事例Use case

知っていますか?企業をターゲットにする「DDoS攻撃」の脅威と仕組み

2019.10. 9

ツイート シェア 送る はてブ

他人ごとではない「DDoS攻撃」

ITシステムを攻撃する手法は、なにもマルウェアだけではありません。企業はマルウェア対策に加え、電子メールの文面やWebサイトを工夫し、利用者をだましてクリックや認証情報入力を狙うフィッシングや、内通した人を通じて行われる不正な情報流出、Webサイトの情報を改ざんするなどの攻撃に備えなくてはなりません。

これらの攻撃手法に対しては、それなりに対策手法も充実しており、スキルとコストさえあればきっちりと守ることができるでしょう(もちろん、それが難しいからこそ私たちは苦悩しているわけですが......)。しかし一つ、ちょっと悩ましい攻撃手法があります。それは「DDoS攻撃」と呼ばれる手法です。

DDoS攻撃はDistributed Denial of Service attackの略です。まずはDoS攻撃、Denial of Service attackから考えてみましょう。

DoS攻撃とは「F5アタック」

Denial of Serviceとはつまり「サービス妨害」を行うサイバー攻撃です。サーバー/Webサーバーなどは有限のリソースを持つシステムですので、ある程度の利用者が同時に接続を行おうとすると、サーバーが遅くなったり、最終的にはサーバーがダウンしたりします。実は、DoS攻撃とは1台のクライアントが対照のサーバー/サービスに対して繰り返し接続を試み、高い負荷をかけることで相手のサーバー/サービスを"ダウンさせる"ことを目的とした手法です。Webブラウザでリロードを繰り返すことで負荷をかける、いわゆる「F5攻撃」(キーボードの「F5」キーを押してリロードするだけの簡単でアナログな攻撃)のようなものですね。

internet_dos_attack.png攻撃元が1台だけであれば、対策は簡単かもしれません。高負荷を与えている接続元を、ネットワーク的に遮断すればいいわけですから。しかし、これが1台ではなく、無数のクライアントから攻撃が加えられたとしたら、対策は少々困難になります。これがDistributed (分散型)のDoS攻撃、「DDoS攻撃」なのです。F5攻撃が複数の端末から同時に行われるイメージで、例えばインターネットを利用したチケット販売システムなどは、販売開始と同時にそういった状態に陥ってしまうことが多いですね。

internet_ddos_attack.png

アレ、お安くしておきますよ!



ddos_package.jpg図:このサブスクリプションサービス、実は......

さて、いきなりですがクイズです。上記の画面はいったい何を売っているのでしょうか。サブスクリプションサービスで1週間/1か月の間使える何か----実はこれ、「DDoS攻撃」をサービスとして販売しているサイトです。まさにDDoS攻撃・アズ・ア・サービス!

これは2015年に筆者が確認したサービスなのですが、表向きはWebサービスに対する負荷テストを請け負うという体裁のものですが、実際のところはDDoS攻撃を簡単に行うためのサイトでした。

皆さんが次に驚くのは、おそらくその価格帯ではないでしょうか。立派なサイバー攻撃が、わずか数ドルで実行できてしまうのです。実際、日本においてもこういったサービスを学生が利用し、著名オンラインゲームサービスに対するDDoS攻撃を行い、書類送検された事例がたくさんあるのです。

(参考:オンラインゲームにDDos攻撃 「面白いので何度もやった」 熊本の高1男子を書類送検 - 産経ニュース)


DDoS攻撃の対策が難しい理由

攻撃してくる端末が1台しかないDoS攻撃であれば、シャットアウトも簡単です。しかし、それが数台、数千台、いや数百万台の端末から攻撃が来たとしたら、ネットワーク管理者は一つ一つをシャットアウトすることは無理でしょう。ならばこれを機械的に......と考えたいところですが、実はそのような対策はさまざまな困難があります。

「DDoS攻撃をしてくるようなクライアントは、きっと悪い人だろう」と思いたくなる気持ちもわかります。ならばきっと悪いIPアドレスをあらかじめ集めておいて、それらを遮断すればいいでしょうから。でも、実際にDDoS攻撃を仕掛けてくるIPアドレスを見ると、実はIPアドレスもバラバラ、国もバラバラという場合があります。実はDDoS攻撃を仕掛けてくるのは、"普通の人"という可能性も非常に高いのです。

では、DDoS攻撃はどのようにして「安価に」実現できるのでしょうか。実はこの背景にはマルウェア感染によりボット化し、サイバー犯罪者のコントロール配下にある端末がたくさん稼働しているという現実があります。

知らなないうちに"加害者"になってしまう!?

