進化を続けるサイバー攻撃。その中でも脅威を増し続けているのが「DDoS攻撃」です。従来型のDoS攻撃は「DDoS攻撃」へと、そしてその攻撃手法は「マルチベクトル型」へと変化しており、多くの企業・団体がその対応に頭を抱えています。
そのため、DDoS攻撃の概要や種類を理解したうえで、効果的な対策を講じることが大切です。
今回は、DDoS攻撃の進化と考え得る対策法について、ご紹介します。
目次
DDoS攻撃とは?
DDoS攻撃は、近年問題視されているサイバー攻撃ですが、「どのような攻撃か」を具体的に知らなければ対策できません。セキュリティ対策を講じるために、DDoS攻撃の概要を確認しておきましょう。
- DDoS攻撃の定義と特徴
- DoS攻撃との違い
- DDoS攻撃の対策が必要な理由
DDoS攻撃の定義と特徴
DDoS攻撃(Denial of Service attack)とは、インターネット上に分散された多数のコンピュータやデバイスから、標的のサーバやネットワークに対して大量の通信リクエストを一斉に送りつけ、サービスを停止させるサイバー攻撃の一種です。
DDoS攻撃は「分散型サービス拒否攻撃」と呼ばれ、攻撃元が1台ではなく、数百〜数万台のコンピュータが使われる点が特徴です。多くの場合、マルウェアによって遠隔操作されているボットネット(Botnet)が利用されており、人の介入を最小限に抑えた自動化攻撃体制が整えられています。
具体的に、下記のような特徴があります。
- 攻撃元のIPアドレスが世界中に分散しており、特定が難しい
- 通信自体は正規の形式で送られるため、ファイアウォールやIPSでは防げないケースが多い
- 攻撃を受けたサービスが完全停止し、業務や売上に大きな損害を与える
現在では、政府機関や金融機関・大企業だけでなく、個人ブログや小規模ECサイトも被害対象です。そのため、DDoS攻撃の特徴を理解したうえで、セキュリティ対策を講じる必要があります。
DoS攻撃との違い
DDoS攻撃とDoS攻撃は混同されやすいですが、下記のような違いがあります。
|
サイバー攻撃の種類 |
DDoS攻撃 |
DoS攻撃 |
|
攻撃元 |
単一(1台のPCなど) |
複数(ボットネットなど) |
|
検知のしやすさ |
比較的しやすい |
非常に困難 |
|
攻撃の強度 |
限定的 |
圧倒的に強力 |
|
防御の難易度 |
低~中程度 |
高い(高度な対策が必要) |
DoS攻撃は1台のコンピュータから攻撃が仕掛けられますが、DDoS攻撃は複数のコンピュータから一斉に攻撃が仕掛けられるため、攻撃対象にかかる負荷が大きくなります。
DoS攻撃と比べてDDoS攻撃は、検知と防御が極めて難しいため、より高度な防御策や専門的なツールが必要です。
DDoS攻撃の対策が必要な理由
DDoS攻撃の脅威は年々深刻化しており、その影響は技術面だけにとどまりません。下記のような影響・二次被害を避けるために、DDoS攻撃への対策が求められます。
- サービス停止による売上・信用の損失
ECサイトや会員制サービスでは、数分のダウンでも数十万円〜数百万円の損害が生じます。 - 未経験者・スキルなしの担当者が被害を拡大させる
攻撃は人ではなく「脆弱なシステム」を狙います。スキルがない担当者や知識の浅い管理者が対応することで、被害が拡大するケースも少なくありません。 - 対策を疎かにすると、迅速な対応ができない
セキュリティ対策を怠った場合、突如攻撃を受けて復旧までに数日〜数週間を要する可能性があります。 - セキュリティ意識が低いレッテル貼られる
サイトやサービスの利用者に迷惑が生じると、企業・サービスイメージの低下につながります。
DDoS攻撃は、発生してから対策しても後の祭りになる可能性が高く、事前の備えが必要です。
DDoS攻撃の目的
DDoS攻撃は単なる迷惑行為ではなく、明確な目的や動機をもって行われるケースがほとんどです。
攻撃者の目的を知っておけば、DDoS攻撃の対策を講じられるため、主な目的をチェックしておきましょう。
- 競合他社による営業妨害
- 金銭目的
- 企業や組織への抗議・主張
- 嫌がらせ・愉快犯的な攻撃
- 他のサイバー攻撃のカモフラージュ
競合他社による営業妨害
DDoS攻撃は、攻撃対象のサーバやネットワーク・Webサイトなどに過剰な負荷をかけ、正常にサービスを提供できなくするサイバー攻撃です。そのため、不正行為として法律にも抵触しますが、競合他社によるDDoS攻撃も存在します。
DDoS攻撃によって、競合のサービス提供を停止させれば、自社のサービスへ流動させられるため、営業妨害やサービス停止を目的として攻撃してくるケースもあります。主に、アクセス数が収益に直結するECサイト・予約サイト・Webメディア運営会社などで、重要なキャンペーンやセール期間中にサービスダウンを目的として実施されます。
