DDoS攻撃とは?その仕組み、種類、防御対策まで
DDoS攻撃(分散型サービス拒否攻撃)は、ネットワークやWebサーバなどのリソースをターゲットとして、これに膨大な量のリクエストを送り付けることで機能を停止に追い込むことを目的としたサイバー攻撃の一種です。トラフィックがサーバの許容量を超えると、ユーザからのリクエストに応答できなくなり「サービス停止」が発生します。 DDoS攻撃では、複数のネットワーク機器が連携して大量のトラフィックを発生させてサーバを停止に追い込みます。多くの場合、銀行やメディアサイト、時には発電所など、人々の生活に関わる重要なサービスをターゲットとして、これらの攻撃は実行されます。 攻撃者の目的は、システムの停止やダウンタイム中に情報搾取(フィッシング詐欺)や身代金要求(ランサムウェア)など次なる攻撃を仕掛けることや、企業評判や信頼度の低下、または単に無秩序を引き起こす目的まで様々です。 DDoS攻撃の仕組み DDoS攻撃は、攻撃者によって感染させられた機器ネットワークが、攻撃者のコマンドの下で一斉に動作することで実行されます。これらの侵害された機器は、ボットネットと呼ばれる組織体を形成します。ボットネットは悪意のある大量のトラフィックを、ターゲットとするリソースに送信する役割を果たします。 ボットネットを形成する機器には、モバイル、PC、サーバ、そしてIoTデバイスなどが含まれ、これらは離れた場所に分散しており、これらの機器は数千から数百万にもなる場合があります。機器自体は、セキュリティの脆弱性を攻撃者によって侵害され機器の所有者の知らないうちにマルウェア感染させられた一般市民のものが利用されています。 過去最大かつ注目度の高かったDDoS攻撃の1つは、2016年のDyn攻撃で、アメリカ国内の多くのインターネットサービスと、Twitter、Guardian、Netflixなどのサイトを機能不全に陥れました。この攻撃では、カメラ、テレビ、プリンター、さらにはベビーモニターなどのIoTデバイスで形成されたボットネットを使用したMiraiと呼ばれるマルウェアが使用されました。 DDoS攻撃の実行プロセスは、次の通りです。 まず攻撃者は、セキュリティ脆弱性のある機器をマルウェアに感染させて制御可能にします。そしてボットネットが形成されると、攻撃を実行するために特定の指示が各ボットにリモートで送信されます。ターゲットがネットワークサーバやWebサーバの場合、各ボットはサーバのIPアドレスにリクエストを送信します。これら各ボットは、一般家庭に設置されているインターネット上でも正当と認識された機器でありトラフィックは正常に見えるため、不正なトラフィックかどうかを区別することは非常に困難です。 DDoS攻撃が危険な理由 DDoS攻撃が危険である主な理由の1つは、その単純さのためです。DDoS攻撃を実行するために高度な技術は一切必要ありません。 攻撃者は、ターゲットとするサーバにコードをインストールする必要はありません。必要なのは、機器をマルウェアに感染させて、それらを制御してターゲットのサーバに向けて数百万のpingを同時に送信することだけです。実際、2016年のDyn攻撃で使用されたMiraiボットネットはオープンソースでした。つまり、誰もがそれを利用してDDoS攻撃を仕掛けることができるのです。 DDoS攻撃は、分散した場所からトラフィックが送付されるために防御が難しく、ボットネット内の侵害された機器(ゾンビマシン)は、異なるIPアドレスを持っています。疑わしいIPアドレスからのリクエストをブロックするフィルターを追加することは1つの方法ですが、そのようなIPアドレスが数百万とある場合、それは持続不可能な防御対策と言えます。 さらに悪いことに、DDoS攻撃の潜在的な攻撃ベクトルは日々増加しています。多くの機器が日々消費者の手に渡り、IoT市場が拡大するにつれ、より多種多少な機器の潜在的なDDoS攻撃からの防御はより困難になっています。そして、これらの機器は、標準的なコンピュータやサーバと比較して高度なセキュリティソフトウェアを備えていないことから、将来的にハッキングや侵害を受けてボットネットの一部を形成する可能性もあります。 DDoS攻撃の種類 DDoS攻撃自体は単純ですが、その種類はさまざまです。次にDDoS攻撃の一般的な種類を示します。 ネットワーク層(L3/4)、プロトコル攻撃 これは、ネットワークインフラを標的とするDDoS攻撃です。 例えば、低速のping、不正な形式のping、部分的なパケットを送信することにより、接続リクエスト検証を担うネットワーク領域を攻撃します。このタイプの攻撃は、ウェブ・アプリケーション・ファイアウォール(WAF)を通過してしまうことがあるため、単にファイアウォールだけで防御することはできません。さらにファイアウォールは、ネットワークの奥深くに配置されていることが多く、これはトラフィックがファイアウォールに到達する前にルーターが危険にさらされる可能性があることを意味します。 ネットワーク層攻撃の一般的な種類には、Smurf攻撃やSYNフラッド攻撃が含まれます。これらは、TCP/IP接続リクエストを終了せずに開始し、サーバは到着しない確認応答(ACK)パケットを待ち続けます。 ネットワーク層またはプロトコル攻撃の深刻度は、実際のビットではなく、送信される情報のパケット数に依存するため、1秒あたりのパケット数で測定されます。 アプリケーション層(L7)攻撃 これは、アプリケーションを機能不全にすることを目的とするDDoS攻撃です。これらは、オープンシステム相互接続モデル(OSI)の最上位層またはアプリケーション層をHTTP、HTTPS、DNS、またはSMTPを介して攻撃します。 攻撃は、Webページがサーバ上で生成され、HTTPリクエストに応答して配信される層を標的とします。アプリケーション層攻撃の例としては、HTTPフラッド攻撃、パスワードスプレー攻撃、BGPハイジャック攻撃などがあります。 アプリケーション層攻撃の深刻度は、ハッカーがボットネットのトラフィックを使用してアプリサービスへのアクセスをリクエストする頻度や継続的な頻度に依存するため、1秒あたりのリクエスト数で測定されます。
