ホーム
Topics
DDoS攻撃とは| IBM
DDoS攻撃は、Web サイト、Webアプリケーション、クラウド・サービス、またはその他のオンライン・リソースを、無意味な接続要求、偽のパケット、またはその他の悪意あるトラフィックで圧倒することで、無効化または停止させることを目的としています。
DDoS攻撃により、Webサイトには悪意あるトラフィックがあふれ、正当なユーザーがアプリケーションやその他のサービスを利用できなくなります。 大量の不正トラフィックを処理できず、ターゲットの速度が異常に遅くなるか完全にクラッシュし、正当なユーザーが利用できなくなります。
DDoS攻撃は、より広いカテゴリーであるサービス拒否攻撃(DoS 攻撃)の一部であり、アプリケーションやネットワーク・サービスを遅くしたり停止したりするすべてのサイバー攻撃が含まれます。DDoS攻撃は、「分散型サービス妨害」の「分散型」が表すように、複数のソースから攻撃トラフィックを一度に送信するという点で独特です。
サイバー犯罪者は20年以上にわたってDDoS攻撃を使用してネットワーク・オペレーションを妨害してきましたが、最近ではその頻度と攻撃力が急増しています。あるレポートによると、2022年上半期のDDoS攻撃は、2021年の同時期と比較して203%増加した(ibm.com外部へのリンク)とされています。
IBM Security X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
他のサイバー攻撃とは異なり、DDoS攻撃はネットワーク・リソースの脆弱性を悪用してコンピューター・システムに侵入することはありません。代わりに、ハイパーテキスト転送プロトコル (HTTP) や伝送コントロール・プロトコル (TCP)などの標準ネットワーク接続プロトコルを使用して、処理できる量を超えるトラフィックをエンドポイント、アプリ、その他のアセットにフラッディングします。Webサーバー、ルーター、その他のネットワーク・インフラストラクチャーは、有限数のリクエストしか処理できず、常に限られた数の接続を維持できます。DDoS攻撃は、リソースの利用可能な帯域幅を使い果たすことにより、これらのリソースが正当な接続要求やパケットに応答することを妨げます。
DDoS攻撃には大きく分けて3つの段階があります。
DDoS攻撃のターゲットの選択は、攻撃者の動機付けによって決まりますが、その動機は広範囲に及ぶ可能性があります。ハッカーはDDoS攻撃を利用して組織から金銭を巻き上げ、攻撃を止めるために身代金を要求しました。一部のハッカーは、意見の合わない組織や機関をターゲットにして活動にDDoSを使用します。悪徳なアクターがDDoS攻撃を利用して競合する企業を閉鎖させたり、一部の国家ではサイバー戦争でDDoS戦術を使用したりしています。
最も一般的なDDoS攻撃のターゲットには次のようなものがあります。
オンライン小売業者。DDoS攻撃は、デジタル・ストアを営業停止させ、お客様が一定期間買い物できなくなることで、小売業者に重大な経済的損害を与える可能性があります。
クラウド・サービス・プロバイダー。Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform などのクラウド・サービス・プロバイダーは、DDoS攻撃の一般的なターゲットです。これらのサービスは他の企業のデータやアプリをホストしているため、ハッカーは 1 回の攻撃で広範囲にわたる機能停止を引き起こすことができます。2020 年、AWSは大規模なDDoS攻撃を受けました(ibm.com外部へのリンク)。ピーク時には、悪意あるトラフィックが2.3テラビット/秒で流入しました。
金融機関。DDoS攻撃により、銀行業務サービスがオフラインになり、お客様が自分のアカウントにアクセスできなくなる可能性があります。2012年、米国の大手銀行6行が、おそらく政治的動機による行為と思われる組織的なDDoS攻撃を受けました(ibm.comの外部サイトにリンクします)。
サービスとしてのソフトウェア(SaaS)プロバイダー。クラウド・サービス・プロバイダーと同様、Salesforce、GitHub、OracleなどのSaaSプロバイダーは、ハッカーが複数の組織を同時に破壊できるため、魅力的な標的となります。2018年、GitHubは当時、記録上最大のDDoS攻撃に見舞われました(ibm.comの外部サイトにリンクします)。
