DDoS攻撃という複数端末からの一斉攻撃を防御せよ
ハッカーはありとあらゆる攻撃を駆使し、対象となるウェブサイトを攻撃します。そしてウェブサイトをダウンさせて、使えなくしてしまいます。様々な攻撃の中で最近よく使われる手法がDDoS攻撃です。
DDoS攻撃の初期段階がDoS攻撃です。ベースとでも言うのでしょうか。DoS攻撃とはハッカーが自らのパソコンから通常ではありえないほどの負荷を攻撃対象のサーバーにかけたり、脆弱性を見つけて攻撃したりしてサーバーシステムをダウンさせてしまうことです。そのサーバーを利用しているウェブサイトは稼働しなくなります。
一方で、DDoS攻撃も被害は同様にサーバーシステムがダウンすることによるサイト稼働不可などですが、攻撃実行者が異なります。
DoS攻撃の場合は単一の端末から攻撃しましたが、DDoS攻撃では、まずハッカーは多数のパソコンに侵入してそれらパソコンを乗っ取り、意のままに扱える状態にします。ハッキング元がコントロール下にあるマシンに指令を出すことによって、対象サイトへ一斉にDoS攻撃を仕掛けるのです。
多数のパソコンから負荷を同時にかけるので、DoS攻撃より負荷をかけやすく、より攻撃的です。
さらに裏で操っているのはハッカーですが、攻撃実行者は乗っ取られたパソコンなので、ハッカーの身元が判明しづらいという特徴があります。また、ハックされたコンピューターは、そこからさらに別のコンピューターへとその感染を広げることもあるため、ハックされたコンピューターがさらに別のコンピューターをコントロールするといった、非常に感染源が複雑になっていくケースも見られます。
単なるユーザーの増加によるサーバーの増加であれば、その増加数に応じてサーバーを補強すれば良いだけの話なのですが、DDoS攻撃の場合はどれほどの負荷がサーバーに与えられているのかが測定できず、仮に補強したとしてもそれを上回るだけの攻撃が行われればそれまでです。
つまり、サーバー補強による解決はイタチごっこにしかならず、根本的な解決にはつながりません。
この攻撃により「Krebs on Security」には600Gbps以上の驚くべき負荷がかかったと言われています。この時使われたのはMiraiと呼ばれるマルウェアを活用したDDoS攻撃です。このMiraiが対象としたのはLinux上で動作するIoTデバイスで、これらデバイスを乗っ取り、大規模な*ボットネットを構成して一斉に攻撃を仕掛けたのです。
これによってまれにみる大規模な攻撃が実現してしまったのです。
ちなみに、Miraiのソースコードは後に公開されたため、このような情報が分かるようになりました。
実際にこのようなサーバーダウンよって情報公開ができなくなる、サービスを停止せざるを得なくなるなどの被害が出ます。それ以外では、例えばクラウドサービスなどで通信料による従量課金制サービスに関するサーバーをDDoS攻撃した場合は、通信料が膨大になるため莫大な金銭的損害が発生する場合があります。
*ボットネット・・・一般的にハッカーなどがウィルスなどで乗っ取った多数のパソコンで構成された大規模ネットワークのこと
DNSサーバーが攻撃されてしまいますと、そのDNSサービス(ドメインなど)を利用している企業のサイトが表示されなくなってしまいます。
たいていがハッカーによる端末乗っ取りからの一斉攻撃ですが、一部のDDoS攻撃は、悪意ある複数のユーザーが結託してあるサービスにアクセスを集中させるアナログパターンもあります。
そのためとれるだけの予防策は取っておくべきですが、DDoS攻撃を完全に防ぐのは無理があります。
AmazonやYahoo!といったITに強いはずの大企業さえ、防ぐことができなかったのですから、完全防止は難しいのが実状です。そのため、できる限り攻撃に受けないように、また受けたとしてもサービスを続けられるような対策こそが重要になります。
国内向けのサービスを展開しているWebサイトであれば、国内からのアクセスのみでも十分に対応できるかと思いますので、本業にも支障をきたすことはないでしょう。
