※本ブログは、米国時間4月17日に公開されたA10本社ブログの抄訳を基にしています。

DDoS (分散型サービス拒否)は、サイバーセキュリティの流行語として広まっていますが、さまざまな種類の攻撃を大まかにまとめた呼び名であり、実は多様な攻撃手法があるということはあまり知られていません。ほとんどのサイバー攻撃は、クレジットカードのデータ窃取やランサムウェアによる暗号化など、コンテンツ(データ)を盗んだり破壊したりするデータ侵害を目的としています。一方、DDoSはより原始的な攻撃手法なので、データ侵害などではなく、主に、特定のサービスの速度を落としたり、完全に遮断したりするために用いられます。

よくあるDDoSの使用例として、2人のプレイヤーが同じゲームサーバー上でオンラインゲームをプレイしているとします。片方のプレイヤーが勝っているときに、もう片方がゲームサーバーに向けてUDPフラッド(特定の宛先に向けて大量に生成された複数のUDPパケット)を送信すると、サーバーの速度低下やプレイの中断を引き起こすことができます。

DDoS攻撃は、ゲーム、ギャンブル、政府や軍の公共サイト、大学、金融機関、大手小売店サイトに対してよく使用されます。攻撃目的は状況によって異なりますが、例えば以下のようなものがあります。

  • ギャンブルやゲーム:ユーザーエクスペリエンスに影響を与え、競合他社へ顧客を流出させる目的
  • 政府のオンラインサービス:敵対する他国による、プロパガンダや国民に必要不可欠なサービスを停止させる目的

DDoS攻撃に対する防御方法はいくつかあります。最も一般的なのは、オンプレミス、スクラビングセンター、クラウドベースの3種類です。DDoS攻撃は副次的な影響として中間ネットワークの速度低下(被害サイトにも影響する)も引き起こすため、最終的な目標として、できるだけ発信源の近くで攻撃を排除しなければなりません。しかし、以下の理由から、発信源付近でDDoS防御を展開することは極めて困難です。

  • 攻撃は複数の場所から発生している可能性がある
  • ランダムなサービスプロバイダーによる管理の場合、リモートネットワークの制御がほぼ不可能
  • スプーフィング(なりすまし)によって攻撃元が隠される

各種のDDoS攻撃に対する防御方法を分析すれば、それぞれの長所と短所がすぐに分かります。保護するサービスの種類だけでなく、そのサービスが受ける可能性のある攻撃の種類についても理解しておくと良いでしょう。これから、3種類の防御方法の長所と短所を簡単に説明します。

図1:攻撃の伝播図
図1:攻撃の伝播図

DDoSスクラビングセンターは、広く知られたDDoS対策ソリューションのひとつで、多くのサービスプロバイダーが企業向けに提供しています。大量の攻撃(ボリューム型DDoS)の軽減に優れており、顧客のデータセンターに到達する前に攻撃を阻止することができます。その結果、サービスとインフラの両方を保護することが可能です。スクラビングはなるべく攻撃元に近い場所で展開されますが、非対称型の防御に基づいているため、顧客からサービスに到達するトラフィックしか見ることができません。つまり、トラフィックの可視性が制限されるため、緩和フィルターの精度が低下する可能性があります。したがって、このソリューションは、SYNフラッドやUDPアンプ攻撃など、ネットワーク層(レイヤ3)やトランスポート層(レイヤ4)へのDDoS攻撃を緩和するのに最適です。

オンプレミスのDDoS対策ソリューションは、ラストワンマイルに設置されます。両方向のトラフィックを見ることができるシンメトリック型が一般的で、ステートフル保護などの機能を追加できます。そのため、レイヤ7のアプリケーションレベルまでの攻撃を軽減することが可能です。大規模なDDoS攻撃はサービスプロバイダーからデータセンターに到達するトラフィックをオーバーフローさせる可能性があるため、基本的に、オンプレミス型対策を単独で使用するのはお勧めできません。サービスプロバイダーの保護をすり抜けた攻撃に対する最終手段としてよく使われています。

最後に、クラウド型DDoS対策ソリューションです。まず、クラウド型ソリューションは通常、DDoS対策だけにとどまりません。完全なサイバー保護とコンテンツ配信サービスであることが多く、主に、Webサービス保護と配信に焦点をあてています。ほとんどは、世界中にある複数のクラウドデータセンターによる分散型のサービスとして運用されており、攻撃の軽減に非常に有効です。例えば、複数の場所から攻撃が発生している場合、クラウド型ソリューションを利用すれば、攻撃を複数の拠点に分散することができます。各拠点は、もはやDDoS攻撃と呼ぶに値しないようなごく少量の攻撃を制御することになります。

こうした3種類のアプローチに加えて、サービスプロバイダーの大半は追加のDDoS対策ソリューションを導入し、DDoS攻撃から自社のネットワークを保護しているということも重要です。ネットワークは企業にとって最も大切な資産のひとつなのです。

結論として、DDoS対策ソリューションは、サービスの種類や顧客の種類を考慮して、それぞれの条件に合わせて調整するべきと言えます。

A10ネットワークスは、DDoS対策ソリューションにおけるリーダー企業として、機械学習、超低遅延、自動スケーリングを活用した独自のDDoS対策ソリューションを提供しています。A10 Thunder® Threat Protection System (TPS)は、ゲーム会社、金融、政府サービス、数多くの大手サービスプロバイダーなどで利用されています。

A10ネットワークスのDDoS対策ソリューションについて、詳しくはこちらをご覧ください。

資料ダウンロード

クラウド型DDoS対策だけでは防げない攻撃の把握と対策

DDoS攻撃をはじめとしたインターネット上の脅威は日々大規模化、巧妙化を続けており、企業が被害にあうと経済的にもブランディングにも重大な損害が発生します。多くの企業ではクラウドスクラビングサービスでの対策が取られていますが、それだけでは充分とは言えません。サイバー攻撃の現状を把握し、正しく対策を取ることが重要です。

ダウンロード