社内に専門のセキュリティ担当者がいなかったり、外注のシステム管理業者に任せきりで情報が不足していたり、未経験者やスキル不足の人材が保守を担当していたりすると、DDoS攻撃に対して無防備で被害が悪化しやすいので要注意です。
金銭目的
金銭目的のサイバー攻撃は数多く存在しますが、DDoS攻撃も例外ではありません。攻撃者はサービスを停止させた後に、「攻撃をやめてほしければ身代金を払え」とランサムDDoS(RDoS)を仕掛けてくる可能性があります。
例えば、仮想通貨取引所へDDoS攻撃を仕掛け、数千万円のビットコインを要求したり、医療機関へ攻撃してからデータ復旧の名目で身代金を請求したりなどです。
事前にWAF導入やCDN活用などのDDoS攻撃対策をしていない企業ほど、金銭を得やすいと判断され、ターゲットにされる傾向があります。
企業や組織への抗議・主張
企業のサービス停止や金銭目的だけでなく、政治的・社会的主張を目的としたDDoS攻撃も多発しています。抗議・主張を目的としたDDoS攻撃は、「ハクティビズム(Hacktivism)」と呼ばれ、政府機関やマスメディア・大手企業が標的になりやすいです。
例えば、環境団体が石油企業のサイトを攻撃したり、海外の政治団体が日本の公的機関サイトを一時停止させたりと、サイバー空間におけるデモ行為も起きています。
また、組織や企業への不満やクレームがエスカレートして、DDoS攻撃に発展するケースもあります。
嫌がらせ・愉快犯的な攻撃
意外と多いのが、個人的な恨みや嫌がらせ、愉快犯によるDDoS攻撃です。主なターゲットは、個人運営のブログやSNSアカウント、フリーランスのポートフォリオサイトなど、比較的セキュリティが手薄な個人サイトに多く見られます。
具体的には、匿名掲示板で誹謗中傷された相手のブログを攻撃したり、SNSの炎上事件に便乗して特定のアカウントを攻撃したりと、個人に対する嫌がらせや愉快犯的な攻撃が挙げられます。
また、個人だけでなくニュースやSNSで炎上した企業や団体に対して、愉快犯的な動機でDDoS攻撃を仕掛けるケースも存在します。
他のサイバー攻撃のカモフラージュ
DDoS攻撃は、他の攻撃を隠すための陽動(カモフラージュ)として使われる可能性があります。DDoS攻撃の特性上、攻撃者は大量のアクセスでセキュリティチームの注意をそらせるため、以下のような攻撃を仕掛けやすくなります。
- 個人情報の盗難(情報漏えい)
- 管理者アカウントの乗っ取り
- サーバへのマルウェア設置
他のサイバー攻撃へのカモフラージュとしてDDoS攻撃を仕掛ける攻撃者は、高度なスキルを持っているケースが多く、初心者が運用しているサイトや、小規模事業者のWebサービスが狙われやすい傾向です。
DDoS攻撃の種類
DDoS攻撃にはさまざまな手法があり、それぞれ異なる通信プロトコルや弱点を突き、ターゲットのシステムを機能不全に追い込みます。代表的なDDoS攻撃の種類は、下記のとおりです。
- SYNフラッド攻撃・FINフラッド攻撃
- ACKフラッド攻撃
- UDPフラッド攻撃
- DNSフラッド攻撃
- HTTP GET/POST Flood攻撃
- Slow HTTP DoS Attack
SYNフラッド攻撃・FINフラッド攻撃
SYNフラッド攻撃・FINフラッド攻撃は、SYN(接続要求)とFIN(切断要求)の通信手順によりサーバへ負荷をかける攻撃手法です。インターネット通信では、まず「SYN(同期)パケット」を使って接続要求を送ります。SYNフラッド攻撃は、大量のSYNパケットを送りつけてサーバの接続待ち状態を飽和させ、正常な通信をできなくする攻撃です。
対して、FINフラッド攻撃とは通信終了時に送信される「FINパケット」を大量に送り、異常な終了処理をサーバに強制し、リソースを浪費させる攻撃です。
ACKフラッド攻撃
ACK(Acknowledgment)フラッド攻撃は、TCP通信における「受信確認応答(ACK)」パケットを大量に送信することで、ネットワーク機器やサーバのリソースを枯渇させ、サービスの応答を低下・停止させるDDoS攻撃の一種です。
本来ACKパケットは、通信相手からのデータを正しく受け取った旨を知らせる役割を持ち、通常のやり取りで頻繁に送受信されます。そのため、ACKフラッド攻撃ではパケットの内容自体が正規に見えるため、従来のセキュリティ機器では不正な通信として認識されにくく、防御が難しいのが特徴です。
また、ACKフラッドはSYNフラッド攻撃のような接続確立要求ではなく、「確立済みの接続」を装って行われるため、通信の追跡や遮断がさらに困難です。
UDPフラッド攻撃