プロバイダーを複数契約しておくことで、いずれかのDNSサーバーが攻撃されたとしても、他の契約済みDNSサーバーが正常なら最悪の事態を避けられるかもしれません。
いくつかのサービスを上げてみます。
もちろんDDoS攻撃にも対応しています。
その実力に裏打ちされた信頼性は大きな安心感に繋がることは間違いありません。
不正アクセスやDDoS攻撃は海外から行われることも多いのですが、海外向けにサービスを展開しており、アクセス権限が難しいという人には向いているサービスです。
今までも対策や新たなソフトウェアを作ってはハッカーによって逃げ道が見つけられてきました。今後もこのいたちごっこは続き、DDoS攻撃はより巧妙になり、規模も大きくなっていくでしょう。
ボットネットはかなり巨大化していくはずです。そのため攻撃された場合の被害はより甚大になるかもしれません。
当分、私たちにできる事はお伝えした対策の実施とDDoS攻撃を完全に防げるソフトウェアが世に出るのを祈ることくらいです。
>>お問合せはこちらから
- DoS攻撃はハッカーのパソコンから、DDoS攻撃はハッカーが乗っ取ったパソコンから攻撃する
- 史上最大規模のDDoS攻撃はMiraiと呼ばれるマルウェアで実行された
- DDoS攻撃の対象はウェブサーバーとDNSサーバーが挙げられる
- 完全ではないがDDoS攻撃に対する対策はすべて実行しておくべきである
DoS攻撃の進化版がDDoS攻撃
DDoS攻撃の説明の前に、まずはDoS攻撃について説明します。DDoS攻撃の初期段階がDoS攻撃です。ベースとでも言うのでしょうか。DoS攻撃とはハッカーが自らのパソコンから通常ではありえないほどの負荷を攻撃対象のサーバーにかけたり、脆弱性を見つけて攻撃したりしてサーバーシステムをダウンさせてしまうことです。そのサーバーを利用しているウェブサイトは稼働しなくなります。
一方で、DDoS攻撃も被害は同様にサーバーシステムがダウンすることによるサイト稼働不可などですが、攻撃実行者が異なります。
DoS攻撃の場合は単一の端末から攻撃しましたが、DDoS攻撃では、まずハッカーは多数のパソコンに侵入してそれらパソコンを乗っ取り、意のままに扱える状態にします。ハッキング元がコントロール下にあるマシンに指令を出すことによって、対象サイトへ一斉にDoS攻撃を仕掛けるのです。
多数のパソコンから負荷を同時にかけるので、DoS攻撃より負荷をかけやすく、より攻撃的です。
さらに裏で操っているのはハッカーですが、攻撃実行者は乗っ取られたパソコンなので、ハッカーの身元が判明しづらいという特徴があります。また、ハックされたコンピューターは、そこからさらに別のコンピューターへとその感染を広げることもあるため、ハックされたコンピューターがさらに別のコンピューターをコントロールするといった、非常に感染源が複雑になっていくケースも見られます。
DDoS攻撃を受けた際の症状
DDoS攻撃はウィルス感染とは違い、それが直接情報漏洩などの事故に繋がることはありません。しかしながら攻撃を受けることで、ターゲットとなったWebサイトはアクセスが集中した時のようにパンク状態となり、サーバーがダウンしてしまうようになります。単なるユーザーの増加によるサーバーの増加であれば、その増加数に応じてサーバーを補強すれば良いだけの話なのですが、DDoS攻撃の場合はどれほどの負荷がサーバーに与えられているのかが測定できず、仮に補強したとしてもそれを上回るだけの攻撃が行われればそれまでです。
つまり、サーバー補強による解決はイタチごっこにしかならず、根本的な解決にはつながりません。
史上最大規模のDDoS攻撃はMiraiによって実行された
2016年に有名なアメリカのセキュリティブログ「Krebs on Security」がDDoS攻撃の被害を受けました。この頃にはすでにDDoSという攻撃手法は報告されていたため、攻撃手法としては新鮮味のあるニュースではなかったですが、驚くべきはその負荷の大きさです。この攻撃により「Krebs on Security」には600Gbps以上の驚くべき負荷がかかったと言われています。この時使われたのはMiraiと呼ばれるマルウェアを活用したDDoS攻撃です。このMiraiが対象としたのはLinux上で動作するIoTデバイスで、これらデバイスを乗っ取り、大規模な*ボットネットを構成して一斉に攻撃を仕掛けたのです。
