DDos攻撃とは?仕組みから事例、リスク対策までわかりやすく解説
DDos攻撃は最新のサイバー攻撃テクニックというわけではありません。それにもかかわらず、現在でも大きな被害をもたらす攻撃手法として使われています。DDos攻撃とはいったい何なのか、仕組みからその脅威リスク、対策まで身近な例えを交えてわかりやすく解説します。
DDos攻撃とは
DDos攻撃(ディードス攻撃)とは、インターネットを利用して行われるサイバー攻撃の手法の一つです。悪意ある者が、攻撃対象となるサーバーに、ボットを使ってリクエストを大量に送りつけ、インターネット通信を阻害し、Webサイトやオンラインサービスの運営を妨害します。「Distributed Denial of Service attack」の略称で「分散型サービス拒否攻撃」とも言います。
この手法が最近特に注目される理由として、公益性が高いことが挙げられます。DDos攻撃の主な標的は、企業や公共サービスです。被害が大きくニュースになりやすいため、注目が集まりやすく、攻撃者はニュースなどを通じて攻撃の成果を確認、または周知できます。
そのほか、以下の理由で、DDos攻撃を行うことがあります。
- 専門的な知識や高度なツールがなくても比較的容易に実行可能
- 標的を絞ることができる
- 対策が難しい
- 効果が大きい
- 攻撃者の追跡が困難
以上のように、DDos攻撃は、手法自体は古いものの、攻撃者にとってさまざまな利点があるため、現在でも数多く確認される攻撃手法です。このDDos攻撃を理解するためには、まずインターネットの仕組みを理解しておく必要があります。
インターネット通信の仕組み
DDos攻撃を理解するために、まずインターネットでWebページを閲覧する仕組みをおさらいしておきましょう。パソコンなどの端末で目的のWebサイトを閲覧する場合、保存しているブックマークへのアクセス、Webページのリンク、またはアドレスを直接入力して送信(リクエスト)します。送信されたリクエスト情報は、Webページを格納しているWebサーバーへ送られます。
これを流通の仕組みに例えて説明してみます。
ユーザーからの注文(リクエスト)を受けると、製品倉庫(Webサーバー)はそのリクエストに応じて製品(Webページのデータや画像、動画など)を発送します。つまり、サーバーからWebページの内容をユーザーのパソコンのブラウザ(Edgeなどのインターネット閲覧ソフト)などに注文通りに送り届けます。
その結果、画面には希望のWebページが表示されます。これが基本的なインターネット閲覧の仕組みです。
インターネット通信の弱点
インターネット通信はメリットも多いですが、弱点もあります。その弱点とは、サーバーやネットワークにアクセスが集中すると処理能力が追い付かなくなって、要求されたリクエストを返せなくなることです。
その結果、Webページが開かなくなるなどの障害が発生します。チケット予約や限定品の販売などでアクセスが集中し、サーバーダウンが起きたという話はよく聞く例でしょう。
流通で例えてみます。
このように、ある程度の余裕は見込んでいても、一度に膨大な量の注文(リクエスト)が舞い込むと倉庫(サーバー)ではリソースが不足し、キャパオーバーとなって注文をさばききれなくなります。大混乱になるだけでなく、最悪の場合は出荷が停止(ページのアクセスが不能)になります。
DDos攻撃は、そのような弱点を狙ったサイバー攻撃です。大量のリクエストをサーバーやネットワークに人為的に送りつけ、正常なインターネット通信を阻害します。そして、Webサイトやオンラインサービスの運営を麻痺させたり停止させたりします。
DDos攻撃の仕組み
DDos攻撃では、サーバーやネットワークに大きな負荷をかけるために複数の端末(パソコンやIoT機器など)を利用します。この複数の端末は、攻撃者が自前で用意するわけではなく、あらかじめマルウェアに感染させて遠隔操作を可能にした「ボット」と呼ばれるネット上の端末を使用します。
