サイバー攻撃は、対策されるたびにその手口が巧妙化しています。手口が多様化した近年ではあらゆる種類のサイバー攻撃がありますが、その中でも古くから用いられている代表的な攻撃手法が「DDoS攻撃」です。
DDoS攻撃は、攻撃者が比較的簡単に行える手法であることから、被害事例も後を絶ちません。万が一、顧客情報を保管している企業のネットワークに本格的なDDoS攻撃を受けると、顧客からの信用失墜はもちろん、売上にも大きなダメージを与える可能性があります。
DDoS攻撃を防ぐためには、DDoS攻撃について知識を深めておくことが大切です。そこで今回は、DDoS攻撃の概要や具体的な種類、さらにDDoS攻撃によって起こり得る被害と対策方法まで詳しく紹介します。
目次
DDoS攻撃とは?
- DoS攻撃とDDoS攻撃の違い
- EDoS攻撃とDDoS攻撃の違い
DDoS攻撃の種類
- ACKフラッド攻撃
- DNSフラッド攻撃
- SYNフラッド・FINフラッド攻撃
- UDPフラッド攻撃
- DRDoS攻撃
DDoS攻撃が行われる理由
- 抗議やいやがらせのため
- 脅迫のため
- 営業妨害のため
- 他のサイバー攻撃の陽動のため
DDoS攻撃によって起こる被害
DDoS攻撃の事例
- 日本政府へのDDoS攻撃
- イスラエル政府へのDDoS攻撃
- 韓国の主要サイトへの大規模DDoS攻撃
- マルウェア「Mirai」による大規模なDDoS攻撃
DDoS攻撃への対策方法
- IPアドレスによるアクセス制限
- 国単位でのアクセス遮断
- WAF・IPSツールの利用
- アイソレーションの導入
まとめ
1.DDoS攻撃とは?
DDoS攻撃とは、Webサイトやアプリケーション、さらにITシステムなどのサーバーに対し、過剰なアクセスを要求したりデータを送付したりしてサーバーダウンを引き起こすという、サイバー攻撃方法の1つです。「Distributed Denial of Service attack」の頭文字をとった略称であり、日本語では「分散型サービス妨害攻撃」とも呼ばれています。
DDoS攻撃の大きな特徴は、「1台の端末からの攻撃ではなく、多数の端末を用いて同タイミングで一斉に攻撃すること」です。被害を受けたサーバーはダウンし、サービスを停止せざるを得ない状況に陥ってしまいます。また、サーバーの脆弱性が発生し、影響範囲が自社のみにとどまらなくなるという危険性もあります。
1-1.DoS攻撃とDDoS攻撃の違い
DDoS攻撃と似た攻撃手法に、「DoS攻撃」が挙げられます。DoS攻撃は、1台の端末を用いて標的となるWebサーバーに負荷をかけてサービスを妨害する攻撃のことです。
DDoS攻撃のルーツはこのDoS攻撃であることから、攻撃目的や手口はいずれも同様となっています。しかし、攻撃に用いる端末が1台か複数台なのかという違いから、攻撃の規模や攻撃者の特定難易度においても差が生じます。多数の端末を用いられるDDoS攻撃のほうが被害範囲は大きく、攻撃者を特定できない可能性も高いと言えるでしょう。
1-2.EDoS攻撃とDDoS攻撃の違い
DDoS攻撃と似た攻撃手法には、DoS攻撃のほか「EDoS攻撃」も存在します。EDoS攻撃とは、クラウドサービスなど従量課金制を設けているサービスにおいて、利用者にわざと大量のデータを送付して経済的なダメージを与える攻撃のことです。
EDoS攻撃の目的にはいくつかの種類があります。例えば、通信データ使用量に応じて課金するサービスの事業者を標的とした攻撃では、利用者側にも被害が及びます。また、他社への攻撃・妨害を目的に、アフィリエイトやオンライン広告を不正にクリックするという手法もあります。
2.DDoS攻撃の種類
Webサイトなどのサーバーに対し、過剰なアクセスを要求したりデータを送付したりして、サーバーダウンを引き起こすDDoS攻撃には、具体的に2つのパターンがあります。
1つは大量のデータ処理をサーバーに行わせ、過負荷をかける「フラッド型」です。そしてもう1つが「脆弱性形」というパターンで、セキュリティの脆弱性を利用してサーバーに異常な処理を行わせます。
また、このうちフラッド型攻撃には、さらにいくつかの種類に区分されます。ここからは、DDoS攻撃におけるフラッド型の具体的な種類を5つ紹介します。
2-1.ACKフラッド攻撃
ACKフラッド攻撃とは、攻撃者が標的のサーバーに対してACKパケットを大量に送付し、サーバーを過負荷状態にさせる攻撃手法です。
本来、ACKパケットはSYNパケット・FINパケットの返答として用いられるものであり、ACKパケットを単体で受け取った場合は無効なパケットとして破棄処理されることとなります。
