DDoS攻撃(Distributed Denial of Service attack:分散型サービス拒否攻撃)は、不特定多数の端末から大量のアクセス要求やデータ送付を送りつけるサイバー攻撃の1つです。
DDoS攻撃を受けたWeb サイトやサーバー、ネットワークには過剰な負荷がかかるため、アプリケーションやサービスの応答時間の遅延や機能停止が引き起こされます。
その結果、攻撃対象とされた企業や組織は、正常なサービスを利用者に提供できない事態に陥ります。(「DDoS」の読みは「ディードス」)
DDoS攻撃は、1台の端末から攻撃を行うDoS攻撃(Denial of Service attack:サービス拒否攻撃)と同様に、アプリケーションやサービスの応答時間の遅延や機能停止を引き起こすサイバー攻撃です。DoS攻撃とDDoS攻撃の違いは、「分散型(Distributed)」という文字の通り、マルウェアなどを用いてコントロール下においた複数の端末から一斉に攻撃する点です。
サイバー犯罪者は20年以上にわたり、DDoS攻撃を使用しており、今日では攻撃の頻度と威力が格段に増しています。Radware社のレポート「2022 H1 Global Threat Analysis Report 」(リンクは ibm.com の外部にあります)では、2022年上半期のDDoS攻撃は、2021年の同時期と比較して203%増加したと報告されています。
他のサイバー攻撃とは異なり、DDoS攻撃はネットワーク・リソースの脆弱性を悪用してコンピューター・システムに侵入することはありません。代わりに、ハイパーテキスト転送プロトコル (HTTP) や伝送コントロール・プロトコル (TCP)などの標準ネットワーク接続プロトコルを使用して、処理できる量を超えるトラフィックをエンドポイント、アプリ、その他のアセットにフラッディングします。Webサーバー、ルーター、その他のネットワーク・インフラストラクチャーは、有限数のリクエストしか処理できず、常に限られた数の接続を維持できます。DDoS攻撃は、リソースの利用可能な帯域幅を使い果たすことにより、これらのリソースが正当な接続要求やパケットに応答することを妨げます。
DDoS攻撃には大きく分けて3つの段階があります。
DDoS攻撃のターゲットの選択は、攻撃者の動機付けによって決まりますが、その動機は広範囲に及ぶ可能性があります。ハッカーはDDoS攻撃を利用して組織から金銭を巻き上げ、攻撃を止めるために身代金を要求しました。一部のハッカーは、意見の合わない組織や機関をターゲットにして活動にDDoSを使用します。悪徳なアクターがDDoS攻撃を利用して競合する企業を閉鎖させたり、一部の国家ではサイバー戦争でDDoS戦術を使用したりしています。
最も一般的なDDoS攻撃のターゲットには次のようなものがあります。
オンライン小売業者。DDoS攻撃は、デジタル・ストアを営業停止させ、お客様が一定期間買い物できなくなることで、小売業者に重大な経済的損害を与える可能性があります。
クラウド・サービス・プロバイダー。Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform などのクラウド・サービス・プロバイダーは、DDoS攻撃の一般的なターゲットです。これらのサービスは他の企業のデータやアプリをホストしているため、ハッカーは 1 回の攻撃で広範囲にわたる機能停止を引き起こすことができます。2020 年、AWSは大規模なDDoS攻撃を受けました (リンクは ibm.com の外にあります)。ピーク時には、悪意あるトラフィックが2.3テラビット/秒で流入しました。
金融機関。DDoS攻撃により、銀行業務サービスがオフラインになり、お客様が自分のアカウントにアクセスできなくなる可能性があります。2012 年、米国の大手銀行6行が、おそらく政治的動機による行為と思われる組織的なDDoS攻撃を受けました (リンクは ibm.com の外にあります)。
サービスとしてのソフトウェア(SaaS)プロバイダー。クラウド・サービス・プロバイダーと同様、Salesforce、GitHub、Oracle などのSaaSプロバイダーは、ハッカーが複数の組織を同時に破壊できるため、魅力的な標的となります。2018年、GitHub は当時、記録上最大のDDoS攻撃に見舞われました (リンクは ibm.com の外にあります)。
