2022年9月に、日本の政府と複数民間企業を標的として「キルネット」というロシアを支持するサイバー攻撃集団が複数のサイトに対してDDoS攻撃を行った。これにより、政府が運営するポータルサイト「e-Gov」や地方税ポータルシステム「eLTAX(エルタックス)」、JCBのWebサイトなどが閲覧しづらくなる状況に陥った。また、東京メトロや大阪メトロのホームページも一時アクセスしづらい状況に陥ったと報道されている。このニュースにより、再度DDoS攻撃に興味をもった読者も少なくないだろう。

そこで本連載では、全3回にわたり、進化を続けるDDoS攻撃の現状を紹介していく。そもそもDDoS攻撃とはどういった手口なのか、企業はどのように阻止すればよいのだろうか。最終回となる今回は、DDoS攻撃への対処方法を紹介しよう。

2つの対策を理解しよう

DDoS攻撃が他のサイバー攻撃と最も異なる点は、トラフィックが自社に到達した時点で、回線が消費されて成功してしまう点だ。そのため、まずは「到達させない」ことが重要となる。つまり、インターネット上で防ぐことが必須だ。そうなると他の多くのサイバー攻撃のように、セキュリティ機器(ファイアウォールなど)を自社のデータセンターに配置する方法は望ましくない。

そこで、インターネット上で攻撃者と被害者の間に介在し、DDoS攻撃対策を提供する「クラウド提供型」のDDoS対策が最適だ。クラウド型DDoS攻撃対策には、大きく分けて2つの系統が存在する。一つは「CDN(コンテンツデリバリーネットワーク)」、もう一つは「スクラビングセンター(浄化センター)」だ。

Webアプリには「CDN(コンテンツデリバリーネットワーク)型」

DDoS攻撃の対象がWebサイトやモバイルアプリに対しては、CDNによる保護が有効だ。Webサービスのパフォーマンス向上を主目的で導入されることの多いCDNを、さらにDDoS攻撃対策にも活用できる。

CDNは、サーバへのアクセスの1点集中による混雑を避けるため、インターネット上にあるCDN事業者の複数拠点にサーバを用意し、人気のあるコンテンツを分散配置する仕組み。CDNでは、一度ユーザーが要求したコンテンツを本来のWebサイト(オリジンサーバと呼ぶ)から取得・配信すると同時に、そのコピーをキャッシュとしてCDNサーバに保持し 、次回以降のアクセス時には、キャッシュからコンテンツを返送する仕組みをとる。

CDNは負荷分散のためにインターネット上に分散配置されており、それゆえに分散型の攻撃であるDDoS対策としての構造的な適性が高い。攻撃者がCDNを使っているURLに対してDDoS攻撃を行った場合には、その攻撃トラフィックは自社のオリジンサーバには到達することなく、事業者のCDNサーバに到達する。

そして、そのトラフィックがWebではない(TCPポートが80か443ではない)場合には、即座に廃棄される。つまり多くのボリューム型攻撃やプロトコル攻撃は、即時遮断されるのだ。

  • イメージ:CDN型のDDoS対策

    イメージ:CDN型のDDoS対策

攻撃がアプリケーションレイヤーだった場合は、エッジサーバ上で稼働するWeb Application Firewall(WAF)機能で検査される。その結果、これらの攻撃(HTTP GET や HTTP POST フラッドなど)も遮断される。つまり、CDN型を利用すれば、Webサイトに対するDDoS対策をパフォーマンス向上と併せて実現できるので一挙両得だ。

全通信対象の「スクラビングセンター型」

一方で、Web以外のトラフィックはCDNを通せない。そこで、Web以外のサービスのDDoS対策をしたい場合にはスクラビングセンター型が最適だろう。この型はその名の通り、通信を検査してスクラビング(浄化の意味)し、正規のトラフィックだけを通信させるための施設を利用するものだ。

スクラビングセンターは、CDN同様にインターネット上にあり、攻撃者と保護対象サービスの間に入る。しかし、Web通信のみを扱うCDNと異なり、IPネットワーク上を流れるありとあらゆる通信プロトコルに対応可能だ。

CDNと大きく異なる点は、スクラビングセンターではキャッシュによる代理応答をしないので、正規通信はすべてオリジンサーバに到達する点。そのため、検査による通信遅延が許容されない利用者は、有事のみ通信を切り替えて引き込むという方式をとる場合もある。

  • イメージ:スクラビングセンター型のDDoS対策

    イメージ:スクラビングセンター型のDDoS対策

全通信のDDoS攻撃トラフィックを顧客データセンターに代わって受け止めることから、必然的にスクラビングセンターの処理容量は高い能力が求められる。例えば、筆者の所属するアカマイ・テクノロジーズでは、DDoS対策の通信帯域を20Tbpsで対応する複数のスクビングセンターをインターネット上に分散し展開している。

用途に応じて最適な選択を

本連載では、DDoS攻撃とその対策の概要についてまとめてきた。「キルネット」の攻撃をきっかけにDDoS対策に興味をもって本稿に目を落とした読者もいるかもしれない。しかし、前述の通りキルネットのようなハクティビズムだけでなく、金銭を目的としたDDoS脅迫も横行しており、いつ自分の会社や政府組織が被害に遭うか分からない状況だ。

良い機会なので、これを機にDDoS対策を見直してみてほしい。近年は、DDoSだけでなく、Webアプリケーション攻撃や悪性ボット対策などを包括的に行うWAAP(Web Application and API Protection)という製品カテゴリも台頭し、以前よりも包括的なセキュリティ対策の導入が可能になっていることを理解してもらえると嬉しい。