2022年9月に、「キルネット」というロシアを支持するサイバー攻撃集団が、日本の政府と複数民間企業のWebサイトに対してDDoS攻撃を行った。政府が運営するポータルサイト「e-Gov」や地方税ポータルシステム「eLTAX(エルタックス)」、JCBのWebサイトなどが閲覧しづらくなる状況に陥った。また、東京メトロや大阪メトロのホームページも一時アクセスしづらい状況に陥ったと報道されている。このニュースにより、再度DDoS攻撃に興味を持った読者も少なくないだろう。

そこで本連載では、全3回にわたり、進化を続けるDDoS攻撃の現状を紹介していく。そもそもDDoS攻撃とはどういった手口なのか、企業はどのように阻止すればよいのだろうか。第2回となる今回は、DDoS攻撃の主要な3つの手法を具体的に説明していこう。

本稿ではDDoS攻撃を、ボリューム型攻撃、プロトコル攻撃、アプリケーションレイヤー攻撃の3項目に分けて整理していく。昨今の攻撃は複数の攻撃手法を組み合わせるマルチベクトル(多方向)攻撃が行われる傾向にある。すべての攻撃に共通する目的は、正規の通信が意図した宛先に到達するのを妨げるか、その速度を著しく低下させるかのどちらかだ。

DDoS攻撃の3つの攻撃手法

以下、「ボリューム型攻撃」「プロトコル攻撃」「アプリケーションレイヤー攻撃」という3つの攻撃手法について紹介していく。

ボリューム型攻撃

ボリューム型のDDoS攻撃は、ネットワーク回線や通信機器を狙う攻撃だ。目的は、標的となる被害組織の帯域幅を膨大な量のトラフィックで埋め尽くし、ネットワークを過負荷状態にすること。ネットワークは転送できる容量が決まっているため、攻撃トラフィックがそれを使い切ると、正規のトラフィックがアプリケーションサーバに到達できない。

具体的には、第1回で説明した通り、マルウェアに感染した大量のデバイスで構成されるボットネットを使用して行われる。攻撃者は大量のボットにトラフィックを送らせ、被害者とインターネットの接続に大規模な混雑を発生させる。ボットトラフィックの予期しない流入により、Webリソースやインターネットに接続されたサービスでは、正規利用者の通信速度が著しく低下するか、まったく接続できなくなる。

多くの場合、ボットネットを構成する送信元デバイスの所有者(悪用の被害者)は、自分のデバイスがボットネットに使われていることに気付いておらず、送信元に攻撃をやめさせることも難しい。

  • イメージ:ボリューム型攻撃手法の例

    イメージ:ボリューム型攻撃手法の例

プロトコル攻撃

プロトコル攻撃は、主にICT基盤を標的とする攻撃だ。通信プロトコルの特性を悪用して、偽の接続リクエストを送りつけることで、ネットワーク機器、サーバ、ファイアウォールといったICT基盤の通信領域の計算資源を消費し、枯渇させる。SYNフラッドやスマーフDDoSなどが代表的な攻撃として挙げられる。

  • イメージ:プロトコル攻撃手法の例

    イメージ:プロトコル攻撃手法の例

アプリケーションレイヤー攻撃

アプリケーションレイヤー攻撃は、より上位レイヤーで動作するWebアプリケーションを標的として妨害する攻撃のこと。アプリケーションからみれば不正でも、ネットワーク機器からすると正規のプロトコルを使っているため、標的のサーバ到達前に検知することが難しい。それゆえ、容易にサーバまで到達し資源を消費させられるため、前述したボリューム型攻撃やプロトコル攻撃よりも防御が困難とされる。

  • イメージ:アプリケーションレイヤー攻撃の例

    イメージ:アプリケーションレイヤー攻撃の例

攻撃者の目標と狙い

DDoS攻撃で、標的となりやすいのは消費者向けのサービスだ。金融サービス、医療情報提供サービス、新聞やWebメディア、教育サービス、オンラインショッピング、ゲームなど、日常的に消費者が活用している多様なサービスが標的となっている。

一方で、消費者ではなく、従業員が利用する業務システムのリソースを利用不可にしたり、パフォーマンスを低下させたりすることで、事業を停止に追まれることもある。この場合、従業員は電子メールや Webアプリケーションなどの社内業務システムにアクセスできなくなり、事業活動が不可能になる。

いずれの場合も攻撃者の狙いは、標的を正規ユーザーが利用できない状態にし、混乱をもたらすことだが、真の目的はその先にある。 一般的に動機としては、次のようなものが確認されている。

1. 政治的または社会的な主張(ハクティビズム)
2. 経済的または社会的な混乱を目的とした国家ぐるみの攻撃
3. 競合先のサービスや製品を利用不可に追い込むことでビジネスを優位に進める
4. 別の攻撃をより発覚しにくくする隠れ蓑としてDDoSを使用し、インシデント対応チームを欺く

金銭や利益を得るための脅迫手段

上記に加えて、近年では、DDoS脅迫攻撃がサイバー犯罪者の大きな動機となっている。ランサムDDoS(RDDoS)攻撃とも呼ばれるこの攻撃では、攻撃者グループが DDoS攻撃で会社や政府組織を脅迫し、身代金や脅迫金の支払いを要求する。

多くの場合、攻撃者は「威嚇」攻撃を仕掛けて自らの破壊能力を誇示することで、対象となる企業が身代金を支払う可能性を高める。また、検挙を免れるために、攻撃者はビットコインなどの暗号資産(仮想通貨)での支払いを要求し、支払いは当然オンラインで行われるので追跡できない。

今回は、DDoS攻撃の3つのタイプについて解説した。次回は、その攻撃手法に対抗するための対策方法を紹介していこう。

金子春信

金子春信

かねこ はるのぶ

アカマイ・テクノロジーズ合同会社 シニアリード プロダクトマーケティングマネージャー
現在、アカマイにおけるアジア太平洋地域のセキュリティ製品マーケティングを担当。18年以上にわたりIT業界で、ネットワークエンジニア、新規事業開発、プロダクトマーケティングなどの業務に従事。大手SIerで金融、製造を中心とする大規模企業顧客のネットワークやセキュリティの設計構築プロジェクトを多く提供。2012年から2015年は、米国シリコンバレーのNet One Systems USAで、ビジネスデベロップメントマネージャーとして、セキュリティやクラウド関連のスタートアップと新規ビジネス開発を担当。 2018年より現職。CCIEとCISSPを保有。

この著者の記事一覧はこちら