DDoS攻撃（分散型サービス拒否攻撃）は、ネットワークやWebサーバなどのリソースをターゲットとして、これに膨大な量のリクエストを送り付けることで機能を停止に追い込むことを目的としたサイバー攻撃の一種です。トラフィックがサーバの許容量を超えると、ユーザからのリクエストに応答できなくなり「サービス停止」が発生します。

DDoS攻撃では、複数のネットワーク機器が連携して大量のトラフィックを発生させてサーバを停止に追い込みます。多くの場合、銀行やメディアサイト、時には発電所など、人々の生活に関わる重要なサービスをターゲットとして、これらの攻撃は実行されます。

攻撃者の目的は、システムの停止やダウンタイム中に情報搾取（フィッシング詐欺）や身代金要求（ランサムウェア）など次なる攻撃を仕掛けることや、企業評判や信頼度の低下、または単に無秩序を引き起こす目的まで様々です。 

DDoS攻撃の仕組み

DDoS攻撃は、攻撃者によって感染させられた機器ネットワークが、攻撃者のコマンドの下で一斉に動作することで実行されます。これらの侵害された機器は、ボットネットと呼ばれる組織体を形成します。ボットネットは悪意のある大量のトラフィックを、ターゲットとするリソースに送信する役割を果たします。

ボットネットを形成する機器には、モバイル、PC、サーバ、そしてIoTデバイスなどが含まれ、これらは離れた場所に分散しており、これらの機器は数千から数百万にもなる場合があります。機器自体は、セキュリティの脆弱性を攻撃者によって侵害され機器の所有者の知らないうちにマルウェア感染させられた一般市民のものが利用されています。

過去最大かつ注目度の高かったDDoS攻撃の1つは、2016年のDyn攻撃で、アメリカ国内の多くのインターネットサービスと、Twitter、Guardian、Netflixなどのサイトを機能不全に陥れました。この攻撃では、カメラ、テレビ、プリンター、さらにはベビーモニターなどのIoTデバイスで形成されたボットネットを使用したMiraiと呼ばれるマルウェアが使用されました。

DDoS攻撃の実行プロセスは、次の通りです。

まず攻撃者は、セキュリティ脆弱性のある機器をマルウェアに感染させて制御可能にします。そしてボットネットが形成されると、攻撃を実行するために特定の指示が各ボットにリモートで送信されます。ターゲットがネットワークサーバやWebサーバの場合、各ボットはサーバのIPアドレスにリクエストを送信します。これら各ボットは、一般家庭に設置されているインターネット上でも正当と認識された機器でありトラフィックは正常に見えるため、不正なトラフィックかどうかを区別することは非常に困難です。

DDoS攻撃が危険な理由

DDoS攻撃が危険である主な理由の1つは、その単純さのためです。DDoS攻撃を実行するために高度な技術は一切必要ありません。

攻撃者は、ターゲットとするサーバにコードをインストールする必要はありません。必要なのは、機器をマルウェアに感染させて、それらを制御してターゲットのサーバに向けて数百万のpingを同時に送信することだけです。実際、2016年のDyn攻撃で使用されたMiraiボットネットはオープンソースでした。つまり、誰もがそれを利用してDDoS攻撃を仕掛けることができるのです。

DDoS攻撃は、分散した場所からトラフィックが送付されるために防御が難しく、ボットネット内の侵害された機器（ゾンビマシン）は、異なるIPアドレスを持っています。疑わしいIPアドレスからのリクエストをブロックするフィルターを追加することは1つの方法ですが、そのようなIPアドレスが数百万とある場合、それは持続不可能な防御対策と言えます。

さらに悪いことに、DDoS攻撃の潜在的な攻撃ベクトルは日々増加しています。多くの機器が日々消費者の手に渡り、IoT市場が拡大するにつれ、より多種多少な機器の潜在的なDDoS攻撃からの防御はより困難になっています。そして、これらの機器は、標準的なコンピュータやサーバと比較して高度なセキュリティソフトウェアを備えていないことから、将来的にハッキングや侵害を受けてボットネットの一部を形成する可能性もあります。

DDoS攻撃の種類

DDoS攻撃自体は単純ですが、その種類はさまざまです。次にDDoS攻撃の一般的な種類を示します。

ネットワーク層（L3/4）、プロトコル攻撃

これは、ネットワークインフラを標的とするDDoS攻撃です。

例えば、低速のping、不正な形式のping、部分的なパケットを送信することにより、接続リクエスト検証を担うネットワーク領域を攻撃します。このタイプの攻撃は、ウェブ・アプリケーション・ファイアウォール（WAF）を通過してしまうことがあるため、単にファイアウォールだけで防御することはできません。さらにファイアウォールは、ネットワークの奥深くに配置されていることが多く、これはトラフィックがファイアウォールに到達する前にルーターが危険にさらされる可能性があることを意味します。

ネットワーク層攻撃の一般的な種類には、Smurf攻撃やSYNフラッド攻撃が含まれます。これらは、TCP/IP接続リクエストを終了せずに開始し、サーバは到着しない確認応答（ACK）パケットを待ち続けます。

ネットワーク層またはプロトコル攻撃の深刻度は、実際のビットではなく、送信される情報のパケット数に依存するため、1秒あたりのパケット数で測定されます。

アプリケーション層（L7）攻撃

これは、アプリケーションを機能不全にすることを目的とするDDoS攻撃です。これらは、オープンシステム相互接続モデル（OSI）の最上位層またはアプリケーション層をHTTP、HTTPS、DNS、またはSMTPを介して攻撃します。