ACKフラッド攻撃を受けたサーバーは、送付されたACKパケットの処理に多くのリソースを使用しなければならず、結果として高負荷となりユーザーに適切なサービスを提供できなくなります。
2-2.DNSフラッド攻撃
DNSフラッド攻撃とは、攻撃者が特定ドメインのDNS(ドメインネームシステム)サーバーを対象に不正なリクエストを大量に送信し、正当なユーザーからのDNS解決を妨害する攻撃手法です。
そもそもDNSサーバーは、いわゆるインターネット上の電話帳であり、各種デバイスがインターネットコンテンツにアクセスするために特定のサーバーを検索する経路を指します。
DNSフラッド攻撃を受けたサーバーは、キャッシュが無効な内容で満たされたり、サーバー間のトラフィックが攻撃通信で溢れかえったりして、結果として高負荷となり適切なサービスを提供できなくなります。
2-3.SYNフラッド・FINフラッド攻撃
SYNフラッド・FINフラッド攻撃とは、攻撃者が標的のサーバーに対して「接続要求(SYN)」と「切断要求(FIN)」のいずれをも大量に送信するという攻撃手法です。
通常、サーバーとユーザーの通信規格であるTCPにおいては、「ユーザーからの接続要求と切断要求→サーバーの応答→ユーザーからの確認応答」という手順で通信が構成されます。
SYNフラッド攻撃とFINフラッド攻撃は、これらの要求を悪用した攻撃方法であり、攻撃を受けたサーバーは最後の手順であるユーザーからの確認応答を待ち続けることによってリソースが枯渇し、結果としてサービスの停止に追い込まれることとなります。
2-4.UDPフラッド攻撃
UDPフラッド攻撃とは、SYN/FINやACKなどの接続手順が省略されたUDPという通信規格を悪用し、大量のUDPパケットを送信して標的のサーバーに負荷をかける攻撃手法です。
UDPはコネクションレス通信であることから、ユーザーが一方的にパケットを送信できるようになっています。加えて、オーバーヘッドが低く接続チェックが行われないため、攻撃者は比較的容易に攻撃できるという点が難点です。
2-5.DRDoS攻撃
DRDoS攻撃とは、攻撃者が送信元を標的に偽装して何らかのデータを大量に送信し、偽装した送信元(標的)のサーバーに負荷をかける攻撃手法です。
DRDoS攻撃は、DNSサーバーのもつ要求パケットより応答パケットが大きくなる「増幅効果」と、通信を反射する「反射効果」という性質を悪用したものであり、攻撃を受けたサーバーは反射・増幅された応答パケットが大量に送られることから負荷がかかり、結果としてサービス停止状態に追い込まれてしまいます。
3.DDoS攻撃が行われる理由
DDoS攻撃は、さまざまな目的で行われ、目的によって手法や被害範囲が異なることも特徴です。
自社がDDoS攻撃のターゲットになった場合は、攻撃対象となった理由を把握しておくことで対策・処理がしやすくなります。
ここからは、DDoS攻撃が行われる主な理由について紹介します。
3-1.抗議やいやがらせのため
DDoS攻撃は、企業や組織の活動に反対している組織が抗議活動として行う場合もあれば、単なるいやがらせ行為をしたいがために行う場合もあります。
宗教・政治などが絡む企業や組織は、抗議活動を含めてDDoS攻撃がされる可能性は高いと言えるでしょう。また、この場合は個人での攻撃ではなく集団で結託しての攻撃となるケースも多く、自ずと攻撃力や被害範囲が大きくなる傾向があります。
いやがらせのためにDDoS攻撃を行う背景としては、「購入した商品・サービスが気に入らなかった」「その企業・組織に在籍する誰かに私怨がある」など、個人的な反感・恨みが挙げられます。個人での攻撃と集団での攻撃、いずれも可能性があります。
3-2.脅迫のため
DDoS攻撃には、標的となる企業や組織に対して事前にメールなどで攻撃予告をし、「DDoS攻撃をされたくなければ、指定期間内に金銭や仮想通貨の支払いをせよ」と脅迫するものもあります。これらの手口は、「ランサムDDoS攻撃(RDDoS攻撃)」や「DDoS恐喝」などと呼ばれています。
中には口先だけで、実際には指定された金銭を支払わなくてもDDoS攻撃をしない攻撃者もいます。しかし、中小企業の場合はこのような攻撃に対応できる従業員がいないことから、要求を飲んでしまうケースもあるでしょう。海外企業ではこのような金銭目的のDDoS攻撃が増加しており、日本では特に中小企業が標的となりやすい点に注意が必要です。
3-3.営業妨害のため