なぜ、そのようなボットが複数作れるのでしょうか。それは、天文学的台数の世界中のパソコンやIoT機器がインターネットにつながっているためです。
通常、これらの端末にはセキュリティ対策が施されていて、簡単には外部から接続できません。しかし、セキュリティ対策が不十分な端末も世界中に多数存在します。攻撃者はこれらの端末を見つけ出し、フィッシングやマルウェア感染、脆弱性の悪用などさまざまな手法で乗っ取ります。このプロセスを繰り返すことで、多数のボットを確保しているのです。
攻撃者は確保したボットで、「ボットネット」という大規模なネットワークを構築します。そして、攻撃の踏み台にします。ボットネットの端末は命令に従い、攻撃対象へ大量のパケット(リクエスト)を一斉に送信するというわけです。
攻撃対象のサーバーは、処理能力を超えた大量のパケットで過負荷状態になり、処理が追いつかなくなります。その結果正規の閲覧者や利用者のアクセスが困難になったり、処理速度が著しく低下し、最悪の場合サーバーがダウンしてサービス停止に陥ります。
DDoS攻撃とDoS攻撃の違い
DDos攻撃とよく似た言葉に、DoS攻撃(ドス攻撃)があります。これは「Denial of Service attack=サービス拒否攻撃」を指し、単一の端末や回線、または小規模ネットワークを使用して特定のサービスを妨害する攻撃手法です。DDoS攻撃のように膨大な量の端末を用いるのではなく、単独の端末や限られた回線から大量のリクエストを送り付けます。
DDoS攻撃の場合、多数のリクエストの中からリクエストの正偽を判別するのは非常に困難です。しかし、DoS攻撃は単一の攻撃元による通信のため、攻撃元を特定することができる可能性があります。特定できればその通信だけを遮断したり、不正なリクエストをキャンセルしたりして、他の正規なリクエストを優先することができます。攻撃者の通信に対し適切な対処をすれば、DoS攻撃の影響はある程度軽減可能です。
DDoS攻撃が行われる動機
DDos攻撃は何のために行われるのでしょうか? 現在の被害の傾向からは主に以下のような動機が考えられます。
| DDos攻撃が行われる動機 | |
|---|---|
| 妨害行為、私怨 | 特定の企業やコミュニティー、サークルなどに対しての攻撃は、嫌がらせや業務の妨害が主な目的です。サービスを停止させて、経済的な損失を与える目的で行われる場合もあります |
| 抗議活動 | 政治的な問題や企業の不正などに対する義憤を動機として攻撃が行われることがあります。私的な制裁が目的の場合もあります |
| 思想的背景 | 宗教やイデオロギーといった問題で衝突が起きた場合、相手に対する攻撃の意思表示を目的として行われます。相手勢力の拡大を阻止することが目的の場合もあります |
| 国家間の摩擦 | 国家間で戦争や紛争が起きている場合、プロパガンダや正当性の誇示、アピールなどを拡散できないようにすることが目的で行われます。また、情報インフラを妨害する目的で行われる場合もあります |
| 示威的行為 | 自分の能力を誇示したり、攻撃の成功によって満足感を得たりすることを目的として行われます。愉快犯的な側面もあります |
| 複合攻撃の手段 | DDos攻撃を仕掛け、防御のためにその対応を行っている間にランサムウェアなどのほかのサイバー攻撃を行うことがあります。「ランサムDDos攻撃」のような複合攻撃の手段として用いられます。また、複合攻撃の取りやめと引き換えに身代金を要求することもあります |
DDoS攻撃に狙われやすいサービスと被害事例
最近特にDDos攻撃に狙われやすいサイトやサービスには、以下のようなものがあります。事例とあわせて紹介します。
| 狙われやすいサービス | DDos攻撃がもたらす被害 | 被害事例 |
|---|---|---|
| 企業のWebサイトやECサイト、金融機関や医療機関のWebサービス | ・運営企業の経済的な損失や信用の失墜 ・顧客離れによるシェア率の低下 ・「ランサムDDos攻撃」のような複合攻撃による身代金の支払い |
2023年、DNSランダムサブドメイン攻撃によってWebサイトが一時的に接続できなくなった |
