X-Force Threat Intelligence Indexによると、X-Forceが対応する攻撃の内DDoS攻撃によるものは2%ではありますが、これらの攻撃が引き起こす混乱には多大なコストがかかる可能性があります。実際、IBMのデータ侵害のコストに関する調査によると、サイバー攻撃による事業損失のコストは平均で147万米ドルとなっています。
強力なDDoS保護対策を実現することで、システムの稼働時間を確保し、ダウンタイムやビジネスの中断を防ぎ、組織の評判を守ることができます。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
DDoS攻撃の防止は、典型的な標的を理解することから始まります。DDoS攻撃のトラフィックは、開放型システム間相互接続(OSI)ネットワーク・モデルにある、次の3つの層のいずれかに集中する傾向があります。
アプリケーション層攻撃は、ネットワークのアプリケーション層をターゲットにします。例としては、HTTPフラッド攻撃が挙げられます。この攻撃では、攻撃者は複数のデバイスから膨大な数のHTTPリクエストを同じWebサイトに送信して、クラッシュさせます。DNSクエリ・フラッドはドメイン・ネーム・システム(DNS)サーバーを攻撃し、偽のWebサイトへのリクエストでサーバーに過負荷をかけます。
プロトコル攻撃は、ネットワーク層とトランスポート層をターゲットにします。例としては、TCPハンドシェイク(2つのデバイスが互いに接続を確立するプロセス)を利用して、不正なパケットでサーバーを過負荷にするSYNフラッド攻撃などが挙げられます。Smurf攻撃はインターネット制御メッセージ・プロトコル(ICMP)を利用し、被害者のデバイスに数百または数千のICMPエコー応答をフラッディングします。
ボリューム型攻撃は、ターゲット・ネットワーク内またはターゲットサービスとインターネットの他の部分との間で利用可能な帯域幅をすべて消費するため、正当なユーザーがネットワーク・リソースに接続できなくなります。
例には、偽のユーザー・データグラム・プロトコル(UDP)パケットをターゲット・ホストのポートに送信するUDPフラッドが含まれます。ホストのリソースは、これらの偽のパケットを受信するアプリケーションを見つけるための無駄な負荷に拘束されます。ICMPフラッドは「pingフラッド攻撃」とも呼ばれ、複数のスプーフィングされたIPアドレスからのICMPエコー要求でターゲットを攻撃します。
マルチベクトル攻撃は、単一のソースではなく、複数の攻撃ベクトルまたはノードをエクスプロイトして、被害を最大化し、DDoS軽減の取り組みを妨害します。
攻撃者は、1つのベクトルが阻止されたとき、複数のベクトルを同時に使用したり、攻撃中にベクトルを切り替えたりする可能性があります。たとえば、ハッカーは最初はSmurf攻撃を開始しますが、ネットワーク・デバイスからのトラフィックがシャットダウンされると、ボットネットからUDPフラッドを開始する場合があります。
答えは「疑いの余地なくイエス」です。米国連邦捜査局(FBI)によると「分散型サービス妨害攻撃(DDoS)やDDoS攻撃請負サービスに参加することは違法です。FBIやその他の法執行機関は、DDoS攻撃をサイバー犯罪として捜査しています。」罰則には次のものが含まれます。
DDoSセキュリティソリューションとサービスは、多くの場合、組織がネットワークトラフィックの異常パターンや疑わしい急増をリアルタイムで特定して対処できるように、自動検出および対応機能を中心に構築されています。多くのDDoS防御ソリューションは、異常なアクティビティが検出されると、悪意のあるトラフィックを即座にブロックしたり、攻撃者がエクスプロイトしようとする可能性のある脆弱性を遮断したりします。
一般的なDDoS防止および軽減のためのツール・技術には、次のようなものがあります。
「ブラック・ホール」(「ヌル・ルート」とも呼ばれる)とは、受信トラフィックが処理または保管されずに削除される、ネットワークの一部のことです。ブラックホール・ルーティングとは、DDoS攻撃が疑われる場合に、受信トラフィックをブラックホールに迂回させる行為を指します。
欠点は、ブラックホール・ルーティングにより良性のトラフィックが、悪意のあるトラフィックと一緒に破棄されてしまう可能性があることです。有効で、かつおそらく貴重なトラフィックも破棄される可能性があるため、ブラックホール・ルーティングは攻撃に直面した場合の単純かつ調整の効かない手法となります。
ボット識別および管理ツールは、ボットからの悪意のあるトラフィックを識別することで、DDoS脅威に対抗する際に役立ちます。