DDoS 攻撃には通常、ボットネットが必要です。これは、ハッカーがデバイスをリモートでコントロールできるようにする、マルウェアに感染したインターネット接続されたデバイスのネットワークです。ボットネットには、ラップトップおよびデスクトップ コンピューター、携帯電話、IoTデバイス、その他の消費者または商用エンドポイントが含まれる場合があります。通常、これらの侵害されたデバイスの所有者は、デバイスが感染していることや、DDoS攻撃に使用されていることに気づいていません。
一部のサイバー犯罪者はゼロからボットネットを構築しますが、他のサイバー犯罪者は「サービスとしてのサービス拒否」と称されるモデルにしたがって事前に確立されたボットネットを購入またはレンタルします。
(注記:すべてのDDoS攻撃がボットネットを使用するわけではありません。一部の攻撃は、悪意ある目的のために感染していないデバイスの通常の操作を悪用します。以下の「スマーフ攻撃]を参照してください。)
ハッカーは、ボットネット内のデバイスに、接続要求またはその他のパケットをターゲット・サーバー、デバイス、またはサービスのIPアドレスに送信するよう命令します。ほとんどのDDoS攻撃はブルート・フォースに依存しており、ターゲットの帯域幅をすべて使い切るために大量の要求を送信します。一部のDDoS攻撃は、ターゲットが応答の際に多くのリソースを消費することを必要とする、より複雑な少数の要求を送信します。どちらの場合でも、結果は同じです。攻撃トラフィックがターゲット・システムを圧倒し、サービス拒否を引き起こし、正当なトラフィックがWebサイト、Webアプリケーション、 API 、またはネットワークにアクセスできなくなります。
ハッカーは、サイバー犯罪者がボットネットから送信されるパケットの偽のソースIPアドレスを偽造する手法であるIPスプーフィングを通じて、攻撃のソースを隠蔽することがよくあります。「反射」と呼ばれるある形式のIPスプーフィングでは、ハッカーは悪意のあるトラフィックが被害者自身の IP アドレスから送信されたかのように見せかけます。
DDoS攻撃のタイプは、7つのネットワーク「層」を定義する概念的フレームワークであるオープン・システム間相互接続(OSI)参照モデルの用語に基づいて命名または説明されることがよくあります(OSI 7層モデルと呼ばれることもあります)。
名前が示すように、アプリケーション層攻撃は、OSI モデルのアプリケーション層(層 7)、つまりユーザー要求に応答してWebページが生成される層をターゲットにします。アプリケーション層攻撃は、Web プリケーションに悪意ある要求をフラッディングすることでWebアプリケーションを中断させます。
最も一般的なアプリケーション層攻撃の 1 つは、攻撃者が複数のデバイスから同じWebサイトに大量のHTTP要求を継続的に送信するHTTPフラッド攻撃です。WebサイトはすべてのHTTP用要求についていけず、速度が大幅に低下するか、完全にクラッシュします。HTTPフラッド攻撃は、何百、何千ものWebブラウザが同じWe ページを繰り返し更新することに似ています。
アプリケーション層攻撃は比較的簡単に起動できますが、防止したり軽減したりするのは難しい場合があります。マイクロサービスやコンテナベースのアプリケーションの使用に移行する企業が増えるにつれ、アプリケーション層が攻撃されて重要なWebサービスやクラウド・サービスが無効になるリスクが増加します。
プロトコル攻撃は、OSIモデルのネットワーク層(層 3)とトランスポート層(層 4)をターゲットにします。これらは、ファイアウォール、ロード・バランサー、Webサーバーなどの重要なネットワーク・リソースを、悪意ある接要求で過負荷にすることを目的としています。
一般的なプロトコル攻撃は次のとおりです。
SYNフラッド攻撃。SYNフラッド攻撃は、2 つのデバイスが相互に接続を確立するプロセスである TCP ハンドシェークを利用します。
一般的な TCP ハンドシェークでは、一方のデバイスがSYNパケットを送信して接続を開始し、もう一方のデバイスが SYN/ACKパケットで応答して要求を確認し、元のデバイスがACKパケットを送り返して接続を終了します。