| 政府機関や地方自治体 | ・各種公的サービスの停止による国民への直接的な影響 ・政府や地方自治体の威信の毀損 |
2022年行政機関のポータルサイトがDDos攻撃を受けて一時的に閲覧できなくなった。海外からの攻撃と判明 |
| ISP(インターネット通信会社) | ・ネットの遅延 ・電話がつながりにくいなどのトラブル ・サービスの停止 |
2023年、DNSランダムサブドメイン攻撃によってWebサイトが一時的に接続できなくなった |
| SNS | ・ユーザーのログイン妨害 ・サービスの停止 ・言論活動や宣伝活動の封殺 |
2024年、動画配信サイトのサーバに大規模なDDos攻撃があり、視聴しづらくなるシステム障害が発生 |
| オンラインゲーム | ・ユーザーのアクセス、ログイン妨害 ・プレイ中の通信遅延 ・ユーザーのゲームデータの消失 ・運営企業の経済的な損失 |
2024年、国内企業が運営するオンラインPRGにDDos攻撃が行われ、世界中にあるデータセンターに影響が波及。ログインしにくい状態になった |
DDos攻撃の種類
DDos攻撃には、以下のような種類があります。それぞれ流通に例えて、わかりやすく解説します。
UDPフラッド攻撃
UDPフラッド攻撃とは、大量のUDPパケット(映像や音声のストリーミングなどで使用されるパケット)を攻撃対象のサーバーに送信し、処理能力を超えるよう負荷をかける攻撃です。処理できないほどの大量のUDPパケットが送られ、正規のパケット処理ができなくなり、サービスが妨害されます。
これは、製品倉庫に大量の意味不明な伝票が送られてきているのと同じ状態です。倉庫の職員たちはそれを確認し処理しようとしますが、内容が意味不明、かつ大量に来るため処理に時間を取られ、正規の注文に対応できなくなります。それと同じような状況を、通信環境上で引き起こすのがUDPフラッド攻撃です。
SYNフラッド攻撃
SYNフラッド攻撃とは、インターネット通信上の接続プロセスの仕組み、つまりTCP接続で行われるハンドシェイクを悪用した攻撃です。攻撃者は、大量のSYNパケット(接続要求)を攻撃対象に送信し、未完了の接続状態を大量に生成することで、サーバーのリソースを枯渇させます。
流通に例えると、SYNパケット送信は、顧客から製品倉庫への在庫確認の電話にあたります。在庫確認の電話があると、倉庫の職員は在庫があることを確認し、注文するかどうか尋ねます。
ここで、もし顧客から「返事をするから、そのまま電話を切らずに待ってほしい」と言われたとしましょう。この状態になると、別の顧客からの問い合わせは、別の回線を使用することになります。そして、その2番目の顧客からも「電話を切らずに待ってほしい」と言われたら、さらに別の回線を使用します。
SYNフラッド攻撃は、この仕組みを逆手に取り、悪意ある者(たち)が製品倉庫に対して同時多発的に「電話を切らずに待ってほしい」という要望を大量に出すのと同様の行為です。
サーバーのリソースは無限にあるわけではありません。製品倉庫が「電話を切らずに待ってほしい」という要望を大量に受けてしまえば正規の顧客からの注文に応じられなくなるように、大量のSYNパケットが送信されればサーバーの正常な動作が阻害されます。
DNSフラッド攻撃
DNSフラッド攻撃とは、DNSサーバー(名前解決サーバー)に大量のDNSクエリ(問い合わせ)を送信してDNSサーバーを過負荷状態にし、正規なユーザーからのドメインのリクエスト処理を妨害するDDoS攻撃の一種です。
Webページが表示される簡単な仕組みを前述しましたが、実際はさまざまな経路を経ています。その一つが、DNSサーバーです。ユーザーからリクエストされたドメイン(ホームページのURLなど)は、最初にDNSサーバー(インターネットの住所録)に送られます。
DNSサーバーは、そのリクエストに紐づいたIPアドレスを「住所録」から参照してユーザーのデバイスに送ります。デバイスは、その情報をもとにWebサーバーにアクセスしてページを表示します。