- ゲーミング会社。DDoS攻撃は、サーバーにトラフィックをフラッディングさせ、オンライン・ゲームを中断させる可能性があります。これらの攻撃は、もともとMinecraftサーバーをターゲットにするために構築されたMirai ボットネットの場合と同様に、個人的な復讐を目的として不満を抱いたプレイヤーによって開始されることがよくあります (リンクは ibm.com の外にあります)。
DDoS 攻撃には通常、ボットネットが必要です。これは、ハッカーがデバイスをリモートでコントロールできるようにする、マルウェアに感染したインターネット接続されたデバイスのネットワークです。ボットネットには、ラップトップおよびデスクトップ コンピューター、携帯電話、IoTデバイス、その他の消費者または商用エンドポイントが含まれる場合があります。通常、これらの侵害されたデバイスの所有者は、デバイスが感染していることや、DDoS攻撃に使用されていることに気づいていません。
一部のサイバー犯罪者はゼロからボットネットを構築しますが、他のサイバー犯罪者は「サービスとしてのサービス拒否」と称されるモデルにしたがって事前に確立されたボットネットを購入またはレンタルします。
(注記:すべてのDDoS攻撃がボットネットを使用するわけではありません。一部の攻撃は、悪意ある目的のために感染していないデバイスの通常の操作を悪用します。以下の「スマーフ攻撃]を参照してください。)
ハッカーは、ボットネット内のデバイスに、接続要求またはその他のパケットをターゲット・サーバー、デバイス、またはサービスのIPアドレスに送信するよう命令します。ほとんどのDDoS攻撃はブルート・フォースに依存しており、ターゲットの帯域幅をすべて使い切るために大量の要求を送信します。一部のDDoS攻撃は、ターゲットが応答の際に多くのリソースを消費することを必要とする、より複雑な少数の要求を送信します。どちらの場合でも、結果は同じです。攻撃トラフィックがターゲット・システムを圧倒し、サービス拒否を引き起こし、正当なトラフィックがWebサイト、Webアプリケーション、 API 、またはネットワークにアクセスできなくなります。
ハッカーは、サイバー犯罪者がボットネットから送信されるパケットの偽のソースIPアドレスを偽造する手法であるIPスプーフィングを通じて、攻撃のソースを隠蔽することがよくあります。「反射」と呼ばれるある形式のIPスプーフィングでは、ハッカーは悪意のあるトラフィックが被害者自身の IP アドレスから送信されたかのように見せかけます。
DDoS攻撃のタイプは、7つのネットワーク「層」を定義する概念的フレームワークであるオープン・システム間相互接続(OSI)参照モデルの用語に基づいて命名または説明されることがよくあります(OSI 7層モデルと呼ばれることもあります)。
名前が示すように、アプリケーション層攻撃は、OSI モデルのアプリケーション層(層 7)、つまりユーザー要求に応答してWebページが生成される層をターゲットにします。アプリケーション層攻撃は、Web プリケーションに悪意ある要求をフラッディングすることでWebアプリケーションを中断させます。
最も一般的なアプリケーション層攻撃の 1 つは、攻撃者が複数のデバイスから同じWebサイトに大量のHTTP要求を継続的に送信するHTTPフラッド攻撃です。WebサイトはすべてのHTTP用要求についていけず、速度が大幅に低下するか、完全にクラッシュします。HTTPフラッド攻撃は、何百、何千ものWebブラウザが同じWe ページを繰り返し更新することに似ています。
アプリケーション層攻撃は比較的簡単に起動できますが、防止したり軽減したりするのは難しい場合があります。マイクロサービスやコンテナベースのアプリケーションの使用に移行する企業が増えるにつれ、アプリケーション層が攻撃されて重要なWebサービスやクラウド・サービスが無効になるリスクが増加します。
プロトコル攻撃は、OSIモデルのネットワーク層(層 3)とトランスポート層(層 4)をターゲットにします。これらは、ファイアウォール、ロード・バランサー、Webサーバーなどの重要なネットワーク・リソースを、悪意ある接要求で過負荷にすることを目的としています。