UDP(ユーザーデータグラムプロトコル)は、コネクションレスで軽量な通信方式です。UDPフラッド攻撃では、無差別にUDPパケットを送りつけて、サーバ側に大量の応答処理を強要します。UDPフラッド攻撃には、主に下記の2種類があります。
- ランダム・ポート・フラッド攻撃
ターゲットのサーバに対して、ランダムなポート番号に向けてUDPパケットを大量に送信します。サーバは各パケットに対して「このポートは開いていません」とICMPエラーメッセージを返す必要があり、その処理が繰り返されることでサーバの負荷が急増します。 - フラグメント攻撃(UDP Fragmentation Attack)
意図的に分割されたUDPパケット(フラグメント)を送信し、サーバに再構築処理を強要させます。多くのフラグメントが意図的に破損・欠落しているため、再構築処理が失敗し続け、リソースを浪費させる攻撃です。
どちらの手法も、正常な通信に見せかけて処理を妨害するため、検知やブロックが難しいです。
DNSフラッド攻撃
DNS(Domain Name System)フラッド攻撃は、Webサイトのアクセスに不可欠な「ドメイン名の名前解決システム」を標的とするDDoS攻撃です。攻撃者は、大量のDNSリクエストをDNSサーバに対して一斉に送信し、名前解決処理を過負荷状態にして応答不能にさせます。
DNSが停止すると、Webサイトそのものが「存在しない」ように見えてしまうため、ユーザーは接続すらできません。つまり、表向きにはサーバに異常がないにも関わらず、サービスが停止状態になるのです。
HTTP GET/POST Flood攻撃
HTTP GET/POST Flood攻撃は、アプリケーション層を狙ったDDoS攻撃の代表格で、Webサーバに正規の形式を装ったリクエストを大量に送信して、処理能力を限界に達させ、サービスダウンを狙う攻撃手法です。
どちらもブラウザとWebサーバ間で情報をやり取りするための通信規格HTTP(Hyper Text Transfer Protocol)リクエストを対象とした攻撃ですが、下記のような違いがあります。
- HTTP GET Flood攻撃
画像・HTML・CSSなど静的コンテンツの取得要求を連続して送る - HTTP POST Flood攻撃
フォーム送信のような処理負荷のログイン・注文処理など高負荷なリクエストを連発させる
HTTP GET/POST Flood攻撃は、一見すると通常のアクセスと見分けがつかないため、従来型のファイアウォールでは対処が難しい問題点があります。また、アクセス元がボットネットなどで分散されていると、IP制限すら無力になるため検知が難しいです。
Slow HTTP DoS Attack
Slow HTTP DoS(スローHTTP攻撃)は、あえて通信を「極端に遅く」行うことで、Webサーバに対して無駄な接続を維持させ、同時接続数の上限達成を狙うDDoS攻撃です。主な手法は、下記の3種類です。
- Slowloris攻撃
HTTPヘッダーを断続的に送って接続を長時間保持する - Slow POST攻撃
POSTデータの送信を少しずつ行い、応答を遅らせる - Slow Read攻撃
サーバから送信されたデータを低速で読み取り、応答時間を引き延ばす
Slow HTTP DoS Attackでは、サーバが「正規ユーザーが入力を完了していないだけ」と誤解し、接続を切れません。結果的に、新たな接続ができなくなり、正規ユーザーのアクセスが遮断されます。
DDoS攻撃対策が「難しい」と言われる理由
DDoS攻撃は、数あるサイバー攻撃の中でも対策が難しい傾向にあります。DDoS攻撃対策が難しい理由は、下記のとおりです。
- 通信自体が正規の形式で行われる
- 攻撃元が世界中に分散されている
- 攻撃の種類が多岐にわたり、それぞれ対策が異なる
- 対策に高度なスキルや知識・ツールが必要
DDoS攻撃の多くは、正規のプロトコルを使用して通信されるため、ファイアウォールやアンチウイルスソフトでは「不正なアクセス」として検知しづらいです。
さらに、DDoS攻撃では、ボットネットと呼ばれる世界中のデバイスを使って同時攻撃を仕掛けるため、IPアドレスが無数に分散しており、IP制限などの単純な防御策では持続的な防衛が難しくなります。
先ほど解説したとおり、DDoS攻撃には数多くの手法が存在し、それぞれに適した対策も異なります。そのため、すべての攻撃に一律で対応できるツールや仕組みはなく、複数の対策を組み合わせた多層防御が求められるため、「対策が難しい」と言われます。
DDoS攻撃を対策するには、一定の知識・スキル・コストがかかるため、初心者には対策が難しい特徴があります。
効果的なDDoS攻撃対策方法
DDoS攻撃は防ぐのが難しいサイバー攻撃ですが、正しい知識と対策を講じれば、リスクを最小限に抑えられます。下記の効果的なDDoS攻撃対策を実施して、セキュリティ対策を強化しましょう。