DNSサーバーとWebサーバーは、流通で言う管理棟と製品倉庫のような関係性です。顧客からの注文リクエストが入ったら、管理棟がその情報をもとに注文の製品を出荷するトラックバース番号(荷受けトラックを停車させる位置)を指定します。次に、発送したい荷物の配送指示が製品倉庫に出され、顧客に荷物が発送されます。
DNSフラッド攻撃は、悪意ある者が、意味のない大量の注文を管理棟へ送り付けているのと同じ状態です。管理棟が大量の注文を受けてその処理が間に合わなくなり、配送指示ができなくなれば、顧客に荷物が届けられません。それと同じように、DNSフラッド攻撃によって大量のDNSクエリを受けることで、Webページが開かなくなります。
ACKフラッド攻撃
ACKフラッド攻撃とは、すでに確立されたTCPセッション(接続経路)に対して、大量の不正なACKパケット(確認応答パケット)を送信する攻撃です。その処理のためサーバーやネットワーク機器は過負荷となり、正常な通信を処理できなくなりサービスが妨害されます。
流通で言えば、悪意ある者がすでに配送された荷物の偽造納品伝票を、倉庫に大量に送りつける行為と同じです。
正規のものと見分けがつきにくい納品伝票を大量に送り続けられると、倉庫の業務が混乱し、本来の受注や発送作業が停止してしまいます。それと同様に、不正なACKパケットを大量に送りつけて正常な通信処理を妨げるのが、ACKフラッド攻撃です。
Low and Slow攻撃
Low and Slow攻撃とは、正規に見えるアプリケーショントラフィックやHTTPリクエストを非常に低速で送信し、通常のトラフィックとの区別を難しくしてセキュリティ対策による検知を回避しながら、長期間にわたりサーバーのリソースをひっ迫させサービスを妨害、停止させる行為です。帯域幅をほとんど必要としないため、単一のコンピュータまたは小規模なボットネットでも実行できます。
流通に例えて言えば、悪意ある者が製品倉庫に電話で注文するときに、一度に要件を言わず、製品在庫を一品ずつ確認させたり、注文内容の変更などに何度も応じさせたりして、電話をできるだけ長くつながったままにさせる行為と同じです。
一見正規に見える注文なので、倉庫は電話を切れません。それをいいことに、悪意ある者はほかの回線にも同様のことを行い、倉庫の業務に対するリソースをどんどん削っていきます。
はっきりとした攻撃であると判断がつきにくく、長期間にわたって遅延が起きたりつながりにくくなったりする点が厄介でしょう。ユーザーは利便性が損なわれたと感じ、ほかのサービスへの乗り換えなどが起きるかもしれません。
Low and Slow攻撃は、気が付いたときには損失が拡大しているという、意外と恐ろしい攻撃です。
DDos攻撃から自社を守る対策法
近年、DDoS攻撃は大規模化・巧妙化しており、企業にとっては想定外の損失を発生させる深刻な脅威となっています。セキュリティ対策を多層化するなど、有効に機能させるための対応策が必要です。代表的な対策法をいくつか挙げてみましょう。
攻撃の入り口を狭くする(不要なサービスやポートを閉じる)
使用していないサービスやポート(データをやり取りする仮想的な出入り口)を閉じることで、攻撃の侵入経路を狭くできます。管理が行き届いていないと、攻撃者のスキャンにさらされる範囲が多くなり、その分侵入の確率が高くなります。
脆弱性をチェックし更新する
運用しているシステム、アプリケーション類、機器のファームウェアなど、常に最新に更新して脆弱性を放置しないようにします。定期的に更新情報の取得を行うことが必要です。また、チェックリストを作成し、漏れがないように管理を行います。
古い運用環境を見直す
更新やサポートが終了した古い運用環境の放置は問題外です。脆弱性への対処が適宜可能な環境を構築し、常に維持しておく必要があります。古い環境の運用維持が効果的なコスト削減の一環と考えるのは誤りで、それ自体がセキュリティーリスクそのものです。
アクセス制限を行う
ファイアウォールの設定で、想定していないアクセスに対してあらかじめ制限したり遮断したりしておくとリスクが低減します。例えば、通信量や種別、振る舞いなどを監視し、ホワイトリスト化やブラックリスト化することで制御します。