一般的なプロトコル攻撃は次のとおりです。
SYNフラッド攻撃。SYNフラッド攻撃は、2 つのデバイスが相互に接続を確立するプロセスである TCP ハンドシェークを利用します。
一般的な TCP ハンドシェークでは、一方のデバイスがSYNパケットを送信して接続を開始し、もう一方のデバイスが SYN/ACKパケットで応答して要求を確認し、元のデバイスがACKパケットを送り返して接続を終了します。
SYNフラッド攻撃では、攻撃者は、スプーフィングされたソースIPアドレスを持つ大量のSYNパケットをターゲット・サーバーに送信します。サーバーは、スプーフィングされた IP アドレスに応答を送信し、最後の ACK パケットを待ちます。ソースIPアドレスがスプーフィングされているため、これらのパケットは到着しません。サーバーは多数の未完了の接続で拘束されており、正当なTCPハンドシェイクが利用できなくなります。
スマーフ攻撃。スマーフ攻撃は、2 つのデバイス間の接続ステータスを評価するために使用される通信プロトコルであるインターネット・コントロール・メッセージ・プロトコル(ICMP)を利用します。一般的なICMP交換では、あるデバイスが別のデバイスに ICMPエコー要求を送信し、後者のデバイスがICMPエコー応答によって応答します。
スマーフ攻撃では、攻撃者は被害者のIPアドレスと一致するスプーフィングされたIPアドレスからICMPエコー要求を送信します。このICMPエコー要求はIPブロードキャスト・ネットワークに送信され、所定のネットワーク上のすべてのデバイスに要求が転送されます。ICMPエコー要求を受信するすべてのデバイス(場合によっては数百または数千のデバイス)は、ICMPエコー応答を被害者のIPアドレスに送り返すことで応答し、処理できる以上の情報をデバイスにフラッディングします。他の多くの種類のDDoS攻撃とは異なり、スマーフ攻撃は必ずしもボットネットを必要としません。
ボリューム型DDoS攻撃は、ターゲット・ネットワーク内またはターゲットサービスとインターネットの他の部分との間で利用可能な帯域幅をすべて消費するため、正当なユーザーがネットワーク・リソースに接続できなくなります。ボリューム攻撃は、他のタイプのDDoS攻撃と比較しても、ネットワークやリソースに大量のトラフィックをフラッディングすることがよくあります。ボリューム攻撃は、悪意あるトラフィックを正当なトラフィックからフィルター処理すリングするように設計されたスクラビング・センターなどのDDoS保護対策を圧倒することが知られています。
一般的なボリューム攻撃には次のタイプがあります。
UDPフラッド。これらの攻撃は、偽のユーザー・データグラム・プロトコル(UDP)パケットをターゲット・ホストのポートに送信し、ホストにこれらのパケットを受信するアプリケーションを探すようプロンプトします。UDPパケットは偽であるため、それを受信するアプリケーションはなく、ホストは送信者に ICMP「宛先に到達不能」メッセージを送り返す必要があります。ホストのリソースは偽のUDPパケットの絶え間ないストリームへの応答に拘束され、ホストは正当なパケットに応答できなくなります。
ICMP フラッディング。「pingフラッド攻撃」とも呼ばれるこれらの攻撃は、複数のスプーフィングされた IPアドレスからの ICMPエコー要求をターゲットに爆撃します。ターゲットのサーバーはこれらの要求すべてに応答する必要があり、オーバーロードになり、有効なICMPエコー要求を処理できなくなります。ICMPフラッドは、攻撃者がネットワーク・デバイスをだまして被害者のIPアドレスにICMP応答を送信させるのではなく、ボットネットから大量のICMP要求を送信するという点で、スマーフ攻撃とは区別されます。
DNS増幅攻撃。ここで攻撃者は、1つまたは複数のパブリックDNSサーバーに複数のドメインネームシステム(DNS)ルックアップ要求を送信する。 これらの検索要求は、スプーフィングされた被害者に属するIPアドレスを使用し、DNSサーバーに要求ごとに大量の情報を返すように要求します。その後、DNS サーバーは、被害者のIPアドレスに大量のデータをフラッディングして要求に応答します。
