DDoS攻撃とは
DDoS攻撃とは、Webサイトなどに複数のコンピュータから大量のパケットを送りつけることで、正常なサービス提供を妨害することを目的としたサイバー攻撃の一種です。
DDoS 攻撃の定義
Distributed Denial of Service attack(分散型サービス拒否攻撃、DDoS攻撃)とは、オンラインサービスに対する攻撃で、残念ながら極めて容易に実行することができ、サイバーセキュリティチームが効果的なDDoS対策ツールを備えていない場合、これらの攻撃に対抗することは困難となります。
DDoS攻撃とは、オンラインサービスのパフォーマンスを低下させたり、除去したりすることを目的としたサイバー攻撃の一種です。ハッカーが管理する危険なデバイスのネットワーク(ボットネット)から特別に細工したリクエストを送信することで、ターゲットデバイス(例えば、ウェブサーバー)が処理に追われ、通常のトラフィックからの接続が遅くなったり、排除されたりします。一方で、ターゲットのコンピュータリソース(プロセッササイクル、ネットワークインターフェース、通信処理用のメモリ)も枯渇させます。小規模なDDoS攻撃であれば、有効なクライアントに対するサービスの応答が著しく遅くなる程度ですが、大規模なボットネット攻撃であれば、オンラインサービスを完全に停止させることも可能です。
DDoS攻撃は、子供でもできるほど簡単にできるツールがあります。さらに、ダークウェブには、「DDoS-as-a-Service」と呼ばれる誰でも低価格でDDoS攻撃を行えるサービスを提供するハッカーが存在しています。Dark Web Price Index 2022年版によると、200ドルという低価格で、DDoS対策されたウェブサイトを毎秒2万~5万のリクエストを送信して、24時間攻撃することができるとあります。保護されていないウェブサイトに対する毎秒1万~5万リクエストのDDoS攻撃であれば、1時間でわずか10ドルの価格です。
ボットネット攻撃の実態
ここ数年、DDoS攻撃を仕掛けるために使用されるボットネットの数は、その規模とともに劇的に増加しています。IPカメラや家庭用ルーターなど、主にオンラインの消費者向け機器を標的としたMiraiボットネットは、2016年にオープンソースコードとして公開され、同年、セキュリティジャーナリストのBrian Krebs氏のウェブサイトを推定620ギガビット/秒のトラフィックでオフラインにするために使用されました。当時、これは過去最大のDDoS攻撃でしたが、その後に発生したインターネットDNSサービスプロバイダーDynへの攻撃に比べれば、その規模は小さいものでした。このボットネット攻撃は、80万から250万台の感染したデバイスによって引き起こされ、1秒あたり700から800ギガビット、時には1秒あたり1テラビット以上の負荷を発生させました。Miraiはこれまでに発見された最大のボットネット攻撃ですが、Mirai Okiruと呼ばれる亜種は、なんと15億台のIoTデバイスを取り込む可能性があるといいます。
DDoS攻撃の種類
DDoS攻撃には多くの種類があり、大きく分けて「ボリューム攻撃」「プロトコルDDoS攻撃」「アプリケーション層攻撃」の3つのサイバー攻撃グループがあり、中には複数のグループの特徴を併せ持つ攻撃も存在します。
ボリューム攻撃
最も一般的なDDoS攻撃は、「フラッド攻撃」とも呼ばれるボリューム攻撃です。その目的は、大量のトラフィックを送信してターゲットを過負荷にし、必要なトラフィックが排除されるようにすることです。言い換えれば、ボリューム攻撃はパイプを詰まらせます。トラフィックの増加が長期間続く場合や、ウェブサイトの指標に変化が見られる場合(売上の減少やユーザーとのインタラクションの減少)は、ボリューム攻撃が進行中であることを示す指標となり得ます。また、ボリューム攻撃は、通常のトラフィックをすべて遮断するのではなく、単に帯域幅を低下させるだけの低レベルなイベントである場合もあります。ボリューム型 DDoS 攻撃のコストは非常に低いのに対して、ビジネスを失うコストは高いため、この種のサイバー攻撃は、攻撃を受けた組織にとって大きな被害となる可能性があります。
プロトコルDDoS攻撃
プロトコルDDoS攻撃では、OSI第3層および第4層のネットワークプロトコルが悪用され、サービスの拒否を試みます。これらの攻撃の中には、通常のプロトコル動作に依存し、単にリソースを使い果たすものもあれば、通信アーキテクチャに内在する弱点を利用するものもあります。プロトコルDDoS攻撃の最初の兆候は、プロセッサの使用率が異常に高く、特定のコンピューティングリソースが少なくなっていることです。この場合も、低レベルのボリューメトリック攻撃と同様に、低レベルのプロトコル DDoS攻撃は、大きな被害となる可能性があり、検知するのが困難な場合があります。
アプリケーション層への攻撃
アプリケーション層(OSI第7層)の攻撃は、ネットワークリソースを圧迫するのではなく、ウェブサーバーやウェブアプリケーションとそのプラットフォームといったものの弱点を突くものです。これらは、ウェブアプリケーション脆弱性攻撃とも呼ばれています。既知の脆弱性を持つ特定のコードターゲットと相互作用することで、異常な動作(パフォーマンスの低下や完全なクラッシュ)を誘発します。これらのアプリケーション層への攻撃は、通常、大量のトラフィックを伴わないため、問題の発生源を見つけることが難しく、検知が非常に困難な場合があります。
古いDDoS攻撃と新しいDDoS攻撃
DDoS攻撃の仕組みを説明するために、2つの具体的な例を見てみましょう。最も古く、最も単純なDDoS攻撃の1つであるSYN flood攻撃と、最も新しく、より技術的に複雑なNXNSAttackです。