攻撃は、Webページがサーバ上で生成され、HTTPリクエストに応答して配信される層を標的とします。アプリケーション層攻撃の例としては、HTTPフラッド攻撃、パスワードスプレー攻撃、BGPハイジャック攻撃などがあります。

アプリケーション層攻撃の深刻度は、ハッカーがボットネットのトラフィックを使用してアプリサービスへのアクセスをリクエストする頻度や継続的な頻度に依存するため、1秒あたりのリクエスト数で測定されます。

増幅攻撃

これは、ネットワーク帯域幅を超える膨大な量のトラフィックを送信して機能不全にすることを目的とするDDoS攻撃です。

UDPフラッド（ユーザデータグラムプロトコル）攻撃とICMPフラッド（インターネット制御メッセージプロトコル）攻撃は、増幅攻撃を代表する2つの攻撃です。UDPはTCPのような接続手順を省略した（コネクションレス）通信であるため、一方的にパケットを送信できると言う特徴があります。UDPフラッド攻撃は、この仕組みを悪用して攻撃を仕掛けます。

例えば、DNSリフレクター（アンプ）攻撃では、攻撃者は送信元のIPアドレスを偽装しなりすましてオープンDNSに大量のリクエストを送信し、DNSは応答パケットをターゲットサーバに返すことで飽和状態にしてサーバ停止に追い込みます。ICMPフラッド攻撃では、攻撃者はターゲットに誤ったエラーリクエストを短時間の間に大量に送信して、ターゲットの回線容量やシステムを飽和状態にし、通常のリクエストに応答できなくします。

増幅攻撃には、結果を意図して構成された攻撃もあります。それは、洪水（溢れ返って飽和状態にする）を目的としたものや、クラッシュ（破壊する）を目的としたものなどです。

フラッド攻撃

これは、サーバを停止する目的でサーバを標的とするために圧倒的な大量のデータを使用するDDoS攻撃です。

例えば、ICMPフラッド攻撃は、データパケットを送信して、コンピュータのネットワークを圧倒し、コンピュータをまとめてダウンさせます。ネットワーク層攻撃の下で上記のSYNフラッド攻撃も、同様の基準で動作します。

クラッシュ攻撃

クラッシュ攻撃では、攻撃者はシステムのインフラの弱点を悪用することで、侵害されたシステムにバグを送信します。これにより、ルーターやファイアウォールにパッチがない場合に悪用される弱点が明らかになり、システムクラッシュを引き起こします。

DDoS攻撃を特定する方法

前述のように、DDoS攻撃は、リモート制御されたボットネットの一部である場合でも、正当な機器からのトラフィックを伴うため、検知が難しいとされています。ただし、DDoS攻撃を特定して防御し、ビジネスを保護しようとする際に注意すべき症状がいくつかあります。

DDoS攻撃の兆候

DDoS攻撃の最も分かりやすい兆候は、サイトまたはサービスが突然遅くなったり、全く利用できなくなったりした場合です。ただし、トラフィック量が多いなどの場合は、正当なリクエストでもパフォーマンスの問題などが発生することもあります。

単一のIPアドレスなど、単一の送信元またはIPアドレスの範囲内から送信されている攻撃トラフィックが不当に多いかどうかを確認してください。また、同じタイプの機器、場所、ブラウザからのフラッド攻撃が発生したり、攻撃トラフィックの急増がすべて特定のWebページのような単一のエンドポイントに向けられたりすることもあります。異常な時間や数分ごとのような疑わしい頻度での攻撃パターンなど、さらに調査を要する兆候もあります。

特定の技術的な問題発生時に注意

特定の可用性の問題は、最初は悪意のないように見えますが、DDoS攻撃の兆候の場合があります。たとえば、ネットワークパフォーマンスの異常な低下など、メンテナンス中のネットワークセキュリティに関する特定の技術的な問題、ファイルを開いたり、Webサイトにアクセスしたり、特定のWebサイトがダウンしたりする際に問題が発生した場合は、DDoS攻撃の結果であるかどうかをさらに調査すべきです。

ネットワークセキュリティおよびトラフィック監視ツールの利用

DoS攻撃を検知および特定する最良の方法は、ネットワークトラフィックの監視と分析をすることです。ネットワークトラフィックは、ファイアウォールまたは侵入検知システムを介して監視できます。管理者は、異常なトラフィック負荷の検出時にアラートを作成し、DDoSトラフィックの送信元を特定したり、特定の条件を満たすネットワークパケットをドロップしたりするルールを設定することもできます。

貴社のWebビジネス継続のためのDDoS防御対策

DDoS攻撃からの防御は、今日の企業のサイバーセキュリティ対策にとって不可欠な要素です。DDoS攻撃には、攻撃者が多数のボットネットまたは侵害された機器の強度に依存して、ターゲットとするリソースを圧倒することが含まれます。実行方法は単純ですが、DDoS攻撃は、サーバのダウンタイム、顧客へのサービスの中断、その他のより広範な攻撃を開始する経路として、ビジネスに大きな損害を与えます。

DDoS攻撃の防御対策を効果的に実装するには、症状を特定して猛攻撃に対応するだけでは不十分です。DDoS脅威が検出された時には、一部または大部分がすでに被害を受けている可能性が高く、被害を最小限に抑えるための時間に追われてしまいます。これが、企業がDDoS防御サービスを積極的に導入することが重要である理由です。

CDNetworksは、必要に応じて悪意のある攻撃トラフィックをルーティングするためのネットワーク監視ツールやコンテンツ配信ネットワーク（CDN）のテクノロジーを使用して、ネットワークとシステムを保護するのに役立ちます。

 

CDNetworksのクラウド・セキュリティ