SYNフラッド攻撃では、攻撃者は、スプーフィングされたソースIPアドレスを持つ大量のSYNパケットをターゲット・サーバーに送信します。サーバーは、スプーフィングされた IP アドレスに応答を送信し、最後の ACK パケットを待ちます。ソースIPアドレスがスプーフィングされているため、これらのパケットは到着しません。サーバーは多数の未完了の接続で拘束されており、正当なTCPハンドシェイクが利用できなくなります。
スマーフ攻撃。スマーフ攻撃は、2 つのデバイス間の接続ステータスを評価するために使用される通信プロトコルであるインターネット・コントロール・メッセージ・プロトコル(ICMP)を利用します。一般的なICMP交換では、あるデバイスが別のデバイスに ICMPエコー要求を送信し、後者のデバイスがICMPエコー応答によって応答します。
スマーフ攻撃では、攻撃者は被害者のIPアドレスと一致するスプーフィングされたIPアドレスからICMPエコー要求を送信します。このICMPエコー要求はIPブロードキャスト・ネットワークに送信され、所定のネットワーク上のすべてのデバイスに要求が転送されます。ICMPエコー要求を受信するすべてのデバイス(場合によっては数百または数千のデバイス)は、ICMPエコー応答を被害者のIPアドレスに送り返すことで応答し、処理できる以上の情報をデバイスにフラッディングします。他の多くの種類のDDoS攻撃とは異なり、スマーフ攻撃は必ずしもボットネットを必要としません。
ボリューム型DDoS攻撃は、ターゲット・ネットワーク内またはターゲットサービスとインターネットの他の部分との間で利用可能な帯域幅をすべて消費するため、正当なユーザーがネットワーク・リソースに接続できなくなります。ボリューム攻撃は、他のタイプのDDoS攻撃と比較しても、ネットワークやリソースに大量のトラフィックをフラッディングすることがよくあります。ボリューム攻撃は、悪意あるトラフィックを正当なトラフィックからフィルター処理すリングするように設計されたスクラビング・センターなどのDDoS保護対策を圧倒することが知られています。
一般的なボリューム攻撃には次のタイプがあります。
UDPフラッド。これらの攻撃は、偽のユーザー・データグラム・プロトコル(UDP)パケットをターゲット・ホストのポートに送信し、ホストにこれらのパケットを受信するアプリケーションを探すようプロンプトします。UDPパケットは偽であるため、それを受信するアプリケーションはなく、ホストは送信者に ICMP「宛先に到達不能」メッセージを送り返す必要があります。ホストのリソースは偽のUDPパケットの絶え間ないストリームへの応答に拘束され、ホストは正当なパケットに応答できなくなります。
ICMP フラッディング。「pingフラッド攻撃」とも呼ばれるこれらの攻撃は、複数のスプーフィングされた IPアドレスからの ICMPエコー要求をターゲットに爆撃します。ターゲットのサーバーはこれらの要求すべてに応答する必要があり、オーバーロードになり、有効なICMPエコー要求を処理できなくなります。ICMPフラッドは、攻撃者がネットワーク・デバイスをだまして被害者のIPアドレスにICMP応答を送信させるのではなく、ボットネットから大量のICMP要求を送信するという点で、スマーフ攻撃とは区別されます。
DNS増幅攻撃。この攻撃では攻撃者は、1つまたは複数のパブリックDNSサーバーに複数のドメインネームシステム(DNS)ルックアップ要求を送信します。これらの検索要求は、スプーフィングされた被害者に属するIPアドレスを使用し、DNSサーバーに要求ごとに大量の情報を返すように要求します。その後、DNS サーバーは、被害者のIPアドレスに大量のデータをフラッディングして要求に応答します。
名前が示すように、マルチベクトル型攻撃は複数の攻撃ベクトルを悪用して、損害を最大化し、DDoSの緩和の取り組みを挫折させます。攻撃者は、1 つのベクトルが阻止されたとき、複数のベクトルを同時に使用したり、攻撃中にベクトルを切り替えたりする可能性があります。たとえば、ハッカーは最初はスマーフ攻撃を開始しますが、ネットワーク・デバイスからのトラフィックがシャットダウンされると、ボットネットからUDPフラッドを開始する可能性があります。
