WebサイトやWebサービスを提供する企業においては、サイバー攻撃からのセキュリティ対策が欠かせません。サイバー攻撃の中でも防ぐのが難しいとされているのが、DoS攻撃/DDoS攻撃です。 本記事では、DoS攻撃/DDoS攻撃の概要と、その目的や種類、攻撃を防ぐための対策方法を解説します。本記事を読めば、DoS攻撃/DDoS攻撃から組織を守るための方法への理解が深まります。 DoS攻撃(Denial of Service attack/サービス拒否攻撃)とは、ウェブサイト・サーバーに対して過剰にアクセスを集中させ、サーバーをパンクさせることを狙うサイバー攻撃です。 このDoS攻撃による過剰なアクセスで、「サイトの読み込みが遅く、繋がりにくい」といった事態が起こることがあります。こうした事象が起こるのは、同じ時間帯に大量のアクセスがあった場合にサーバーは想定より多くの処理を行うため、サーバーが処理の負荷に耐え切れずにパンクしてしまうためです。 他のサイバー攻撃については以下でも解説していますので、気になる方はこちらもご確認ください。 サイバー攻撃の目的とは何?どんな攻撃の種類があるのか 【最新版】サイバー攻撃の手法・種類一覧とやり方の手口まとめ

DDoS攻撃とDoS攻撃の違い

DoS攻撃を発展させたサイバー攻撃に「DDoS攻撃(Distributed Denial of Service attack/分散型サービス拒否攻撃)」があります。 DoS攻撃とDDoS攻撃の違いは、以下の通りです。 ・DoS攻撃:1台のコンピュータ(IP)によって行われるアクセス集中攻撃。 ・DDoS攻撃:複数のコンピュータ(IP)によって行われるアクセス集中攻撃。複数の一般コンピュータを不正に乗っ取って行う。 一般的にDoS攻撃/DDoS攻撃への対策は難しいといわれていますが、その理由は、攻撃者の特定が難しく、不正なアクセスは通常のアクセスと見分けがつきにくいという点にあります。また、DDoS攻撃の場合は不正に乗っ取った第三者のIPを活用するため、乗っ取られた側は自身が攻撃者になっていることに気が付きにくくなっています。そのため本来の攻撃元の特定がしづらく、特に対策が難しいとされています。  

DoS攻撃/DDoS攻撃の目的とは

DoS攻撃/DDoS攻撃が行われる目的には、様々なものがあります。 ここでは代表的な目的を4つ紹介します。 金銭目的、脅迫 DDoS攻撃が金銭を目的として予告・実行され、「攻撃をやめてほしければ金銭を払え」と脅迫に用いられる場合があります。 近年、高額な金銭を手に入れる手段として、企業や団体、官公庁等を対象としたDDoS攻撃が組織的に行われることが増えています。 嫌がらせ・私怨 私怨や自分の技術力の誇示、単なるいたずらといった愉快犯のような目的で攻撃が行われる場合があります。 そもそもDoS攻撃/DDoS攻撃では不正にデータを盗んだり、改ざんしたりといったデータへの直接的なアクセスができないため、サービス運営者を困らせること自体が目的であるケースも多く存在します。 嫌がらせなどで攻撃が行われる場合は、攻撃自体に具体的な目的はなく、執拗に繰り返される傾向があります。 抗議活動 特定の国家や企業に対する抗議活動に用いられる場合があります。後述しますが、中には国策に対する抗議活動としてDDoS攻撃が行なわれた事例も存在します。 競合による営業妨害 DDoS攻撃を受けたサイトは一時的に不安定になったり、ダウンしたりするため、運営元の信頼性が低下します。 これを利用して、競合会社の信頼を失墜させ、相対的に自社の信頼性を高める等の営利を得ることを目的としたDDoS攻撃が行われることがあります。

DoS攻撃/DDoS攻撃の種類

DoS各攻撃の名称は、基本的に「コンピュータがデータ送信する際の仕組みの、どの部分を利用しているか」に基づいて名付けられています。 ここでは、DoS攻撃/DDoS攻撃の代表的な種類を5つ紹介します。