サイバー攻撃者と聞くと、常日頃からサイバー攻撃やハッキング行為を行う方をイメージする方も多くいるでしょう。しかし、標的となる企業・組織の競合他社で働く従業員が、標的の営業妨害を目的にDDoS攻撃をするケースも少なからず存在します。
営業妨害を目的としたDDoS攻撃は、標的となる企業・組織のサービスサイトを長時間ダウンさせ、社会的信頼度を失墜させようという理由で行われます。結果として、攻撃者の自社商品やサービスが売れるようになるためです。
3-4.他のサイバー攻撃の陽動のため
DDoS攻撃の中には、攻撃を受けた企業・組織のセキュリティ担当者がDDoS攻撃の対処・対策を進めるすきに、別のサイバー攻撃を実行して、情報窃取などの本来の目的を達成する「陽動作戦」というものもあります。
陽動作戦における別のサイバー攻撃には、トロイの木馬をはじめとした悪質なマルウェアの設置などが挙げられます。このようなマルウェアが設置された場合、被害範囲はさらに広まるため注意が必要です。
4.DDoS攻撃によって起こる被害
DDoS攻撃によって起こり得る被害には、下記の3つが挙げられます。
●サーバーのアクセス障害が発生する
DDoS攻撃を受けたWebサイトのサーバーは、処理能力を超えたリクエストやデータが送信されることによって、機能停止状態に追い込まれてしまいます。そこで提供していたサービスも自ずと停止せざるを得なくなり、検索順位への悪影響・経済的損失の発生につながるでしょう。
●DDoS攻撃への対処によりセキュリティが脆弱になる
DDoS攻撃を受けた場合は、絶え間なく送られるリクエスト処理に追われることから、サイトの維持に必要なその他の機能にまで手が回らなくなる可能性があります。脆弱性が発生したサーバーはさらにあらゆるサイバー攻撃の被害を受けやすいため、注意が必要です。
●金銭的被害が発生する
DDoS攻撃を受けてサーバーがダウンしたサイトは、「信用失墜によって顧客を失う」「サービス停止によって、得られたはずの売上を失う」「復旧・原因調査や、再発防止に向けた対策に費用が発生する」など、あらゆる経済的損失が発生します。
5.DDoS攻撃の事例
ここまで説明したように、DDoS攻撃による被害は企業の売上にも悪影響を及ぼす可能性があります。DDoS攻撃の被害事例は、海外のみならず日本でも確認されています。
実際にDDoS攻撃によって被害を受けた事例の中でも、特に大規模な事例をピックアップして紹介します。
5-1.日本政府へのDDoS攻撃
2022年9月上旬、日本政府が運営する行政情報のポータルサイトに対し、大規模なDDoS攻撃が発生しました。これにより、1週間程度にわたってアクセスが制限され、一部機能が使用できない状態となっていました。
海外からの分散型攻撃であるため、攻撃者の特定は困難とされています。しかし、DDoS攻撃はロシアを支持するハッカー集団があらゆる国でも用いてきた手法であることから、今回もこのハッカー集団による攻撃である可能性が高いと見ています。
5-2.イスラエル政府へのDDoS攻撃
2012年11月14日から始まったイスラエルとパレスチナの紛争において、イスラエル軍がパレスチナ自治区であるガザへ空爆を開始しました。この紛争によって、イスラエル政府関連サイトへの激しいサイバー攻撃が集中しました。
大きな被害を受けたのは国防関連サイトであり、その他大統領府、外務省のサイトにも多くの攻撃が行われました。攻撃者の特定は困難となっているものの、世界各国から行われていること・攻撃元のほとんどがイスラエル国内またはパレスチナ自治区からとされています。
5-3.韓国の主要サイトへの大規模DDoS攻撃
2009年7月上旬、大規模なDDoS攻撃が韓国とアメリカで同時に発生しました。この攻撃は「4th of July攻撃」とも呼ばれています。攻撃の主な標的は韓国のWebサイトであり、アメリカの被害は韓国よりはるかに軽微であったことも特徴です。
韓国の公共機関や企業のWebサイトは断続的な攻撃を受け、サービスの停止状態やアクセスの遅延状態が長く続きました。さらに、今回のDDoS攻撃の攻撃元の多くが、マルウェアに感染した国内のデバイスからだったことも報告されています。
5-4.マルウェア「Mirai」による大規模なDDoS攻撃
2017年10月、米国で大規模なサイバー攻撃が起こり、世界中で利用されているSNSやECサイトがアクセス不能な状態に陥りました。
この攻撃は、マルウェア「Mirai」に感染したIoT機器を組み合わせたDDoS攻撃であること、さらに家庭内のIoT機器という「セキュリティの弱いデバイス」を主要ターゲットとしていたことが分かっています。