DDoS脅威は、他のサイバー攻撃と併用される場合もあります。たとえば、ランサムウェア攻撃者は、身代金が支払われない場合はDDoS攻撃をマウントすると脅して被害者に圧力をかける可能性があります。
DDoS攻撃は非常に長期間にわたって継続しており、時間の経過とともにサイバー犯罪者の間で人気が高まっています。
DDoS攻撃は、ハッカーが人工知能(AI)や機械学習(ML)ツールを採用し、攻撃の方向付けを支援することで、より高度になってきています。これにより、適応型DDoS攻撃が増加しています。適応型DDoS攻撃は、AIとMLを使用してシステムの最も脆弱な側面を検出し、サイバーセキュリティ・チームのDDoS軽減の取り組みに対応して攻撃ベクトルと戦略を自動的に変更します。
DDoS攻撃の目的はシステム運用を中断させることであり、組織にとっては高額なコストがかかる可能性があります。IBMの2022年データ侵害のコストのレポートによると、サイバー攻撃によるサービスの中断、システムのダウンタイム、その他のビジネスの中断は、組織に平均142万米ドルの損害を与えているとのことです。2021年、DDoS攻撃により、あるVoIPプロバイダーは約1200万米ドルの損害を被りました(ibm.com外部へのリンク)。
1秒間に3.47テラビットの悪意あるトラフィックを発生させた過去最大のDDoS攻撃は、2021年11月にMicrosoft Azureの顧客を標的にしました(ibm.com外部へのリンク)。攻撃者は世界中から1万台のデバイスからなるボットネットを使用し、毎秒3億4,000万のパケットで被害者に攻撃を仕掛けました。
DDoS攻撃は 、2021年のベルギーへの攻撃 (ibm.com外部へのリンク)など、政府に対しても使われています。ハッカーは政府運営のインターネット・サービス・プロバイダー(ISP)をターゲットにし、200以上の政府機関、大学、研究機関のインターネット接続を切断しました。
ハッカーがDDoSを1次攻撃としてではなく、より深刻なサイバー犯罪行為から被害者の注意をそらすために使用するケースが増えています。たとえば、サイバーセキュリティー・チームがDDoS攻撃をかわすことに専念している間にデータを盗み出したり、ランサムウェアをネットワークにデプロイしたりするなどです。
DDoSの緩和と保護の取り組みは通常、ネットワーク・トラフィックをスクラビング・センターにルーティングしたり、ロード・バランサーを使用して攻撃トラフィックを再分散したりするなど、悪意あるトラフィックのフローをできるだけ早く迂回することに重点を置いています。その目的のため、DDoS攻撃に対する防御の強化を目指す会社は、悪意あるトラフィックを特定して傍受できる次のようなテクノロジーを採用する可能性があります。
コンテンツ配信ネットワーク(CDN) 。CDN は、ユーザーがより迅速かつ確実にオンライン・サービスにアクセスできるようにする分散サーバーのネットワークです。CDNを導入すると、ユーザーの要求がサービスの起点サーバーにまで遡ることがなくなります。代わりに、コンテンツを配信する地理的に近いCDNサーバーにルーティングされます。CDNは、サービス全体のトラフィックのキャパシティーを増やすことで、DDoS攻撃からの保護に役立ちます。CDNサーバーがDDoS攻撃によってダウンした場合、ユーザー・トラフィックはネットワーク内の他の利用可能なサーバー・リソースにルーティングされる可能性があります。
手遅れになる前に、ネットワークに潜む隠れた脅威を見つけ出します。IBM Security QRadar Network Detection and Response(NDR)は、ネットワーク・アクティビティをリアルタイムで分析することで、セキュリティー・チームを支援します。深く幅広い可視性と高品質のデータおよび分析を組み合わせて、実用的なインサイトと対応を促進します。
IBM Security のインシデント対応リテーナー・サブスクリプションを利用して、組織が侵害への備えを強化するために必要なセキュリティー保護を入手してください。IRコンサルタントのエリートチームと契約を結べば、信頼できるパートナーが待機し、インシデント対応にかかる時間を短縮し、その影響を最小限に抑え、サイバーセキュリティインシデントが疑われる前に早期復旧を支援します。
専門知識と脅威インテリジェンスを組み合わせて脅威分析を強化し、サイバー脅威プラットフォームを自動化します。