古いタイプのDDoS攻撃であるSYNフラッド攻撃
DDoS攻撃の最も古いタイプの1つは、SYNフラッド攻撃と呼ばれ、ボリューム攻撃とプロトコル攻撃を組み合わせたものです。SYNフラッドでは、特定のタイプのTCPデータパケットであるSYNパケットが、通常「偽装」アドレスとも呼ばれる偽の送信者アドレスで、接続を要求するターゲットに送信されます。ターゲットは、指定された送信者アドレスにSYN-ACKと呼ばれる確認応答を送信することによって、リクエスト側に返信します。
通常の接続要求では、要求者はACKで返信しますが、SYNフラッド攻撃では、与えられたアドレスにデバイスが存在しないか、デバイスがあったとしても、ターゲットにSYN要求を送信していないので、応答しないかのどちらかです。このような偽のSYNリクエストが数回ターゲットを襲った場合は、ほとんど気づかないですが、ある程度の高いレベルになると、ターゲットのパフォーマンスが低下してしまいます。大規模な攻撃があった場合、ターゲットは通常、完全に打撃を受けます。1台のコンピュータから発信されるSYNフラッドは簡単にフィルタリングできますが、ボットネットに組み込まれた何十万、何百万ものマシンから発信される分散SYNフラッド攻撃は、はるかに防御が困難なものです。
DNSを経由した新たなDDoS攻撃「NXNSAttack」について
コンピュータシステムやネットワークにおける新たな悪用や脆弱性は、定期的に発見され、それらが新たな攻撃ベクトルの基礎となっています。2020年5月下旬、イスラエルのサイバーセキュリティ研究者が、キャッシュDNSサーバーがDNSクエリーを上流の権威サーバーに渡すドメインネームシステム(DNS)の脆弱性に依拠した「NXNSAttack」と呼ばれる攻撃を明らかにしました。これらのサーバーは、解決できないドメインのクエリーを、脅威者がコントロールする他のDNSサーバーに委譲することができます。この委任プロセスは、DDoS攻撃を仕掛けるために悪用される可能性があります。その結果、単純なDNSクエリーが最大1,620倍に増幅され、ターゲットに対して権威を持つDNSサーバーをクラッシュさせ、ターゲットの名前解決を妨害し、効果的にオフラインにすることができるのです。
NXNSAttack DNS Amplification Attackの何が問題なのか、詳しくはこちらをご覧ください。
DDoSサイバー攻撃のターゲットになるのは誰か?
インターネットがより複雑になり、デバイスやボットネットの数が増えるにつれ、DDoS攻撃はより攻撃的に、より頻繁に行われるようになることがわかっています。その結果、ボットネットを使ったサイバー攻撃による企業への被害はエスカレートし、被害を受けるのは大企業だけでなく、中小企業もすでに攻撃のターゲットとなっています。ここ数年、身代金を支払わない限りDDoS攻撃を受けると脅される事例が増加しています。これはRDoS攻撃と呼ばれ、専門家はこの傾向が続くと予測しています。
Cloudflareによると 「第4四半期(2021年)には、身代金DDoS攻撃が前年同期比で29%、前四半期比で175%増加し、(12月だけで)調査回答者の3人に1人が身代金DDoS攻撃の標的となった、または攻撃者から脅迫された」と報告しています。 DDoS 対策を強化するための予算を求めて経営陣に会いに行くと、おそらく「DDoS 攻撃とは何か?」と尋ねられるでしょう。技術的な詳細については CEO や CFO の目が曇るかもしれませんが、不十分な DDoS 攻撃防御による金銭面での影響については、耳を傾けてくれるはずです。ここでは、分散型サービス拒否(DDoS)攻撃によって組織にもたらされる損害について、いくつかの事実を紹介します。
- Ponemon Instituteが発表した「Cost of a Data Breach Report 2021」によると、データ侵害の平均コストは424万ドルで、ヘルスケア関連の侵害が最も高く、923万ドルであることが判明
- また、同レポートによると、データ侵害の特定と封じ込めにかかる平均時間は287日で、200日未満で終わる侵害は、200日以上続くものより30%コストが低いことがわかった
- 2021年後半、100社以上の企業が身代金を支払わない限りDDoS攻撃を受けると脅迫される事件が発生した
企業における本格的なサイバーセキュリティ対策には費用がかかりますが、企業が本格的にセキュリティ対策に取り組まない場合、さらに費用がかかると指摘することもできます。今こそ、サイバーセキュリティチームは、次のDDoS攻撃から組織を保護するための計画を立て始めるべき時なのです。
A10のソリューション
新しいタイプのDDoS攻撃が頻繁に出現していますが、インテリジェントで自動化されたA10のDDoS対策ソリューションA10 Defend Suiteは、DNSサービスを停止させる新型のDDoS攻撃を含むあらゆる種類のサイバー攻撃を防ぐための高度な防御戦略を採用しています。詳細については、A10のDDoS対策ソリューションのページをご覧ください。
攻撃者が行うIoTポート検索やリフレクター検索のトップなど、その他の見解については、DDoS Attack Mitigationの完全版をダウンロードしてください。A Threat Intelligence Report(脅威情報レポート)をご覧ください。
こちらの記事にも興味ありますか?
DDoS脅威インテリジェンスレポート
「DDoS攻撃の発生源と増加率」「ロシアとウクライナの紛争による影響」など、調査結果を元に解説。本レポートでは、DDoSの世界における最新の動向を紹介し、セキュリティ体制を改善し、壊滅的なDDoS攻撃からリソースを保護するために役立つ情報をお伝えします。
資料ダウンロード