6.DDoS攻撃への対策方法
DDoS攻撃の標的になると、大規模な被害を受けてしまうおそれがあります。重要な顧客情報をサーバー内に格納している企業・組織は、常日頃からDDoS攻撃をはじめとしたサイバー脅威への対策を講じるだけでなく、万が一攻撃を受けた際は、被害を最小限に抑えるためにも迅速な攻撃遮断対応をしなければなりません。
DDoS攻撃対策の方法を4つ、それぞれ詳しく説明します。
6-1.IPアドレスによるアクセス制限
DDoS攻撃を受けたことを認識したら、まずは通信ログを確認し、不審な動きをするIPアドレスを遮断してアクセス制限を行いましょう。
DDoS攻撃はインターネット経由で不正なデータやリクエストを送信することによって攻撃する手法であるため、不審なIPアドレスの特定は比較的容易です。IPアドレスを特定してすぐに遮断すれば、サーバーの負荷を抑えられるでしょう。
しかし、多数の端末を用いて行われることの多いDDoS攻撃は、不審な動きをするIPアドレスの多さから、すべてを遮断することは困難と言えます。そのため、確実な解決には至らない可能性が高いことを覚えておきましょう。
6-2.国単位でのアクセス遮断
DDoS攻撃は、日本国内での被害であっても海外サーバーを経由して行われることが一般的です。攻撃を仕掛ける多数の端末はすべて同一国であるケースも少なくありません。そのため、国単位でアクセスを遮断すれば、一気にDDoS攻撃を抑え込める可能性があります。
しかし、国単位でアクセスを遮断すると、当然攻撃する意図のないその国からのユーザーもWebサイトを閲覧できなくなります。したがって、国内ユーザーの集客に特化したWebサイトにおける有効な対策と考えておきましょう。
6-3.WAF・IPSツールの利用
DDoS攻撃の対策強化や被害の最小限化を図るためには、DDoS対策ツールの導入が有効です。DDoS対策ツールとして特に代表的なのが、WAF・IPSの2つです。
WAFとは、Webサイト上のアプリケーションのデータ通信状態を常に監視し、不審な動きを発見した際はシステム管理者へ通知・アクセス遮断のできるセキュリティツールです。
そしてIPSは、サーバー・ネットワーク上の通信状態を監視し、何らかの異常を認識した際は侵入防止の防御を行うセキュリティツールのことで、「不正侵入防止システム」とも呼ばれています。
これらのセキュリティツールを導入・利用することで、常にDDoS攻撃への対策や速やかな対応がとれるようになります。
6-4.アイソレーションの導入
DDoS攻撃は、他の端末をマルウェアに感染させ、その端末を操って行われることがあります。自社の端末が他社への攻撃の踏み台とされる可能性も少なくありません。つまり、被害者であるはずだった自社が、知らず知らずのうちに他社への攻撃を支援する加害者側となるリスクもあるということです。
この手法は「ボットネット」とも呼ばれており、ボットネットを利用したDDoS攻撃は、攻撃の強度が高いことから必ず対策しておくべきものとなっています。
自社の端末が攻撃の踏み台にならないためには、アイソレーション製品を導入したセキュリティ対策が有効です。アイソレーションとは、ネットワーク内の特定部分のみを別の部分から切り離すことを指します。具体的には、DDoS攻撃を受けた端末をネットワークから切り離したり、独立した仮想化技術を利用して論理的にインターネットの分離を実現したりするという方法です。
アイソレーションを導入すれば、マルウェアの分離・無害化ができ、万が一DDoS攻撃を受けても被害を最小限に抑えることが可能です。
まとめ
DDoS攻撃を受けるとサーバーがダウンし、Webサイトのサービスを停止せざるを得ない状況に陥ってしまいます。また、ケースによっては自社が他社への攻撃の踏み台となる可能性もあるため、常日頃から十分に対策しておかなければなりません。
DDoS攻撃を防ぐため、そして万が一攻撃を受けた際も被害を最小限に抑えるためには、手動でのアクセス制限や遮断はもちろん、セキュリティソリューションを導入することも重要です。
「メンロ・セキュリティ」では、マルウェアの分離・無害化ができ、万が一DDoS攻撃を受けても被害を最小限に抑えられるアイソレーションを提供しています。DDoS攻撃を含むサイバー攻撃にしっかり備えたい方は、ぜひ導入をご検討ください。
関連リンク
インターネットアイソレーション完全ガイドのダウンロードはこちら
見逃し配信:過去のウェビナーをオンデマンドで公開しています