これによってまれにみる大規模な攻撃が実現してしまったのです。
ちなみに、Miraiのソースコードは後に公開されたため、このような情報が分かるようになりました。
実際にこのようなサーバーダウンよって情報公開ができなくなる、サービスを停止せざるを得なくなるなどの被害が出ます。それ以外では、例えばクラウドサービスなどで通信料による従量課金制サービスに関するサーバーをDDoS攻撃した場合は、通信料が膨大になるため莫大な金銭的損害が発生する場合があります。
*ボットネット・・・一般的にハッカーなどがウィルスなどで乗っ取った多数のパソコンで構成された大規模ネットワークのこと
DDoS攻撃の対象はウェブサーバーとDNSサーバー
DDoS攻撃の対象はウェブサービスやブログ、ホームページなど事業者が運営する一般サイトのウェブサーバーと、DNSサービス提供者が管理するDNSサーバーなどが候補として挙げられます。ウェブサーバーの被害はそこにアップしているウェブサイト群
ウェブサーバーにDDOs攻撃が仕掛けられた場合は、そのサーバーにアップロードしているウェブサイトは大きな被害を受けます。レンタルサーバーを利用している場合はそのサーバーが攻撃を受けたら、そのサーバーを使っているウェブサイトは見られなくなってしまいます。 ですが、レンタルサーバーも一つのサーバーにすべてのサイトファイルをアップしているのではないため、一つのサーバーだけが攻撃対象であれば、損害は限定的です。
DNSサーバーも攻撃対象となる
DNSサーバーはドメイン管理などを行っているDNSサービス提供会社が保持しているサーバーですが、こちらのサーバーも当然ながら攻撃対象になります。DNSサーバーが攻撃されてしまいますと、そのDNSサービス(ドメインなど)を利用している企業のサイトが表示されなくなってしまいます。
過去にはこんな大企業も攻撃を受けた
過去にはYahoo!やAmazonなどといった大企業もDDoS攻撃の被害に遭い、サービスが一時不能状態に陥りました。他にもさまざまな企業がDDoS攻撃の被害に遭っています。たいていがハッカーによる端末乗っ取りからの一斉攻撃ですが、一部のDDoS攻撃は、悪意ある複数のユーザーが結託してあるサービスにアクセスを集中させるアナログパターンもあります。
DDoS攻撃に対する対策
DDoS攻撃を受けると、サービス停止やセキュリティに対する甘さを世の中に知らしめてしまうため、企業だと大きな損害になりかねません。そのためとれるだけの予防策は取っておくべきですが、DDoS攻撃を完全に防ぐのは無理があります。
AmazonやYahoo!といったITに強いはずの大企業さえ、防ぐことができなかったのですから、完全防止は難しいのが実状です。そのため、できる限り攻撃に受けないように、また受けたとしてもサービスを続けられるような対策こそが重要になります。
ファイアウォールをインストール
ファイアウォールのインストールは済ませておきましょう。ファイアウォールですべて防御できるわけではありませんが、設置していないと攻撃を受け続けます。 ウェブサーバーの前でファイアウォールを設置しても、その前にDDoS攻撃によって回線がパンクする可能性の方が高いため、効果は明らかではないですが、しないよりはしておいた方が被害抑制が期待できます。
海外からのアクセス禁止
DDoS攻撃は端末を乗っ取って攻撃するため、攻撃元が分かりません。しかしながら仮にすべての攻撃実施端末が海外のものだと判明した場合はその国からのアクセスすべて禁止するのも方法の一つです。国内向けのサービスを展開しているWebサイトであれば、国内からのアクセスのみでも十分に対応できるかと思いますので、本業にも支障をきたすことはないでしょう。
アクセス制限実施