名前が示すように、マルチベクトル型攻撃は複数の攻撃ベクトルを悪用して、損害を最大化し、DDoSの緩和の取り組みを挫折させます。攻撃者は、1 つのベクトルが阻止されたとき、複数のベクトルを同時に使用したり、攻撃中にベクトルを切り替えたりする可能性があります。たとえば、ハッカーは最初はスマーフ攻撃を開始しますが、ネットワーク・デバイスからのトラフィックがシャットダウンされると、ボットネットからUDPフラッドを開始する可能性があります。
DDoS脅威は、他のサイバー攻撃と併用される場合もあります。たとえば、ランサムウェア攻撃者は、身代金が支払われない場合はDDoS攻撃をマウントすると脅して被害者に圧力をかける可能性があります。
DDoS攻撃は非常に長期間にわたって継続しており、時間の経過とともにサイバー犯罪者の間で人気が高まっています。
- 実行するのにスキルはほとんど、またはまったく必要ありません。サイバー犯罪者は、他のハッカーから既製のボットネットを利用することで、ほとんど準備や計画を立てずに、単独でDDoS攻撃を簡単に開始することができます。
- それらを発見するのは難しいです。 ボットネットは主に消費者向けおよび商用デバイスで構成されているため、組織が悪意あるトラフィックを実際のユーザーから分離するのは困難な場合があります。さらに、DDoS攻撃の兆候(サービスの低速化、サイトやアプリの一時的な利用不能) は、正当なトラフィックの突然の急増によって引き起こされることもあるため、DDoS攻撃を初期段階で検出することが困難になります。
- それを軽減するのは難しいです。 DDoS攻撃が特定されると、サイバー攻撃の分散型の性質により、組織は単一のトラフィック・ソースをシャットダウンするだけで攻撃をブロックすることができません。レート制限など、DDoS攻撃を阻止することを目的とした標準的なネットワーク・セキュリティ・コントロールは、正規ユーザーのオペレーションを遅らせる可能性もあります。
- 潜在的なボットネット・デバイスはこれまで以上に増えています。モノのインターネット(IoT)の台頭により、ハッカーはボットに変えるデバイスの豊富なソースを手に入れることができました。医療装置や製造システムなどのオペレーショナル・テクノロジー(OT)を含め、インターネット対応のアプライアンス、ツール、ガジェットは、多くの場合、ユニバーサル・デフォルトの状態で販売および運用されており、セキュリティ管理も脆弱かまたは存在しないため、マルウェア感染の危険性が特に高くなっています。IoTおよびOTデバイスは多くの場合受動的に使用されるか、使用頻度が低いため、これらのデバイスの所有者が侵害されたことに気づくのは難しい可能性があります。
DDoS攻撃は、ハッカーが人工知能(AI)や機械学習(ML)ツールを採用し、攻撃の方向付けを支援することで、より高度になってきています。これにより、適応型DDoS攻撃が増加しています。適応型DDoS攻撃は、AIとMLを使用してシステムの最も脆弱な側面を検出し、サイバーセキュリティ・チームのDDoS軽減の取り組みに対応して攻撃ベクトルと戦略を自動的に変更します。
DDoS攻撃の目的はシステム運用を中断させることであり、組織にとっては高額なコストがかかる可能性があります。IBMの2022年データ侵害のコストのレポートによると、サイバー攻撃によるサービスの中断、システムのダウンタイム、その他のビジネスの中断は、組織に平均142万米ドルの損害を与えているとのことです。2021年、DDoS攻撃により、あるVoIPプロバイダーは約1200万米ドルの損害を被りました(リンク先はibm.com外)。
1秒間に3.47テラビットの悪意あるトラフィックを発生させた過去最大のDDoS攻撃は、2021年11月にMicrosoft Azureの顧客を標的にしました(リンク先はibm.comの外部)。攻撃者は世界中から1万台のデバイスからなるボットネットを使用し、毎秒3億4,000万パケットにより被害者を爆撃しました。
DDoS攻撃は 、2021年のベルギーへの攻撃 など、政府に対しても使われています。(リンクはibm.comの外にあります)ハッカーは政府運営のインターネット・サービス・プロバイダー(ISP)をターゲットにし、200以上の政府機関、大学、研究機関のインターネット接続を切断しました。
