DDoS攻撃のためにすべき4つの対策方法 – 被害事例も合わせて解説

この記事は約8分で読めます。

昨今ではネットワーク関連の犯罪が増えており、どの企業もいつ被害に遭ってもおかしくないと言えます。こういった背景からも、企業のセキュリティ担当者であれば、DDoS攻撃に対するセキュリティ対策は必須となっております。

この記事ではDDoS攻撃の概要から具体的な対策まで解説していきます。

DDoS攻撃とは

DoS攻撃の派生形として、DDoS攻撃という攻撃方法があります。

DoS攻撃というのは、Denial of Service(サービス拒否攻撃)の略であり、プロトコルの虚を突くことで、サーバや各種サービスへ、遅延や接続不可能な状況を作ります

攻撃にDistributed(分散)のD、つまり、DoS攻撃を複数の経路とアプローチ方法から繰り広げることDDoS攻撃といいます。

DDoS攻撃の種類

DDoS攻撃は、主にプロトコルベースの動作を利用する攻撃なので、攻撃方法に複数のバリエーションが存在します。

Telnet、HTTP、HTTPS、DNS、FTPなど、本来「サーバがその用途で開かれているサービスを対象にしている」わけですが、ここでは、その一般的なメカニズムを追っていきましょう。

SYNフラッド攻撃

SYNフラッド攻撃とは「宛先の無い、リクエストをひたすら繰り返すこと」で、該当サーバの遅延やダウンをもたらす攻撃のことを指します。

TCPパケットは主に、下記のやりとりでクライアント~サーバ間にコネクションを張り、通信を開始します。

  1. SYN(クライアント)サーバに対して、リクエストを要求
  2. SYN(クライアント)サーバに対して、リクエストを要求
  3. ACK(クライアント)サーバに対して、接続を実施

これを、3ウェイハンドシェイクと云います。

SYNフラッド攻撃では、クライアントの立場から「1」を要求しておきながら、サーバの「2」に対して、「3」の返答をしません。
サーバの「2」の状態は、ひたすら「クライアント用に通信開始を待ち構えている」状態であり、CPUとメモリを浪費しながら、サーバ自身のTimeoutの時間まで、待ち構えます。この「1」を大量に送り付け、サーバのCPUとメモリをガンガン消費させ、サービス不能へと陥らせてしまうのです。

DDoS攻撃の手口は、そのほとんどが、この手法に準じた(または近い)やり方で、攻撃を繰り広げます。これに派生した攻撃に「ACKフラッド」「FINフラッド」という攻撃方法があります。

UDPフラッド攻撃

TCPに比べ、UDPは「コネクションを確立すると、ひたすら送信を続ける」という性質を持っています。UDPフラッド攻撃は、これを利用して、サーバへ複数の送信要求を同時に行い、サーバに多大な負荷をかけようとします。

UDPフラッド攻撃の主な2つの攻撃方法
  1. ランダムポートフラッド攻撃:ランダムに送信ポートを指定し、サーバの「サービス拒否(ICMPのDestination Unreachable)」応答を連続させる
  2. フラグメント攻撃:極端に大きなパケットや、細々とした小さなパケットを送信し、処理をあふれさせる

双方ともに、正常なサーバの挙動を悪用した攻撃なので、完全に防ぐことが難しいのです。

F5攻撃

Webブラウザでも、DDoS攻撃はできてしまうのです。
F5キーでWebページを更新できるわけですが、これを連打することで、サーバへ大量のリクエストを送信することができます

1台のクライアントで実施するには、余りに微弱で幼稚な攻撃方法ですが、人々がある一種の「怒り」「興味本位」を扇動することにより、共感した複数の人々が、同様の行為に至ります。

この習性を利用したDDoS攻撃は、まさにソーシャルハッキングと言っても過言ではありません。

DDoS攻撃をしかける理由

DDoS攻撃をしかけるような人々は、一体、何を考えてその行動に至ったのでしょうか。法人や自治体が展開するサービスを「一時的にでも使用できなくする」ことの目論みが、どのようなものか、紐解いていきます。

個人的な妬みなど

個人や法人に関係なく、自分たちを取り巻くステークホルダーから「何を思われるか」は、自分たち次第でしょう。
その行動が、とある集団や個人にとって妨げとなる場合「行動を起こすこともある(DDoS攻撃は業務妨害です)」というリスクが伴います。

おとり

DDoS攻撃によってサービス継続が困難な状況の中、別の攻撃が開始されることもあります。
むしろ、DDoS攻撃はおとりでしかなく、他の攻撃をカムフラージュするためであることも少なくありません。

脅迫

これは「個人的な妬み」によく似ていますが「金銭」「政治的な行動」「法律の逸脱」など、具体的な要求が明らかな場合を指します。

例えば「収監中の犯罪者の開放」であったり、「法案可決に対する抗議行動」であったり、日本でも割とニュースになったりしています。

システムダウン

サービスがシステムダウンを起こすことで受けるダメージは、甚大なものであることもあります。

例えば、競合サービスを持つA社が、B社のシステムをダウンさせることで、顧客を呼び寄せる、というやり口が無いわけではありません。

金銭的な被害

クラウドサービスやレンタルサーバ等は、トラフィック加算による課金制であることも少なくありません。これらのサービスへDDoS攻撃を繰り広げることで「課金超過による、サービスの一時停止」や「追加金による、会社への損害」に繋がることもあります。