SYNフラッド攻撃/FINフラッド攻撃

SYNフラッド攻撃とは、攻撃者が接続元のIPを偽り、接続要求(SYN)を大量に送信してシステムに負荷をかける方法です。また、FINフラッド攻撃とは、切断要求(FIN)を大量に送信する攻撃です。 接続先では、大量の接続元IPに対して応答処理を行ないますが、IPは偽造されているため存在せず、確認応答を待ち続けることとなります。その結果、サーバのリソースが枯渇し、ダウンするといった結果を招きます。

ACKフラッド攻撃

ACKフラッド攻撃とは、攻撃者が応答(ACK)を大量に送信して、コンピュータがシステムに接続するためのリソースに負荷をかける方法です。ターゲットサーバーには、送信元と接続先の間にアクティブな送受信情報が存在しないため、サーバーは接続拒否をします。 その結果、接続先のサーバーでパケットの大量廃棄が行なわれ、リソースが枯渇します。

UDPフラッド攻撃

UDPフラッド攻撃とは、偽造したIPからデータを受信する仕組みの1つであるUDPを大量に送信することで、回線の帯域幅を機能不全に陥らせます。 UDPは接続手順を省略した通信であるため一方的なパケット送信が可能であることから、少ないリソースで攻撃できてしまう点が特徴です。

DNSフラッド攻撃

DNSフラッド攻撃とは、1つ以上のDNSサーバーに無効な名前解決のリクエストを大量に送信することで、DNSの機能を低下させ、通常のユーザーのアクセスを妨害する攻撃です。 名前解決できないリクエストを大量かつ一方的に送信し、DNSサーバーのキャッシュを無効な内容で満たします。さらにDNSサーバー間のトラフィックを攻撃による通信で溢れさせ、DNSサーバーへ負荷をかけるのです。

Slow HTTP DoS Attack

Slow HTTP DoS Attackとは、少ないバケット数で長時間TCPセッションが継続するように、断片的なリクエストを送信し続けることでサーバー上のTCPセッションを占有し、通常ユーザーのアクセスを妨害する攻撃です。

近年のDoS攻撃/DDoS攻撃の被害事例

こうした手法を用いたDDoS攻撃は近年、国内外において大規模に行なわれており、実際に障害が発生した事例もあります。 新型コロナウイルスの影響でオンライン上での取引行為が増えている昨今、オンライン活動の増加がDDoS攻撃被害の原因となることもあり、セキュリティ担当者はよりいっそう注意が必要になっています。 ここでは、過去数年間で発生した主要な事例を3つ紹介します。

2020年 HHS(米保健福祉省)

2020年3月、アメリカで新型コロナウイルス対策を担う米保健福祉省(HHS)に、DDoS攻撃が試みられました。この攻撃の目的は、新型コロナウイルスにおける対策への妨害活動とみられており、攻撃者は敵対的な外国勢力であったと考えられています。 新型コロナウイルス対策のように世界全体への影響があるような組織に対しては、嫌がらせや抗議活動としてDDoS攻撃が行なわれる場合もあります。

2020年 米国のセキュリティサービス事業者Cloudflare(クラウドフレア)

2020年6月、米国のセキュリティサービス事業者Cloudflareは4日間の間DDoS攻撃を受けました。この攻撃は非常に大規模なもので、1秒につき最大7億5,400万パケットの速度でデータが送信されていました。 攻撃トラフィックは31万6,000以上のIPアドレスから発信されており、Cloudflareの無料プラン利用者が主に使用していた1つのIPアドレスを標的にしていたとされています。

2020年 ロシアの中央選挙管理委員会

2020年6月から7月にかけて行なわれたロシアの憲法改正の是非を決定する国民投票において、投票期間中に中央選挙管理委員会とオンライン投票サービスを標的にしたDDoS攻撃が発生しました。 このようなDDoS攻撃は、地域や産業群を問わずに発生し、社会・政治面におけるトピックと連動して行なわれる傾向にあります。

DoS攻撃/DDoS攻撃の対策方法

オンライン活動の増加に伴い、DoS攻撃/DDoS攻撃の被害は年々増加傾向にあります。自社のサービスや信頼を守るためにも各対策を講じていくことが重要です。 ここでは、代表的な対応策を4つ紹介します。  