これまでであれば、DDoS攻撃を行うには常時稼働しているサーバーなどを支配下に置く必要がありました。Webサイトの脆弱性をつき、不正に侵入したうえでプログラムをこっそり実行することで、ボットとして使うことができます。しかしいまでは、サーバー以外にもたくさんの「インターネットにつながり、常に起動されているマシン」がたくさんあります。例えばあなたの家にもあるブロードバンドルーターや、WebカメラといったIoT機器も、DDoS攻撃を行うためのツールになってしまうのです。これはブロードバンドルーターやIoT機器の利用者にとってみると、脆弱性を攻撃され乗っ取られたという"被害者"かもしれませんが、それをDDoS攻撃に利用されてしまった場合、"加害者"になりうるわけです。実はこの加害者になりうるボットの数があまりに大量にあることが、DDoS攻撃が安価である理由なのです。

加害者にならないためには、一般の方ならば家庭内にある機器に侵入を許さないこと。ブロードバンドルーターのファームウェアを最新にアップデートし、初期パスワードを変更する必要があります。組織のシステム管理者は、自社が管理するサーバーが不正に乗っ取られないよう、脆弱性検査やマルウェア感染対策をこれまで通りきっちり行う必要があります。

「待つ」のも立派な対策? 企業・組織が行えるDDoS攻撃対策

企業が取れるDDoS攻撃対策は、上記のように難しいというのが実情です。多くの場合、企業が利用しているインターネットプロバイダーにて、ネットワーク的に遮断するDDoS攻撃対策サービスを利用するのが最適でしょう。ネットワークプロバイダーは上流でDDoS攻撃の現状をウォッチしています。そこに丸ごと任せるというのが最適の解といえるかもしれません。

ただ、それだけではDDoS攻撃対策としては不足といえます。実はネットワーク側の対策よりも、サービスとしてそれをどうカバーしていくかという点のほうが重要です。例えばDDoS攻撃が行われ、利用者にその状況を伝えるにはどうしたらいいでしょうか。多くの場合、サービスで利用しているWebサーバーと告知のためのWebサーバーは同じものであり、DDoS攻撃によりお知らせのページすら見せることができない状況になってしまうでしょう。これでは、利用者はなぜサービスが利用できないのかわからず、不満が募るばかりとなり、最終的にはブランド価値が棄損される事態に陥ります。これが、DDoS攻撃で最も避けなければならない事態です。

そのため、万が一DDoS攻撃にあったときに、自社サービス以外での告知ルートがあるかどうかを考えてみてください。例えばTwitterやFacebook、LINEといったSNSを利用しDDoS攻撃が行われていること、復旧したことをお知らせするルートを作っておくだけでもブランドへの被害は軽減できます。この場合、普段は広報組織やプロモーションでしかSNSアカウントを投稿できないことも多いと思いますので、DDoS攻撃が行われていることが判明したときにその告知をどうやってTwitterなどに投稿するか、平時の間にそのプロセスを整理しておくことをお勧めします。

DDoS攻撃に関するレポートは、大手プロバイダーのIIJが毎月レポートを公開しています。最新のレポートでもDDoS攻撃は毎日検出されており、規模も非常に大きなものになっていることが分かります。しかし、実はその攻撃時間は30~60分であることもわかります(もちろん、より長時間の攻撃も観測されています)。実はDDoS攻撃の対策の1つとして「攻撃がやむのを待つ」という選択肢もあるのです。おそらく、日本の中小規模企業のほとんどは、その対策こそが最も費用対効果の高いものかもしれません。それが選択できないという組織は、改めて別の対策を考えてみることから始めてはいかがでしょうか。

wizSafe Security Signal 2019年7月 観測レポート - wizSafe Security Signal -安心・安全への道標- IIJ


執筆者

宮田 健(みやた たけし)
国内大手SI事業者、および外資系大手サポートにてエンジニア経験を積み、2006年にITに関する記者、編集者に転身。その後はアイティメディアのエンジニア向けメディア「@IT」編集者として、エンタープライズ系セキュリティに関連する情報を追いかける。 2012年よりフリーランスとして活動を開始し、"普通の人"にもセキュリティに興味を持ってもらえるよう、日々模索を続けている。
個人としては"広義のディズニー"を取り上げるWebサイト「dpost.jp」を運営中。公私混同をモットーにITとエンターテイメントの両方を追いかけている。 著書に「Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!」(MdN)、「デジタルの作法 1億総スマホ時代のセキュリティ講座」(KADOKAWA/中経出版)がある。



低コストかつ容易な運用で小規模オフィスを守れるセキュリティWi-Fi「SECURIE(セキュリエ)」


BBSSが提供するセキュリティWi-Fi「SECURIE」は、小さなセキュリティルーターを、中小企業やSOHOのオフィス内に設置するだけで、オフィス内に設置されたPCやサーバー、プリンター、果てはネット家電まで、ネットワークに接続されたすべての機器のセキュリティ対策を一手にカバーしてくれます。加えて、オフィスで使用するすべての端末にインストールできるアンチウイルスソフトのライセンスも提供されます。

機能1:不正アクセス防止
AIによる不正通信や侵入行為を発見するIDS/IPSやDPIなど、高度な検知技術と脆弱性診断を搭載し、ネットワークの出入口を守るセキュアゲートウェイとして機能。VPNによる暗号化通信も標準装備しています。オフィス内で、ネットにつながるすべての接続機器の保護状態を可視化します。

securie_service_soho1009.PNG機能2:ぜい弱性診断
指定端末にネットワークセキュリティ上の欠陥がないかを診断します。ユーザー名・パスワードの組み合わせの保護レベルが低い、ファームウェアのバージョンが古い、CVE脆弱性がある、などといった危険性を指摘します。これらの脆弱性が発見された場合は、Centralアプリに通知が届き、対処方法をすぐにユーザーに知らせてくれます。
不正な乗っ取りからオフィス機器を守り、DDos攻撃の加害者にならないための対策を行うことができます。

脆弱性レポート.png