なりすましなど別攻撃の成功

DDoS攻撃による混乱に乗じた「なりすまし行為」も後を絶ちません。
従来のサービスをDDoS攻撃により不能に陥れ、さも「自分自身が管理者であるかのように」サービスユーザを騙す手口もあります。

セキュリティ被害に遭わないために、自社に必要な対策を把握できる無料のチェックリストはこちら

DDoSの攻撃ツール

DDoS攻撃ツールは、各事情から生まれました。それぞれを簡単にご紹介いたします。

純粋に、クラッキングやハッキングを目的としたDDoS攻撃ツールと知られる「Slowloris」「Stacheldraht」。また皮肉にも「サーバに負荷試験を行う」ペネトレーションテスト等に使用される「LOIC」「HOIC」などのツール。そして、人々の歓楽や余興のために開発された「田代砲」などがあります。

DDoSの被害事例

個人的な私怨や抗議のために行われたDDoS攻撃の代表格では、2012年のイスラエル軍によるパレスチナ爆撃に抗議した際の事件が挙げられます。この抗議のDDoS攻撃により、イスラエル政府や銀行系のWebサイトが600余りも、一時利用不可となってしまいました。

ネットワークカメラや無線APなどのIoT機器へマルウェア「Mirai」を感染させ、DDoS攻撃に使用した、という事例もあります。
また、金銭的な事例としては、カブドットコムへのDDoS攻撃も、有名な話です。

DDoS攻撃の対処法

近年のDDoS攻撃は、より手軽さを増し、ターゲットが政府や大企業から、中小企業へと移行しつつあります。Webでの知名度や注目度の高いサービスは、ステークホルダーにとっては、邪魔な存在であることも多く、知名度が注目度が高ければ高いほど、ターゲットになりやすいという傾向があるのです。

例えば、Webサイトで開始したキャンペーンや、注目を浴びやすい動画をアップロードしたり、TwitterやFacebookなどで「バズる」ような発言をしたりなど、そういった行動は利益にもなりますが、同時にリスクにもなり得るのです。

送信元IPの制限

DDoS攻撃を回避するにあたり、送信元IPを制御するやり方は、最も基本的といえるでしょう。
DDoS攻撃を展開している端末は「同様の動きを見せている」わけですから、その挙動をおこしている送信元IPを「プロトコルに到達させることなく」拒否してしまえばいいわけです。

日本国内向けのサーバについては「日本国内でのみ、閲覧可とする」運用も可能です。
WordPressなどのWebサイトツールには、そういった機能がありますが、自前のサイトであれば、.htaccessを調整したり、IPTablesを調整することもできます。

DDoS対策ツールの導入

DDoS攻撃を防御する目的で、DDoS攻撃自体を監視することは欠かせません。
Wire Sharkなどで監視する方法もありですが、スイッチへ監視ポートを設定し、監視用端末を設置するなど、その方法はテクニックが必要です。

DDoS攻撃は、日々その手口が複雑化しているため、最新の情報が必要です。
その複雑化した最新の手口を認知する(これを、シグネチャ情報といいます)ため、IDSを導入して監視するのです。

IDSは、大量に流れるパケットを、シグネチャ情報を元に監視し、異常があった際は、管理者へ通報します。

WAFの導入

WAFとは、Web Application Firewallの略ですが、これはWebサーバに特化したファイアウォールのことをさします。Webサイトの改ざんやマルウェアの侵入に対して耐性があり、Webアプリケーションのプロトコルを保護する役目を果たします。

最近では、ファイアウォールのUTM機能や、ロードバランサーに統合されつつあります

WAFについてより詳しく知りたい方は、以下のページをご覧ください。

侵入防止システム(IPS)の導入

IDSとは違い、IPSは、実際に侵入を防御するアプライアンス製品です。

以前は、IDSで問題を検知し、それに連動したIPSが状況に応じた防御を行うという機構を持っていましたが、近年では、それらが統合されつつあり、IDPSと呼ばれるようになっています。
また、WAFやIDPS、アンチウィルスやアンチスパム機能をまとめて取り入れたファイアウォールもあり、これをUTM機といいます。

UTM機は、WAFやIDPS単体が持つ性能やシグネチャそのものは見劣りするものの、廉価版以上の性能を発揮してくれます。

まとめ

DDoS攻撃の脅威と対策について理解できましたか?
急務な対策になりますので、しっかり取り組んでいきましょう。

また、弊社では企業のセキュリティ対策チェックシートを無料でご用意しております。ぜひ併せてご活用ください!

情報セキュリティ対策インシデント対策
タイトルとURLをコピーしました