分散型サービス妨害（DDoS）攻撃とは

分散型サービス妨害攻撃は、アプリケーションやサービスを遅くしたり停止させたりするすべてのサイバー攻撃を含むカテゴリであるサービス拒否攻撃（DoS攻撃）の一種です。DDoS攻撃は、「分散型サービス妨害」の「分散型」が示すように、複数のソースから攻撃トラフィックを一度に送信するという点で独特で、認識や防御がより困難になる可能性があります。

IBM® X-Force Threat Intelligence Indexによると、DDoS攻撃はX-Forceが対応する攻撃の2%を占めています。しかし、それらが引き起こす混乱は、大きなコストの原因となる可能性があります。システムのダウンタイムは、サービスの中断、収益の損失、評判の低下につながる可能性があります。IBMのデータ侵害のコストに関する調査によると、サイバー攻撃によるビジネス損失のコストは平均147万ドルです。

他のサイバー攻撃とは異なり、DDoS攻撃はネットワーク・リソースの脆弱性を悪用してコンピューター・システムに侵入することはありません。代わりに、ハイパーテキスト転送プロトコル（HTTP）や伝送コントロール・プロトコル（TCP）などの標準ネットワーク接続プロトコルを使用して、処理できる量を超えるトラフィックをエンドポイント、アプリ、その他のアセットにフラッディングします。

Webサーバー、ルーター、その他のネットワーク・インフラストラクチャーは、有限数のリクエストしか処理できず、一度に処理できるのは限られた数の接続だけです。DDoS攻撃は、リソースの利用可能な帯域幅を使い果たすことにより、これらのリソースが正当な接続要求やパケットに応答することを妨げます。

大まかに言うと、DDoS攻撃には、ボットネットの作成と攻撃の実行という2つの主要な段階があります。

DDoS攻撃には通常、ボットネットが必要です。これは、ハッカーがデバイスをリモートでコントロールできるようにするマルウェアに感染した、インターネットに接続されているデバイスのネットワークです。

ボットネットには、ノートPCやデスクトップ・コンピュータ、携帯電話、IoT（モノのインターネット）デバイスやその他の消費者向けや商用のエンドポイントが含まれる場合があります。通常、これらの侵害されたデバイスの所有者は、デバイスが感染していることや、DDoS攻撃に使用されていることに気づいていません。

一部のサイバー犯罪者は独自のボットネットを構築し、マルウェアを積極的に拡散し、デバイスを乗っ取ります。それ以外のサイバー犯罪者は、「サービスとしてのサービス拒否」と称されるモデルにしたがって事前に確立されたダークウェブ上にあるボットネットを、他のサイバー犯罪者から購入またはレンタルします。

すべてのDDoS攻撃がボットネットを使用するわけではありません。感染していないデバイスの通常のオペレーションをエクスプロイトして悪用するものもあります。（詳細については、「Smurf攻撃」を参照してください。）

ハッカーは、ボットネット内のデバイスに、接続要求やその他のパケットをターゲット・サーバー、デバイス、またはサービスのIPアドレスに送信するよう命令します。

ほとんどのDDoS攻撃はブルートフォースに依存しており、ターゲットの帯域幅をすべて消費する大量のリクエストを送信します。一部のDDoS攻撃は、ターゲットが応答にリソースを消費することを必要とする、より少数のより複雑な要求を送信します。どちらの場合でも、結果は同じです。攻撃トラフィックがターゲット・システムを圧倒し、サービス拒否を引き起こし、正当なトラフィックがアクセスできなくなります。

ハッカーは、サイバー犯罪者がボットネットから送信されるパケットのソースIPアドレスを偽造する手法であるIPスプーフィングを通じて、攻撃のソースを隠蔽することがよくあります。「リフレクション」と呼ばれるIPスプーフィングの形式の一つでは、ハッカーは悪意のあるトラフィックが被害者自身のIPアドレスから送信されたかのように見せかけます。

DDoS攻撃は必ずしも1次攻撃ではありません。ハッカーは、別のサイバー犯罪から被害者の注意をそらすために、これらを使用することもあります。たとえば、サイバーセキュリティー・チームがDDoS攻撃の阻止に取り組んでいる間に、攻撃者がデータを盗み出す、またはネットワークにランサムウェアをデプロイする可能性があります。

ハッカーは、恐喝、同意を伴わない組織や機関の停止、競合する企業への圧力、さらにはサイバー戦争など、さまざまな理由でDDoS攻撃を使用します。

最も一般的なDDoS攻撃のターゲットには次のようなものがあります。

• オンライン小売業者
• インターネット・サービス・プロバイダー（ISP）
• クラウド・サービス・プロバイダー
• 金融機関
• サービスとしてのソフトウェア（SaaS）プロバイダー
• ゲーミング会社
• 政府機関