仮に乗っ取られやすい端末情報が共有できるようであれば、そのIPアドレスからのアクセスを制限してください。おそらく以前にDDoS攻撃に使われた端末はおそらく次回も使われる可能性は高いでしょう。 そのためDDoS攻撃を仕掛けてくるIPアドレスを事前に知っているのであれば、予めブロックしておきましょう。
プロバイダーの併用
攻撃を受けてもシステムダウンしないようにするために、複数のプロバイダーとサーバー契約しておくのも一つの方法です。 現にアメリカでは、単体のDNSサーバーしか利用していなかったサービスと、複数のサーバーを利用していたサービスを比較したときに前者がシステムダウンしたのに対し、後者は問題ありませんでした。プロバイダーを複数契約しておくことで、いずれかのDNSサーバーが攻撃されたとしても、他の契約済みDNSサーバーが正常なら最悪の事態を避けられるかもしれません。
DDoS攻撃に対応できる外部サービス
あるいはクラウド形式のセキュリティサービスを導入するのも良いでしょう。いくつかのサービスを上げてみます。
NEC Actsecure
こちらはクラウドサービスということでユーザーが特別準備をする必要もなく、手軽にサービスを利用できます。幅広いDDoS攻撃への対応と、ニーズに合わせた柔軟なプランで安心のセキュリティ環境を構築してくれることでしょう
公式サイト:http://jpn.nec.com/act/acts_ddossec.html
攻撃遮断くん
導入社数ナンバーワンを誇るこちらのサービスも、クラウド連動型で確実に不正アクセスと通常アクセスを管理し、安心のWeb環境構築に役立ってくれます。
公式サイト:https://www.shadan-kun.com/
Cloudbrick
Cloudbrickはあらゆるサイバー攻撃からサイトを防御し、セキュリティ対策ゼロの状態からでも確実にユーザーを守ってくれる頼もしさが特徴のサービスです。もちろんDDoS攻撃にも対応しています。
公式サイト:https://www.cloudbric.com/features/ddos/?lang=ja
シマンテック
ノートンでおなじみのシマンテックは、セキュリティサービス界隈では最もポピュラーなサービスの一つと言えるでしょう。その実力に裏打ちされた信頼性は大きな安心感に繋がることは間違いありません。
公式サイト:https://www.symantec.com/ja/jp
Incapsula
世界中に拠点を持つというこちらのサービスは、主に海外からの攻撃を防ぐことに重点を置いたサービスです。不正アクセスやDDoS攻撃は海外から行われることも多いのですが、海外向けにサービスを展開しており、アクセス権限が難しいという人には向いているサービスです。
公式サイト:https://www.softbanktech.jp/service/list/imperva/incapsula/
Akamai
こちらも20年近いセキュリティサービス提供の経験があるベテランです。計1600名以上のスペシャリストと世界各国24万台のサーバーで、24時間365日セキュリティを提供し続けています。
公式サイト:https://www.akamai.com/jp/ja/why-akamai/world-class-digital-experiences.jsp
DDoS攻撃はさらに巧妙化する可能性
このように、考えられる対策はすべて施しておくべきですが、それでもDDoS攻撃を完全に防ぐことはできません。今までも対策や新たなソフトウェアを作ってはハッカーによって逃げ道が見つけられてきました。今後もこのいたちごっこは続き、DDoS攻撃はより巧妙になり、規模も大きくなっていくでしょう。
ボットネットはかなり巨大化していくはずです。そのため攻撃された場合の被害はより甚大になるかもしれません。
当分、私たちにできる事はお伝えした対策の実施とDDoS攻撃を完全に防げるソフトウェアが世に出るのを祈ることくらいです。
PR:ECサイト構築パッケージ「Orange EC」ではお客様にECサイト運営のノウハウをお伝えしています
>>お問合せはこちらから
