セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

攻撃手法解説:DoS/DDoS攻撃


DoS攻撃(Denial of Service attack/サービス拒否攻撃)とは、標的組織のサーバー等に大量のトラフィックを送り付けることで過剰な負荷をかけ、サービスを停止させる攻撃手法を指します。
DoS攻撃の攻撃元が複数であった場合、標的とされるコンピュータにかけられる負荷はより大きなものになります。このように、複数のIPから分散的にDoS攻撃を行う場合、頭に「Distributed」が付いて、DDoS攻撃(Distributed Denial of Service attack/分散型サービス拒否攻撃)と呼ばれます。

DDoS攻撃は、IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威 2019」の組織編で6位にランクインしており、組織にとっては大きな脅威となっています。

「情報セキュリティ10大脅威 2019」がIPAより公開されました

DDos攻撃の手口

DDoS攻撃には複数の手法があり、主に以下の3つに分類されます。

ボットネットを利用した攻撃

DDoS攻撃の場合、攻撃者が自身のリソースを使用しているとは限りません。他人のマシンにボット用マルウェアを感染させ、遠隔から標的に対して一斉に攻撃を仕掛ける方法が一般的です。複数のマシンを乗っ取り、攻撃用のネットワーク(ボットネット)を構築すれば、自前で用意できない規模の攻撃が可能となります。

ボット感染の被害者が、知らないうちにDDoSに加担していたという例も少なくありません。
ある調査によると、DDoS攻撃の発信源で最も多かったのは、日本だったのです。[1]日本の多くの端末が乗っ取られてボット化している、すなわち、世界的に見れば日本がDDoS攻撃の加害者になってしまっているのです。
企業の場合は、社内のウイルス感染PCによるDDoS攻撃への加担は社会的信用の失墜を招きます。DDoS攻撃の被害を受けない対策と同時に、攻撃者にならないための対策も必要と言えます。

事例:
2016年にマルウェア「Mirai」が行ったDDoS攻撃では、米国のセキュリティ情報サイトやDNSサービスを提供する企業がサービス停止に追い込まれ、連鎖的にTwitterやSpotifyといったサービスも利用できなくなりました。

大規模ボットネットの種は身近に

リフレクター攻撃

送信元のIPアドレスを標的組織のサーバーに偽装したパケットを、多数のDNSサーバーやSNMPサーバー等に送信します。リクエストを受け取ったサーバーは、標的のIPアドレス宛にレスポンスを返します。大量のレスポンスを受け取ったサーバーは、サービス拒否に陥ってしまいます。

事例:
2018年3月には、Memcachedというソフトウェアが動作するサーバーを踏み台にした大規模なDDoS攻撃が発生しました。これをきっかけに攻撃者の間でその有用性が広く認識され、現在もMemcached攻撃数は一定レベルを維持して行われています。

Memcachedを利用した大規模なDDoS攻撃が発生

DDoS代行サービスの利用

構築したボットネットを貸し出すサービス業者も存在します。ダークウェブ等にあるDDoS代行サービスを利用することで、専門的な技術やリソースがなくても、手軽に攻撃を行うことが可能となります。

事例:
2014年にオンラインゲームサーバーに対してDDoS攻撃を仕掛けた高校生が逮捕されました。この時犯行に用いたのが、海外のDDoS代行サービス業者でした。支払った金額は日本円にしてわずか800円程度でしたが、オンラインゲーム運営会社の損害は1億7千万円にまで上りました。

対策

DDoS攻撃への対策としては、被害を受けないための対策と攻撃者にならないための対策の両面が必要になります。

被害を受けないための対策

1.同一IPからのアクセス回数を制限する
DoS攻撃に対しては、攻撃元となる特定のIPをからのアクセスを制限することで対策を講じることが可能です。ところが、DDoS攻撃の場合は、世界中の大量のマシンから攻撃されてくるため、攻撃元のIPを特定しにくいという特徴があります。この場合、同IPからのアクセス回数を制限し、1つのIPからの攻撃を軽減することで、DDoS攻撃の被害を抑えることは可能です。

2.海外からのアクセスを制限する
日本企業が受けるDDoS攻撃は海外のサーバーを経由して行われるケースが大半です。よって、Webサイトのサービス対象者を国内に限定する場合、海外からのアクセスを遮断するのも有効な対策となります。

攻撃者にならないための対策

ボット用マルウェアへの感染を防ぐため、OS、ソフト、アプリなどをすべて最新の状態に保つことに加え、アンチウイルスソフトやUTMによる防御を行うことでセキュリティレベルを維持することが重要です。

DoS/DDoS攻撃には、UTMのアンチボット機能、IPS(侵入防御システム)機能が有効です。
img_cp700_01

また、二次被害対策には、SubGateセキュリティスイッチが有効です。ネットワーク内部のDDoS攻撃による有害トラフィックをリアルタイムで検知・遮断し、有害トラフィックの内部拡散とネットワークのスピード低下やダウンを防止します。

SubGate セキュリティスイッチ

脚注

[1]引用:G20やラグビーW杯を迎える日本、DDoS攻撃が活発に | businessnetwork.jp

参考

情報セキュリティ 10 大脅威 2019 ~局面ごとにセキュリティ対策の最善手を~ | 情報処理推進機構(IPA)

記事一覧に戻る