DDoS攻撃は、使用する戦術と標的とするネットワーク・アーキテクチャーに基づいて分類されます。一般的なDDoS攻撃には、次のような種類があります。

• アプリケーション層攻撃
• プロトコル攻撃
• ボリューム攻撃
• マルチベクトル攻撃

その名前が示すように、アプリケーション層攻撃はネットワークのアプリケーション層をターゲットにします。オープン・システム・インターコネクションモデル（OSIモデル）のフレームワークでは、ここがユーザーとWebページやアプリが対話する層です。アプリケーション層攻撃は、Webアプリケーションに悪意ある要求をフラッディングすることでWebアプリケーションを中断させます。

最も一般的なアプリケーション層攻撃の1つは、攻撃者が複数のデバイスから同じWebサイトに大量のHTTP要求を継続的に送信するHTTPフラッド攻撃です。Webサイトはすべてのリクエストについていけず、速度が低下したりクラッシュしたりします。HTTPフラッド攻撃は、何百、何千ものWebブラウザが同じWebページを繰り返し更新することに似ています。

プロトコル攻撃は、OSIモデルのネットワーク層（層3）とトランスポート層（層4）をターゲットにします。これらは、ファイアウォール、ロード・バランサー、Webサーバーなどの重要なネットワーク・リソースを、悪意ある接続要求で過負荷にすることを目的としています。

最も一般的なタイプのプロトコル攻撃の中に、SYNフラッド攻撃とSmurf攻撃という2つがあります。 

SYNフラッド攻撃は、2つのデバイスが相互に接続を確立するプロセスであるTCPハンドシェイクを利用します。 一般的なTCPハンドシェイクには、次の3つのステップがあります。

1. 1つのデバイスが同期（SYN）パケットを送信して接続を開始する。
2. 他のデバイスは、同期／確認応答（SYN/ACK）パケットで応答して要求を確認します。
3. 元のデバイスはACKパケットを送り返して接続を完了する。

SYNフラッド攻撃では、攻撃者は、スプーフィングされたソースIPアドレスを持つ大量のSYNパケットをターゲット・サーバーに送信します。サーバーは、スプーフィングされたIPアドレスに応答し、最後のACKパケットを待ちます。ソースIPアドレスがスプーフィングされているため、これらのパケットは到着しません。サーバーは多数の未完了の接続で拘束されており、正当なTCPハンドシェイクが利用できなくなります。

スマーフ攻撃は、2 つのデバイス間の接続ステータスを評価するために使用される通信プロトコルであるインターネット・コントロール・メッセージ・プロトコル（ICMP）を利用します。

一般的なICMP交換では、あるデバイスが別のデバイスに ICMPエコー要求を送信し、後者のデバイスがICMPエコー応答によって応答します。

Smurf攻撃では、攻撃者は被害者のIPアドレスと一致するスプーフィングされたIPアドレスからICMPエコー要求を送信します。このICMPエコー要求はIPブロードキャスト・ネットワークに送信され、ネットワーク上のすべてのデバイスに要求が転送されます。

ICMPエコー要求を受信するすべてのデバイス（場合によっては数百または数千のデバイス）は、被害者のIPアドレスにICMPエコー応答を送信することで応答します。その膨大な応答量は、被害者のデバイスが処理できる量を超えます。他の多くの種類のDDoS攻撃とは異なり、Smurf攻撃は必ずしもボットネットを必要としません。

ボリューム型DDoS攻撃は、ターゲット・ネットワーク内またはターゲットサービスとインターネットの他の部分との間で利用可能な帯域幅をすべて消費するため、正当なユーザーがネットワーク・リソースに接続できなくなります。

ボリューム攻撃は、他のタイプのDDoS攻撃と比較しても、多くの場合、ネットワークやリソースに大量のトラフィックをフラッディングします。ボリューム攻撃は、悪意あるトラフィックを正当なトラフィックからフィルター処理するように設計されたスクラビング・センターなどのDDoS保護対策を圧倒することが知られています。

一般的なボリューム攻撃には、UDPフラッド、ICMPフラッド、DNS増幅攻撃などがあります。

UDPフラッドは、偽のユーザー・データグラム・プロトコル（UDP）パケットをターゲット・ホストのポートに送信し、ホストにこれらのパケットを受信するアプリケーションを探すようプロンプトします。UDPパケットは偽であるため、それを受信するアプリケーションはなく、ホストは送信者に ICMP「destination unreachable（宛先に到達不能）」メッセージを送り返す必要があります。