IPなどアクセス制限を実施する

IPアドレスやアクセス元の地域といった情報をもとに、特定のアクセスだけを制限する方法です。この方法は特定のアクセスだけを排除する方法のため、DDoS攻撃のような複数のIPを経由して行われる攻撃よりも、1つのIPからの攻撃を行なうDoS攻撃への対策の方が有効です。 DDoS攻撃に対しては根本的な対応策とはならずとも、攻撃後の被害の拡大を抑えられます。

特定の国からのアクセスを遮断する

DDoS攻撃のようなサイバー攻撃は海外のサーバーを介して行なわれることが多いため、日本国内向けに事業を展開するサービスにおいては、海外からのアクセスをすべて制限する方法もあります。 不正なIPはその所在が世界中に散らばっていることが多いため、想定できない国や地域に絞ってアクセスを遮断するといった方法を取るのも良いでしょう。

WAF、IDS/IPS、UTMなどの対策ツールを導入する

根本的な対策として効果的なのは、DDoS攻撃の対策ツールを導入することです。 代表的なツールを以下で3つ紹介します。

WAF(Web Application Firewall)

「ワフ」と呼ばれるWebアプリケーションの保護に特化したファイアウォールの一種です。WAFは、Webサービスのアプリケーション部分における通信・アクセスを監視し、不正なアクセスを検知・制限できるツールです。 各組織のネットワーク内に専用機器を設置することで柔軟で強固に対策が可能な高コストのアプライアンス型、対象となるWebサーバーにソフトウェアをインストールする低コストのソフトウェア型、カスタマイズが難しいが最も導入コストが低いクラウド型があります。

IDS/IPS(Intrusion Detection System/Intrusion Prevention System)

ネットワークへの不正なアクセスを検知・防御するシステムです。IPアドレスやポート番号等で不正アクセスを防ぐファイアウォールと異なり、IDS/IPSはパケットの中身まで監視するため、ファイアウォールで防ぎきれない攻撃に対応することが可能です。 リアルタイムで不正アクセスを検知次第システム管理者に通知するのがIDS、不正アクセスをシステム上で検知次第管理者の対処を待たずにアクセスを防ぐのがIPSとなります。

UTM(Unified Threat Management)

DDoS攻撃への対策だけでなく、アンチウイルス、Webフィルタリング等の複数のセキュリティ機能が統合されたツールです。 UTMの登場までは、状況に応じてIDS/IPSやファイアウォールを使い分けるのが良いとされてきましたが、UTMだけで様々なセキュリティ対策を行なえるため、運用コストを抑えることができる点がメリットです。

セキュリティ上のリスクを見つけて改善する

自社サービスにおけるセキュリティにおいて欠陥がないか、今一度見直すことも重要です。 具体的には以下のような施策を実施していくことが大切です。 ・セキュリティ上のリスクが見つかったら放置せず迅速に対処する ・OSやセキュリティソフトのアップデートはできる限り早期に行う ・第三者がアクセスできないよう、アクセス経路を限定する 注意したいのは、攻撃者にとっての標的を増やしていないか、という点です。例えば、ユーザーがあまり使用していないサービスを提供していた場合、攻撃者はそれをチャンスと捉えてしまいます。自社の提供するサービスの状況を改めて確認し、セキュリティ対策状況を常に把握できるようにしておくことが重要です。

(まとめ)DoS攻撃/DDoS攻撃のセキュリティ対策は必須

サーバーへ集中的な負荷をかけるDoS攻撃/DDoS攻撃には様々な攻撃方法があり、攻撃者を特定することが難しいのが現状です。攻撃の目的も金銭やいたずら、抗議活動など多岐に渡ります。 また、新型コロナウイルスによるオンライン活動の活性化に伴い、近年は企業だけでなく国家が狙われるなど被害件数も増加傾向にあり、年々問題は強まりつつあります。 しかし、不正アクセスを防ぐために、以下のようなセキュリティ対策を講じることが可能です。 ・アクセス制限の実施 ・対策ツールの導入 ・セキュリティリスクの改善 自社のサービスや信頼性を守るため、上記の活動ができているか今一度見直し、不足があれば改善していきましょう。    

[PR]提供:セキュアワークス