セキュリティの現場から from バラクーダラボ(97) DDoSに対抗する新たなFFIEC指令に向けた準備

米連邦金融機関検査協議会（FFIEC）は先週、米国の金融機関を対象に、DDoS攻撃軽減に向けた6つのステップの実施を通達しました。この通達は、昨年、米国の金融機関をターゲットにDDoS攻撃が多発したことを踏まえたものです。

今回の通達は、絶妙なタイミングで発せられたともいえます。金融機関には、PCI DSSをはじめとするさまざまなセキュリティ基準への準拠が義務づけられています。しかしPCI DSSを技術的な視点でみると、サービス妨害（DDoS）攻撃への対策ではなく、データ漏洩への対策を講じるための基準なのです。PCI DSSは元々、クレジットカード会社の自衛手段からスタートした基準であり、不正行為が発生した場合の損害の一部を銀行や小売店にも負担してもらおうという考え方に基づいています。今回の新しい指令は、次のような状況が背景になっています。

米国の銀行を狙った大規模なDDoS攻撃は、米国経済（または、米国経済との関係が深い国の経済）を破綻させる恐れがあります。報道によると、昨年のDDoS攻撃は、Stuxnetなどのサイバー攻撃への報復としてイランが実施した可能性があるとされています。昨年のDDoSは、StuxnetやFLAMEの攻撃ほど話題にならなかったかもしれませんが、被害の規模という点では変わりません。Forrester、IDC、Yankee Groupが行った分析では、大規模なeコマース企業が24時間サービスを停止した場合の被害額は約3,000万ドルに達すると試算されていますが、大手銀行数社がターゲットになった場合、被害額は軽く数十億ドルに膨れあがるでしょう。
またDDoS攻撃は、不正行為やデータ盗難の隠れみのとして悪用される手口でもあります。Gartnerのアナリストであるアヴィア・リタン（Avivah Litan）氏は昨年、自身のブログでこの話題を取り上げています。米国の銀行の少なくとも3社がハッカーのターゲットになり、マスター送金アプリケーションの乗っ取り行為の隠れみのとしてDDoSが執拗に行われ、膨大な金額が送金されました。

ロイターは、このような攻撃が発生する要因を指摘しており、SSLをはじめとする通信セキュリティプロトコルを含め、Webサイト機能の急速な変化に警鐘を鳴らしています。

FFIEC指令に話を戻すと、この指令では、DDoSの被害軽減を目的に、プログラム、コントロール、インシデント対応プラン、スタッフの配置、ナレッジの共有について6つのステップが示されています。技術的仕様については、米国国土安全保障省（DHS）が2014年1月に発行した『DDoS Quick Guide』（pdf）に基づいています。この文書では、DDoSの脅威をOSIレイヤごとに説明し、各レイヤで講じることができる被害軽減オプションを解説しています。そしてレイヤ5～7に対するDDoS攻撃については、アプリケーションレイヤに対する完全な可視性とコントロールを備えたアプリケーションデリバリプラットフォームの必要性が明確に述べられています。

レイヤ7に対するDDoS攻撃は、次のように定義されています

レイヤ7 DDoS攻撃とは、アプリケーションサーバインフラを構成する特定要素に過剰な負荷を与える攻撃です。レイヤ7攻撃は特に複雑であり、Webサイトトラフィックと酷似したトラフィックが利用されるので検出しにくいという特徴があります。ランダムなIDとパスワードを使ったログイン試行や、動的Webサイトでのランダムな連続検索といったシンプルなレイヤ7攻撃であっても、CPUとデータベースに重大な負荷を与える可能性があります。またDDoS攻撃では、レイヤ7攻撃のシグネチャがランダムまたは絶えず変わるので、検出や軽減対策がさらに難しくなります。

DDoS攻撃への対策をテクノロジの視点からサポートするバラクーダネットワークスは、マルチレイヤ戦略をお勧めしています。

まずこの戦略では、ISPやクラウドサービスプロバイダが提供するDDoS攻撃対策ソリューション（トラフィックスクラビングなど）を導入します。このようなソリューションは、組織環境に入ってくるインターネットパイプをクリーンな状態にします。最近のDDoSでは、100 Gbpsを超える膨大な攻撃トラフィックが観測されています。このような量のデータが送りつけられると、受信パイプは完全に停止状態に陥り、オンプレミスのセキュリティはほぼ機能しなくなります。攻撃者はこれまで、セキュリティ機能をバイパスする手段として、slowloris、RUDY、HTTP GET/POST Flood、LOIC、マルフォームSSLリクエストといったアプリケーションレイヤ攻撃を行ってきました。過去のブログ記事でも紹介していますが、アプリケーションレイヤは攻撃の標的になりやすい弱点となっており、このレイヤを狙ったDDoS攻撃が最も多くなっています。

バラクーダネットワークスは、オンプレミスのDDoS対策として、次のように包括的なソリューションを用意しています。

Barracuda NextG Firewallは、DDoS攻撃に対抗する次世代ネットワークファイアウォールです。レイヤ3とレイヤ4をDDoS攻撃（ICMP、TCP、UDPフラッド）から保護し、パケットレート制限を行います。インテリジェントなISPリンク管理とフェイルオーバにより、ISPが飽和状態または低速になった場合でもサイト間接続とインターネット接続を維持します。また、DNSブラックリストをはじめとする例外ベースの検出手法を採用し、ネットワークがバンキング系トロイの木馬の攻撃を受けた場合にはアラートで通知します。

Barracuda Web Application FirewallとBarracuda Load Balancer ADCは、アプリケーションプロキシを使用してSSLなど大量の演算が必要なプロセスの負荷を軽減し、セキュリティ強化したプラットフォームで脆弱なサーバスタックを保護します。また、レイヤ5～7 DDoS攻撃対策として、IPレピュテーション、Geo対応、アプリケーション要求スロットリング、アプリケーションセッショントラッキング、ブルートフォース対策、クライアントフィンガープリント、CAPTCHAチャレンジなど、強力な防御手法を複数実装しています。詳しい内容については、バラクーダネットワークスのDDoS対策に関するホワイトペーパーをご覧ください。

バラクーダネットワークスのソリューションの詳細は、地域の販売担当者にお問い合わせください。

※本内容はBarracuda Product Blog 2014年4月10日Preparing to meet the new FFIEC directive to combat DDoSを翻訳したものです。