ユーザーアカウントの管理
長期間使用していないアカウントに対して、再認証を促したり認証を強化したりして乗っ取りを防止しましょう。ユーザーアカウントの乗っ取りが起きると、不正なリクエストを大量に送信する可能性が高まります。明らかに使用していないアカウントは放置せず、ただちに削除するのが賢明です。
CDN「Contents Delivery Network」の利用
CDNとは、世界中にキャッシュサーバーを配置してコンテンツを配信する仕組みです。遅延の低減や負荷を分散することができます。その特性を活かしてDDos攻撃を受けた場合でもトラフィックを分散でき、被害の抑制につながります。
WAF(Web Application Firewall)の導入
WAFは、Webアプリケーションへの攻撃防止に特化したセキュリティ対策です。Webサーバーの上位に設置し、Webアプリケーションで使用される通信プロトコルやレイヤーへのアクセスを重点的に監視します。DDoS攻撃に対して多層的な防御を構築することができます。IPSと併用すると高い防御効果が期待できます。
IPS(Intrusion Prevention System)の導入
IPSは、ネットワークやシステムへの不正な通信やアクセスを監視・検知するシステムです。検知した場合は、状況に応じて管理者に通報したり、通信を遮断したりして侵入を防止します。
ファイアウォールを補完する機能を持ち、ヒューリスティック検知、シグネチャ検知などさまざまな方法で侵入を自動的に検知するのが特徴です。WAFと併用することで、ネットワーク層からWebアプリケーション層まで多層的な防御が可能になり、高い防御効果が期待できます。
UTM(Unified Threat Management=統合脅威管理)の導入
UTMは、ネットワークセキュリティ機能を一つの機器に統合した装置です。DDoS攻撃を含め、幅広い脅威に対応しています。運用を代行業者へ依頼すれば導入から管理まで自社で行う必要がなく、維持管理に社内リソースを必要としません。
留意点としては、ランニングコストが高額な点と脅威への対応が万能ではない点です。利用する人員のセキュリティ意識やネットリテラシーがある程度高くないと、人員自体が脆弱性となる可能性があります。
リテラシーの向上のための意識改善と教育
DDos攻撃への防御では、脆弱性になりやすいヒューマンエラーについても対応が必要です。そのためには、セキュリティへの意識を促す定期的な講習やリテラシー教育が欠かせません。
メールやソフトウェアの適切な取り扱いなど、攻撃者の侵入経路を作らないような具体的な操作、運用管理のルール作りを行いましょう。また、異常やインシデントの発生を常に感知できるような管理体制、万が一の事態発生時の行動原則など、社内コンセンサスを策定し、周知徹底することも必要です。
DDos攻撃への対策には十分なリソースと総員体制が必要
DDos攻撃への対策が不十分な場合、それだけリスクも高まります。事例でも示した通り、今ではいつどこが狙われても不思議ではない状況です。実際に攻撃を受ければ、多大な損害も発生します。
以前あった話ですが、防犯対策のコストと強盗にあった場合の被害額を比べて、強盗被害のほうが安く済むということで防犯対策をしない飲食店チェーンがあったそうです。Webサービスでは、単に金銭的な被害だけでなく、信用が毀損されたり、顧客が離れてシェアを失ったりするなど、金銭では補えない被害が生じます。また、サービスに依存している顧客のベネフィットが失われ、要するに「人に迷惑をかける」ことにもなります。
最近では、DDos攻撃を受けた際に被害が広範囲でない場合、信用棄損を招かないよう公表をしないことがあります。ですから、被害の実態は公表されているもの以外にも多くあると思っておいたほうが良いでしょう。
上記を踏まえると、DDos攻撃への対策は、担当者やシステム業者へ丸投げにするのではなく、全社一丸となって取り組む必要があります。