ホストのリソースは偽のUDPパケットの絶え間ないストリームへの応答に拘束され、ホストは正当なパケットに応答できなくなります。

ICMPフラッドは「pingフラッド攻撃」とも呼ばれ、複数のスプーフィングされたIPアドレスからのICMPエコー要求でターゲットを攻撃します。ターゲットのサーバーはこれらの要求すべてに応答する必要があり、過負荷に陥り、有効なICMPエコー要求を処理できなくなります。

ICMPフラッドは、攻撃者がボットネットから大量のICMP要求を送信するという点で、Smurf攻撃とは区別されます。Smurf攻撃では、ハッカーはネットワーク・デバイスをだまして被害者のIPアドレスにICMP応答を送信させます。

DNS増幅攻撃では、攻撃者は複数のドメイン・ネーム・システム（DNS）要求を1つまたは複数のパブリックDNSサーバーに送信します。これらのルックアップ要求は、スプーフィングされた被害者に属するIPアドレスを使用し、DNSサーバーに要求ごとに大量の情報を返すように要求します。DNSサーバーは、被害者のIPアドレスに大量のデータをフラッディングして要求に応答します。

名前が示すように、マルチベクトル攻撃は単一のソースではなく、複数の攻撃ベクトルを悪用して、損害を最大化し、DDoSの緩和の取り組みを妨げます。

攻撃者は、1つのベクトルが阻止されたとき、複数のベクトルを同時に使用したり、攻撃中にベクトルを切り替えたりする可能性があります。たとえば、ハッカーは最初はSmurf攻撃を開始しますが、ネットワーク・デバイスからのトラフィックがシャットダウンされると、ボットネットからUDPフラッドを開始する場合があります。

DDoS脅威は他のサイバー脅威と併用される可能性もあります。たとえば、ランサムウェア攻撃者は、身代金が支払われない場合はDDoS攻撃をマウントすると脅して被害者に圧力をかける可能性があります。

DDoS攻撃は、さまざまな理由から依然として一般的なサイバー犯罪の手口です。

サイバー犯罪者はもはやDDoS攻撃に着手するためにコードを作成する方法を知る必要さえありません。ボットネット、マルウェア、DDoS攻撃を実行するためのその他のツールを脅威アクターが売買できるサイバー犯罪マーケットプレイスは、ダークウェブ上で繁盛しています。

サイバー犯罪者は、他のハッカーから既製のボットネットを利用することで、ほとんど準備や計画を立てずに、単独でDDoS攻撃を簡単に開始することができます。

ボットネットは主に消費者向けおよび商用デバイスで構成されているため、組織が悪意あるトラフィックを実際のユーザーから分離するのは困難な場合があります。

さらに、DDoS攻撃の徴候（サービスの低速化、サイトやアプリの一時的な利用不能）は、正当なトラフィックの突然の急増によって引き起こされることもあるため、DDoS攻撃を早期に検出することが困難になります。

DDoS攻撃が特定されると、サイバー攻撃の分散型の性質により、組織は単一のトラフィック・ソースをシャットダウンするだけでは攻撃をブロックできません。レート制限など、DDoS攻撃を阻止することを目的とした標準的なネットワーク・セキュリティー・コントロールは、正規ユーザーのオペレーションを遅らせる可能性もあります。

モノのインターネットの台頭により、ハッカーはボットに変えるデバイスの豊富なソースを手に入れることができました。

医療機器や製造システムなどのオペレーショナル・テクノロジー（OT）を含むインターネット対応アプライアンスは、普遍的なデフォルト設定と、弱いまたはセキュリティー制御が存在しない状態で販売および運用されており、マルウェア感染に対して脆弱です。

IoTは多くの場合受動的に使用されるか、使用頻度が低いため、これらのデバイスの所有者が侵害されたことに気づくのは難しい可能性があります。

DDoS攻撃は、ハッカーが人工知能（AI）や機械学習（ML）ツールを採用し、攻撃の方向性について支援させることで、より高度になってきています。適応型DDoS攻撃は、AIとMLを使用してシステムの最も脆弱な側面を見つけ、サイバーセキュリティチームのDDoS軽減の取り組みに応じて攻撃ベクトルとストラテジーを自動的に変更します。