- トラフィック監視の強化
- ファイアウォール・ルーターの適切な設定
- 攻撃検知・アラートシステムの導入
- WAF(Web Application Firewall)の活用
- 専用ツール・サービスの利用
トラフィック監視の強化
DDoS攻撃の初期段階では、普段と異なるアクセスが発生するため、リアルタイムで通信量や接続状況を監視する体制を整えましょう。トラフィック監視を強化する具体的な方法は、下記のとおりです。
- サーバ監視ツール(Zabbix、Nagios、Datadogなど)でトラフィック量を常時チェック
- 異常なパケット数や接続試行回数をログで記録
- 平常時の通信パターンを把握し、基準値を設定
トラフィック監視は、未経験者でもGUIで操作できるツールも多く、未然にDDoS攻撃を検知する対策としておすすめです。
ファイアウォール・ルーターの適切な設定
企業ネットワークの最前線にあるファイアウォールやルーターの設定を見直すだけでも、DDoS攻撃に対する基本的な防御力を高められます。ファイアウォール・ルーターの設定を見直す際は、下記のポイントを実施しましょう。
- 不要なポートの閉鎖
- ICMPのレート制限
- パケット数・接続数に応じたフィルタリングルールの導入
多くの中小企業では、ファイアウォールを初期設定のまま使用しているケースが多く、セキュリティホールになりやすいのが現状です。設定を見直すだけでも、手遅れになる前にDDoS攻撃を防ぐ対策として有効です。
攻撃検知・アラートシステムの導入
異常なアクセスを即時に察知できる自動アラートシステムの導入は、DDoS攻撃対策の中でも効果的な対策です。主な攻撃検知・アラートシステムの例は、下記のとおりです。
- AWS GuardDuty(クラウド環境の脅威検知)
- Suricata(オープンソースのIDS/IPS)
- CloudflareのDDoS通知機能(自動ブロックと同時にメール通知)
検知の遅れが被害拡大を招くため、攻撃検知・アラートシステムを導入して、早期対応しましょう。
WAF(Web Application Firewall)の活用
WAF(Web Application Firewall)は、アプリケーション層の攻撃を防ぐための防御壁です。主に、HTTP GET/POST FloodやSQLインジェクションなどの攻撃に強く、Webサイトを守るために欠かせない対策です。WAF(Web Application Firewall)を活用すれば、下記のようなサイバー攻撃を防げます。
- HTTP Flood
- XSS(クロスサイトスクリプティング)
- SQLインジェクション
主にアプリ層を攻撃するDDoS攻撃に有効的で、クラウド型WAFであれば専門知識がなくても比較的簡単に導入・運用できます。
専用ツール・サービスの利用
DDoS攻撃に特化した防御ツールやセキュリティサービスを活用すれば、確実に効果的な対策ができます。近年では、下記のような未経験者でも導入しやすいクラウド型のツール・サービスが充実しています。
- Cloudflare
- AWS Shield
- Akamai Kona Site Defender
- Radware DefensePro
クラウド型サービスは月額制・従量課金型が多く、導入コストを抑えられるのも魅力です。口コミや評判、アフターサポートの充実度などを比較し、自社に適したDDoS対策ツールを導入しましょう。
適切なDDoS攻撃対策を始めよう
DDoS攻撃は、検知・対策が難しく、気づいたときには手遅れの状態になっている可能性が高いです。攻撃に対処できなければ、Webサービスの提供が停止・遅延し、利用者満足度の低下につながります。
検知・防御が困難なDDoS攻撃でも、攻撃目的と特性を理解したうえで適切な対策を実施すれば、未然に攻撃を防げます。DDoS攻撃の特性や種類を理解したうえで、自社に合った対策法を実行しましょう。
DDoS攻撃のように進化し続けるサイバー攻撃へ対処するためには、下記のサイバー攻撃被害事例と対策をまとめたホワイトペーパーをご覧ください。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。
- この記事を監修した人
- 16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
DAIKO XTECHに入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。 - DAIKO XTECH株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課 - 中須 寛人
