※本ブログは米国時間2024年7月9日に公開されたA10本社ブログの日本語訳です。原文はこちらからご覧ください。

ネットワークへの常時接続は、デジタル世界を支える基盤となっており、Webサイトやオンラインサービスは多くのビジネスにとって不可欠な存在となっています。そのため、これらの重要なプラットフォームは、悪意ある者からの攻撃に常にさらされています。攻撃者が大量のトラフィックでオンラインサービスのインフラを圧倒する分散型サービス拒否(DDoS)攻撃は重大な脅威です。サービスの中断やダウンタイムを引き起こし、金銭的損失や企業イメージの悪化を招くことがあります。このブログでは、進化を続けるDDoS攻撃の近況について述べ、防御を強化するための知識を提供します。

現状の理解

大規模なボリューム攻撃がしばしば取り上げられますが、それだけではありません。DDoSの脅威は、はるかに多面的になっているのです。Microsoft社A10ネットワークスによる最新レポートでは、DDoS攻撃のための武器(ツール)の増加が懸念されています。DDoSボットネットは16%の増加、DDoS請負(DDoS-for-hire)サービスは前期比20%と急増しています。これは DDoS攻撃の頻度が増加していることも意味します。攻撃の時間は5分未満と短く、全体的な攻撃量も少ない傾向がありますが、その反面、バースト攻撃が頻繁に発生しています。Microsoft社は、2023年に1日平均1,700件のDDoS攻撃に対処したことを報告しており、これは 2022年と比べて18%の増加です。

もう1つの興味深い傾向は、攻撃ベクトルの変化です。2023年の攻撃ベクトルの割合では、TCPベースの攻撃が59%と急増しました(2022年では45%)。これは、DDoS攻撃請負ツールが利用されることが増えているものと考えられます。昨年10月に記録的なHTTP/2 Rapid Reset攻撃が発生したことを覚えていますか? これは、DDoSボットネットを活用した TCPベースの攻撃の代表的な例です。また、過去数年間、特にパンデミック時に活況だったゲーム業界に対しては、UDPアンプ攻撃とフラッド攻撃が主流でした。これらは一般的なDDoS攻撃ベクトルとして依然として広く使用されています。

また、DDoS攻撃は、ハッキングやデータ侵害などの他の悪意ある攻撃を隠すための隠れ蓑として利用されることが増えています。攻撃対象に最大限の影響を与えるために、攻撃者は、人工知能(AI)を活用して、異なる攻撃手法や自動化を組み合わせた複雑な多層攻撃を行い、最大の効果を狙うことがあります。

DDoS防御の構築

今日のDDoS攻撃に対抗するには、包括的な戦略が必要です。ここでは、防御のための幾つかの基本事項を紹介します。

ネットワークの堅牢化

最初の防衛ラインは、攻撃対象となる領域を減らすことです。サーバやファイアウォールの未使用のポートを閉じ、潜在的な侵入ポイントを最小限にします。さらに、既存のファイアウォール、ADC、その他のネットワーク機器に組み込まれているDDoS防御機能を活用しましょう。疑わしいトラフィックパターンをフィルタリングし、レート制限を実装して、アプリケーションやサービスに向かう無効なパケットをブロックするのです。

脅威情報とモニタリング

新たな脅威に対しては、プロアクティブな防御が重要です。堅牢なトラフィック分析ツールを使用してネットワークトラフィックを継続的に監視します。DDoS攻撃が近づいていることを示す異常あるいは疑わしいパターンや、DDoS攻撃に利用されるリスクがある不適切な設定のデバイスの特定などを行います。また、脅威インテリジェンスサービスから最新のDDoS攻撃の傾向と戦術に関する情報や、悪意のあるIPアドレスのリスト(ブロックリスト)を入手し活用しましょう。ブロックリストをファイアウォール、SIEM、その他のネットワークデバイスで適用して、悪意あるIPアドレスからのトラフィックをブロックします。

DDoS攻撃緩和ソリューション

実際のDDoS防御には、高いパケット処理性能と帯域幅容量に加えて、正当なユーザトラフィックに影響を与えずに攻撃を正確にブロックするといった高度な緩和技術が必要となります。DDoS防御に特化したソリューションまたはサービスの導入を検討しましょう。