Googleが検索結果のページにインデックスを付けるために使用するボットなどの一部のボットは無害です。しかし、悪意のある目的で使用されるものもあります。たとえば、多くのDDoS攻撃はボットネットを使用して実行されます。ボットネットとは、サイバー犯罪者がノートPCやデスクトップ コンピューター、携帯電話、IoT(モノのインターネット)デバイス、その他の消費者向けまたは商用のエンドポイントを乗っ取って作成するボットのネットワークです。
ボット管理ソフトウェアは、多くの場合、有用なボットがリソースにアクセスできるようにする一方で、望ましくない、または悪意のあるインターネット・ボットのトラフィックをブロックするために使用されます。これらのツールの多くは人工知能(AI)と機械学習(ML)を使用して、ボットと人間の訪問者を区別します。ボット管理ソフトウェアは、 CAPTCHAテストやその他のチャレンジを使用して潜在的に悪意のあるボットをブロックし、システムに異常な負荷をかける可能性のあるボットを自動的にレート制限または拒否できます。
CDN は、ユーザーがより迅速かつ確実にオンライン・サービスにアクセスできるようにする分散サーバーのネットワークです。CDNが実装されていると、ユーザーのリクエストがサービスのオリジンサーバーに戻ることはありません。代わりに、要求はコンテンツを配信する地理的に近いCDNサーバーにルーティングされます。
CDNは、サービス全体のトラフィックのキャパシティーを増やすことで、DDoS軽減の取り組みをサポートできます。CDNサーバーがDDoS攻撃によってオフラインになった場合、ユーザー・トラフィックをネットワーク内の他の利用可能なサーバー・リソースにルーティングできます。
EDR(エンドポイントの検知と対応)、ネットワーク検知および対応、ユーザーおよびエンティティの行動分析(UEBA)および類似のツールは、ネットワーク・インフラストラクチャーとトラフィック・パターンを監視して、侵害の兆候を検知できます。多くの場合、通常のネットワーク動作のベースライン・モデルを構築し、悪意のあるトラフィックを示している可能性のある、モデルからの逸脱を特定することで機能します。
これらのシステムは、異常なトラフィック・パターンなどのDDoSの徴候を検出すると、疑わしいネットワーク接続を終了するなど、リアルタイムのインシデント対応をトリガーできます。
デバイスフィンガープリントは、ソフトウェアとハードウェアに関して収集した情報を用いて、特定のコンピューティング・デバイスの識別を可能にします。一部のDDoS対策ツール(例:ボット管理システム)は、既知のボットを特定したり、悪意のある意図が確認されたり疑われるデバイスをフィルタリングするために、フィンガープリントのデータベースを使用します。
ロード・バランシングとは、アプリケーションの可用性を最適化するために、複数のサーバー間でネットワーク・トラフィックを分散するプロセスです。ロード・バランシングは、過負荷のサーバーからトラフィックを自動的にルーティングすることで、DDoS攻撃を防御するのに役立ちます。
組織は、ハードウェア・ベースまたはソフトウェア・ベースのロード・バランサーをインストールして、トラフィックを処理できます。また、エニーキャスト・ネットワーキングも使用できます。これにより、単一のIPアドレスを複数の場所にある複数のサーバーまたはノードに割り当てて、それらのサーバー間でトラフィックを共有することができます。通常、リクエストは最適なサーバーに送信されます。トラフィックが増加すると負荷が分散し、サーバーが過負荷になりにくくなります。
これらのアプライアンスは、企業のネットワークにインストールされている物理デバイスまたは仮想マシンです。受信トラフィックを監視し、不審なパターンを検知して、危険な可能性のあるトラフィックをブロックまたは制限します。
これらのアプライアンスはローカルにインストールされるため、検査やスクラビングのためにトラフィックをクラウドベースのサービスに送信する必要がありません。オンプレミスのDDoS保護アプライアンスは、会議プラットフォームやゲーミング・プラットフォームなど、低レベルの遅延を必要とする組織に役立ちます。
プロトコル・フィルタリングは、TCP、DNS、HTTPSなどの一般的な通信プロトコルの通常の動作と照合して、ネットワーク・トラフィックを分析します。特定のプロトコルを使用するトラフィックが、そのプロトコルの標準から逸脱した場合、プロトコル・フィルタリング・ツールはそのトラフィックにフラグを立てるか、またはブロックできます。