ハッカーがDDoSを1次攻撃としてではなく、より深刻なサイバー犯罪行為から被害者の注意をそらすために使用するケースが増えています。たとえば、サイバーセキュリティー・チームがDDoS攻撃をかわすことに専念している間にデータを盗み出したり、ランサムウェアをネットワークにデプロイしたりするなどです。
DDoSの緩和と保護の取り組みは通常、ネットワーク・トラフィックをスクラビング・センターにルーティングしたり、ロード・バランサーを使用して攻撃トラフィックを再分散したりするなど、悪意あるトラフィックのフローをできるだけ早く迂回することに重点を置いています。その目的のため、DDoS攻撃に対する防御の強化を目指す会社は、悪意あるトラフィックを特定して傍受できる次のようなテクノロジーを採用する可能性があります。
- Webアプリケーション・ファイアウォール。現在、ほとんどの組織は、ネットワークとアプリケーションを悪意あるアクティビティから保護するために、境界ファイアウォールとWebアプリケーション・ファイアウォール(WAF)を使用しています。標準のファイアウォールはポート・レベルで保護しますが、WAFは要求がWebサーバーに転送される前に安全であることを確認します。WAFは、どのタイプの要求が正当でどれがそうでないかを把握しているため、悪意あるトラフィックをドロップし、アプリケーション・レイヤーの攻撃を防ぐことができます。
コンテンツ配信ネットワーク(CDN) 。CDN は、ユーザーがより迅速かつ確実にオンライン・サービスにアクセスできるようにする分散サーバーのネットワークです。CDNを導入すると、ユーザーの要求がサービスの起点サーバーにまで遡ることがなくなります。代わりに、コンテンツを配信する地理的に近いCDNサーバーにルーティングされます。CDNは、サービス全体のトラフィックのキャパシティーを増やすことで、DDoS攻撃からの保護に役立ちます。CDNサーバーがDDoS攻撃によってダウンした場合、ユーザー・トラフィックはネットワーク内の他の利用可能なサーバー・リソースにルーティングされる可能性があります。
- SIEM(セキュリティ情報およびイベント管理)。SIEMシステムには、ログ管理やネットワーク・インサイトなど、DDoS攻撃やその他のサイバー攻撃をライフサイクルの早い段階で検出するためのさまざまな機能があります。SIEMソリューションは、オンプレミスおよびクラウドベースのセキュリティ・ツールによって生成されたセキュリティ・データを集中管理します。SIEM は、接続されたデバイスやアプリケーションを監視して、セキュリティ・インシデントや、過度の ping や不正な接続要求などの異常な動作がないかを監視できます。その後、SIEMはこれらの異常をフラグし、サイバーセキュリティ・チームが適切な措置を講じるようにします。
- 検出および応答のテクノロジー。 エンドポイント検出と対応(EDR)、ネットワーク検出と対応(NDR)、拡張検出と対応 (XDR)ソリューションはすべて、高度な分析とAIを使用して、DDoS攻撃を示す可能性のある異常なトラフィック・パターンなどの侵害のインジケーターがないかネットワーク・インフラストラクチャーを監視し、進行中の攻撃にリアルタイムで対応するための自動化ケイパビリティー (疑わしいネットワーク接続の終了など) を行います。
手遅れになる前に、ネットワークに潜む隠れた脅威を見つけ出します。IBM Security QRadar Network Detection and Response(NDR)は、ネットワーク・アクティビティをリアルタイムで分析することで、セキュリティー・チームを支援します。深く幅広い可視性と高品質のデータおよび分析を組み合わせて、実用的なインサイトと対応を促進します。
IBM Security のインシデント対応リテーナー・サブスクリプションを利用して、組織が侵害への備えを強化するために必要なセキュリティー保護を入手してください。IRコンサルタントのエリートチームと契約を結べば、信頼できるパートナーが待機し、インシデント対応にかかる時間を短縮し、その影響を最小限に抑え、サイバーセキュリティインシデントが疑われる前に早期復旧を支援します。
専門知識と脅威インテリジェンスを組み合わせて脅威分析を強化し、サイバー脅威プラットフォームを自動化します。