  • DDoSスクラビングサービス:クラウドプロバイダまたはインターネットサービスプロバイダによって提供されるサービスを利用します。通常、常時防御またはオンデマンド防御の2つの選択肢があります。オンデマンド防御では、攻撃が検出された場合にのみすべてのトラフィックがクラウドDDoSサービスにリダイレクトされ、スクラビングされます。これはコスト効率の高いソリューションですが、トラフィックをサービス側にリダイレクトすることで実現するため、ダウンタイムが長くなる可能性があります。常時防御の利点は、トラフィックが常にクラウドサービスを通過し、必要に応じて検出と緩和が行われるため、手間がかからず、緩和にかかる時間が短くなることです。しかし、常時防御サービスはより高価になる傾向があり、平時でもエンドツーエンドのレイテンシが大きくなる可能性があります。
  • オンプレミスDDoS防御:ネットワーク全体やサービス インフラストラクチャを保護するため、検知を担うDDoSスクラビングセンタを使用して独自のDDoS防御を構築します。ミッションクリティカルなサービスインフラの場合、DDoS緩和アプライアンス製品をインラインに配置すると、トラフィックの迂回による遅延を回避しながらリアルタイムの緩和を実現できます。緩和までの時間が短縮され、手動介入が少なくなり、CAPEXとOPEXが予測しやすくなるという利点があります。

小規模なデータセンターやネットワークを保護する必要がある場合、ハイブリッド DDoS 保護が最適です。これは、クラウドベースの DDoS スクラビングサービスと、ネットワークのエッジに設置されるインライン型の顧客構内機器(CPE)で構成されます。ネットワーク層とアプリケーション層の両方の攻撃に対して常に効果的な緩和を提供し、トラフィック量が、顧客側アップリンクのインターネット接続容量を超えた場合であっても、トラフィックをスクラビングサービスにリダイレクトすることができます。

ワークフローの準備

明確に定義されたインシデント対応計画も不可欠です。この計画では、役割と責任を定めたエスカレーションプロセス、緩和操作プロセス、サービス監視とステータスチェック、回復手順、ログ収集、インシデントレポートなど、DDoS攻撃に対処するための全体的なワークフローと手順を概説する必要があります。さらに、攻撃を受けている間のダウンタイムとデータ損失を最小限に抑えるために、堅牢なフェイルオーバー/災害復旧手順とデータバックアップが確実に実施される必要があります。

重要なのは、自らの組織だけに頼らないことです。DDoS攻撃対策のパートナー(ベンダやサービスプロバイダ、DDoS攻撃対応チーム)から攻撃の発生時にすぐに支援を受けられるようにしておくことが重要です。さらに、導入したDDoS緩和ソリューションに、攻撃の開始時や進行中にリアルタイムで適応できる自動エスカレーションワークフローなどの機能が含まれていると有益です。

進化する防御対策: 適応的および多層的な防御アプローチ

DDoS攻撃緩和の精度と信頼性に関しては、以下のようにさらに慎重な検討が必要です。

  • 高度な緩和技術:多様なDDoS攻撃には、その影響を軽減するためのそれぞれ特定の対策が必要です。適切な対策を適応的かつ効率的に適用することで、正当なトラフィックとデバイスのパフォーマンスに影響を与えないことが重要です。
  • 多層防御: 攻撃対策に万能薬はありません。ゼロデイ攻撃を軽減するには、地理情報ベースのトラフィックポリシー、脅威インテリジェンスベースの拒否リスト、AI/機械学習ベースの防御など、階層化された適応型防御メカニズムを実装します。これには、ベースライン設定、パケットヘッダの検査、暗号化されたDDoS攻撃に対するセッションベースの振る舞い追跡などの高度な技術が含まれる場合があります。
  • 自動化とオーケストレーション:自動応答メカニズムを実装して、DDoS 攻撃を迅速に検知し、緩和します。手動操作と人的な対応時間、緩和までの時間が短縮され、効果的なDDoS防御ワークフローを実現できます。

A10がどのように役立つか

DDoS防御は継続的なプロセスです。上述のDDoS防御戦略を実装し、警戒を怠らないことで、オンラインサービスの耐障害性を維持できます。

A10 Defendは 、優れた拡張性、経済性、精度を備えた、統合DDoS保護ソリューションです。最新のDDoS防御を実現し、最適なユーザエクスペリエンスおよび加入者エクスペリエンスを確保します。トップサービスプロバイダ、企業、クラウド事業者、オンラインゲーム事業者で使用されているA10 Defend Suitesは、次の4つの主要コンポーネントで構成されています。

  • A10 Defend Detector:異常なトラフィックを効率的に発見する検知機能を提供
  • A10 Defend Mitigator:AI/機械学習を活用し、最新のDDoS攻撃をインテリジェントに緩和する機能を提供
  • A10 Defend Threat Control:DDoS攻撃の脅威と武器に関するカスタマイズ可能で実用的な洞察をプロアクティブに提供

A10 Defend Orchestrator:シームレスで自動化されたDDoS防御の実行を可能にする集中管理環境を提供