たとえば、DNS増幅攻撃は、偽装されたIPアドレスと悪意のあるDNSリクエストを使用して、被害者のデバイスに大量のデータを送り込む攻撃です。プロトコル・フィルタリングは、これらの異常なDNSリクエストが損害を与える前に検出・遮断できます。
レート制限とは、設定された時間中にサーバーが受け入れることができる受信リクエストの数に制限を付けることを意味します。正規ユーザーに対してサービスが遅くなる可能性もありますが、サーバーは過負荷に陥りません。
スクラビング・センターは、トラフィック認証や異常検知などの技術を使用して、正規のトラフィックから悪意のあるトラフィックをフィルタリングできる特殊なネットワークまたはセキュリティ・サービスです。スクラビング・センターは、悪意あるトラフィックをブロックする一方で、正当なトラフィックが目的地に到達できるようにします。
標準的なファイアウォールは、ポート・レベルでネットワークを保護しますが、WAFは、Webサーバーに要求を転送する前に要求が安全であることを確認します。WAFは、どのタイプの要求が正当でどれがそうでないかを判断できるため、悪意あるトラフィックをドロップし、アプリケーション・レイヤーの攻撃を防ぐことができます。
AIとMLツールは適応型DDoS軽減を可能にし、組織がDDoS攻撃に対抗するサポートを行い、正規ユーザーの中断を最小限に抑えます。AIやMLツールは、トラフィックを分析し、そこから学習することで、検知システムをファイン・チューニングし、有効なトラフィックを誤ってブロックしたり、ビジネス・チャンスを損なう誤検知を減らします。
おそらく不十分でしょう。DDoS攻撃は、多くの場合、無害なユーザーに属する数百または数千の乗っ取られたデバイスで構成されるボットネットから開始されます。ボットネットを指揮するハッカーは通常、デバイスのIPアドレスを偽装するため、すべてを追跡するには時間がかかる場合があり、真の犯罪者を特定できる可能性は非常に低くなります。
とはいえ、特定の状況では、十分なリソースがあれば、一部のDDoS攻撃を追跡できます。インターネット・サービス・プロバイダー(ISP)や法執行チームと協力して高度なフォレンジック分析を使用することで、組織は攻撃者を特定できる可能性があります。こうした結果は、攻撃のパターンに手がかりを残す可能性のある反復的な攻撃者の場合に起こりやすくなります。
ほとんどの場合、保護できません。攻撃が小規模または洗練されていないものである場合には、従来のネットワーク・ファイアウォールである程度の保護を提供できる場合がありますが、大規模または高度な攻撃はすり抜けてしまいます。
問題は、ほとんどのファイアウォールが、正常なトラフィックを装った悪意のあるトラフィックを認識して阻止できないことです。たとえば、HTTP GET攻撃は、標的のサーバーからファイルに対する複数のリクエストを送信しますが、これは標準的なネットワーク・セキュリティー・ツールでは正常に見える可能性があります。
ただし、Webアプリケーション・ファイアウォール(WAF)は、従来のファイアウォールとは異なるネットワーク層で動作し、前述のようにDDoS攻撃を軽減するためのユースケースを備えています。
DDoS攻撃は、組織のアプリケーション、Webサイト、サーバー、その他のリソースをオフラインにし、ユーザー向けのサービスを中断し、ビジネスの損失や評判の低下という点で多額の費用がかかる可能性があります。
DDoS攻撃により、組織によるサービス・レベル契約(SLA)の履行が妨げられ、顧客が離れてしまう可能性もあります。組織のシステムがオンデマンドで利用できない場合、ユーザーは他社に乗り換えてしまう可能性があります。
これらのサイバー脅威は、金融サービスや公共ユーティリティーなどの重要なインフラを標的にすることが増えています。最近の研究では、重要なインフラに対するDDoS攻撃が過去4年間で55%増加したと報告されています。
さらに、DDoS攻撃は、さらに被害の大きいサイバー攻撃の隠れ蓑として使用されることがよくあります。たとえば、ハッカーは、サイバーセキュリティー・チームがDDoS攻撃に取り組んでいる間に、ネットワークにランサムウェアをデプロイできるように、被害者の注意をそらすためにDDoS攻撃を開始することがあります。
DDoS軽減ソリューションとDDoS保護サービスは、組織がこれらの攻撃の多くを完全に阻止し、主要なセクターやサービスの停止を防ぐ上で役立ちます。攻撃を阻止できない場合、ダウンタイムを大幅に短縮して、事業継続性の確保に貢献します。
最新のDDoS防御ソリューションは、オンプレミスとクラウドベースの両方の資産を保護するのに役立つため、組織は場所に関係なくリソースを保護できます。