DDoS攻撃の特定が早ければ早いほど、防御と修復をより早く開始できます。攻撃が進行中であることを示す徴候には、次のようなものがあります。

• サイトやサービスが突然遅くなったり、完全に利用できなくなったりする。
  
  
• 異常に大量のトラフィックが単一のIPアドレスまたはIPアドレス範囲から到着する。
  
  
• 特定のタイプのデバイスや地理位置情報からのトラフィックなど、多くの類似したプロファイルからのトラフィックが突然増加する。
  
  
•  単一のアクション、エンドポイント、またはページに対するリクエストの突然の急増。
  
  
• 通常とは異なる時間帯、曜日で、または5分ごとなどの規則的なパターンでトラフィックが急増する。
  
  
• 原因不明のエラーやタイムアウト。
  
  
• 同じネットワークを共有するサービスの速度が同時に低下し始める。

これらの動作の多くは、他の要因によって引き起こされている可能性があります。ですが、最初にDDoS攻撃を確認することで時間を節約し、DDoS攻撃が進行中の場合の被害を軽減できます。

DDoS保護ソリューションは、トラフィックの異常を検知し、それが無害であるか悪意があるかを判断するのに役立ちます。結果として、大量のリクエストはマーケティング・キャンペーンが成功した結果である可能性があり、その要求をブロックすることは事業災害である可能性があります。

DDoS軽減の取り組みは通常、悪意のあるトラフィックのフローをできるだけ早く迂回させようとします。

一般的なDDoS防止と軽減の取り組みには、次のようなものがあります。

標準的なファイアウォールは、ポート・レベルでネットワークを保護しますが、WAFは、Webサーバーに要求を転送する前に要求が安全であることを確認します。WAFは、どのタイプの要求が正当でどれがそうでないかを判断できるため、悪意あるトラフィックをドロップし、アプリケーション・レイヤーの攻撃を防ぐことができます。

CDNは、ユーザーがより迅速かつ確実にオンライン・サービスにアクセスできるようにする分散サーバーのネットワークです。CDNを導入すると、ユーザーの要求がサービスの起点サーバーにまで遡ることがなくなります。代わりに、要求はコンテンツを配信する地理的に近いCDNサーバーにルーティングされます。

CDNは、サービス全体のトラフィックのキャパシティーを増やすことで、DDoS攻撃からの保護に役立ちます。CDNサーバーがDDoS攻撃によってダウンした場合、ユーザー・トラフィックをネットワーク内の他の利用可能なサーバー・リソースにルーティングできます。

EDR（エンドポイントの検知と対応）、ネットワークの検知と対応（NDR）、およびその他のツールは、ネットワーク・インフラストラクチャーを監視して侵害の徴候を検出できます。これらのシステムは、異常なトラフィック・パターンなどのDDoSの徴候を検出すると、疑わしいネットワーク接続を終了するなど、リアルタイムのインシデント対応をトリガーできます。

「ブラックホール」とは、受信トラフィックが処理または保管されることなく削除されるネットワークの一部です。ブラックホール・ルーティングとは、DDoS攻撃が疑われる場合に、受信トラフィックをブラックホールに迂回することを意味します。

欠点は、ブラックホール・ルーティングにより良性のトラフィックが、悪意のあるトラフィックと一緒に破棄されてしまう可能性があることです。有効で、かつおそらく貴重なトラフィックも破棄される可能性があるため、ブラックホール・ルーティングは攻撃に直面した場合の単純かつ調整の効かない手法となります。

レート制限とは、設定された期間中にサーバーが受け入れることができる受信リクエストの数に制限を付けることを意味します。正規ユーザーに対してサービスが遅くなる可能性もありますが、サーバーは過負荷に陥りません。

ロード・バランシングとは、アプリケーションの可用性を最適化するために、複数のサーバー間でネットワーク・トラフィックを分散するプロセスです。ロード・バランシングは、過負荷のサーバーからトラフィックを自動的にルーティングすることで、DDoS攻撃を防御するのに役立ちます。

組織は、ハードウェア・ベースまたはソフトウェア・ベースのロード・バランサーをインストールして、トラフィックを処理できます。また、エニーキャスト・ネットワーキングも使用できます。これにより、単一のIPアドレスを複数の場所にある複数のサーバーまたはノードに割り当てて、それらのサーバー間でトラフィックを共有することができます。通常、リクエストは最適なサーバーに送信されます。トラフィックが増加すると負荷が分散し、サーバーが過負荷になりにくくなります。

スクラビングセンターは、トラフィック認証や異常検知などの技術を使用して、正規のトラフィックから悪意のあるトラフィックをフィルタリングできる特殊なネットワークまたはサービスです。スクラビングセンターは、悪意あるトラフィックをブロックする一方で、正当なトラフィックが目的地に到達できるようにします。