DDoS攻撃が行われる理由

昨今、サイバー攻撃関連のニュースでDDoS(Distributed Denial of Service)攻撃という単語を耳にする機会が増えてきているのではないでしょうか。他のサイバー攻撃と同様、DDoS攻撃による被害は拡大を続けていますが、筆者の所属するA10ネットワークスによる2016年に首都圏上場企業100社に行った調査において、「DDoS対策を行っている企業は55%」という結果が出ており、対策を行えている組織がまだ少ないのが現状です。

そこで本連載では、DDoS攻撃の基礎からその対策方法、最新トレンドなどをひもとき、DDoS攻撃対策を行うのに参考となるような情報を届けていきます。

2種類に大別できるDDoS攻撃

DDoS攻撃はDistributed Denial of Serviceの略で、分散サービス不能攻撃と訳されます。これはDoS攻撃(サービス不能攻撃)の一種で、攻撃の目的はその名の通り、サービスを不能にすることです。

外部から行われるDoS攻撃は大きくわけて以下の2つに分類できます。

(1)Exploit型

システムの脆弱性を突く攻撃（Exploit)をすることで攻撃対象のシステムが正常に動作しなくなり機能しなくなるタイプ

(2)リソース枯渇型

回線やアプリケーションやOSで処理できる能力を超えるようなコンピュータリソースへのリクエストを発生させて機能させるタイプ

Exploit型はシステムが想定外の動作を行う攻撃に対応できず、最終的に機能停止を及ぼす脆弱性がある場合に有効になります。特にネットワークから攻撃が有効な場合、簡単に攻撃が成立することもあります。

その例として、BSOD (Blue Screen of Death)を引き起こすExploitを紹介しましょう。

Windowsが、特定の脆弱性を突いた攻撃などによりBlue Screenになりシステムが停止してしまうことを、一般的にBlue Screen of Death（日本では単にブルースクリーン）と呼びます。

このBSODを引き起こす有名な脆弱性として、2015年4月のMS15-034（CVE-2015-1635）で修正されたHTTP.sysの脆弱性があり、CVSSスコア（脆弱性の深刻度）は最も高い10で評価されました。緊急の対応が求められ、セキュリティの現場を騒がせた一例になります。

この脆弱性は攻撃者が細工したリスクエスト「GET / HTTP/1.1\r\nHost: stuff\r\nRange: bytes=0-18446744073709551615\r\n\r\n」を送るとサーバが停止してしまい、脆弱性があるサーバに対して簡単にDoS攻撃が行えてしまいます。脆弱性の詳細はこちらで確認できます。

一方のリソース枯渇型の場合、回線やOS、アプリケーションの処理ができなくなるように、大量のトラフィックを送信したり、ゆっくり時間をかけてリクエストを送信したりしてアプリケーションのセッション管理領域を枯渇させる攻撃など、さまざまな手法があります。このようなリソース枯渇型のDoS攻撃を複数の端末から行うのがDDoS攻撃と呼ばれるものであり、DoS攻撃の主流になっています。

DoS攻撃にDistributedがついたDDoS攻撃は、サービス提供を妨害するために、より多くのシステムを用いてDoS攻撃を仕掛け、システムに大きな打撃を与えることでコンピュータリソースや回線帯域が大きなシステムにも影響を与えることができます。大規模なWebサイトであれば、１台の端末で攻撃するよりも複数の端末のリソースを結集して攻撃したほうが成功の可能性が上がります。

攻撃者はなぜDDoS攻撃を仕掛けるのか?

攻撃者がDDoS攻撃を実施する目的は他のサイバー攻撃と同様に、単純な好奇心から金銭の獲得を目的とするケースまでさまざまです。以下に主要なサイバー攻撃者のプロファイルとDDoS攻撃を選ぶ理由についてまとめてみました。

サイバー犯罪者

サイバー犯罪者に分類するプロファイルとは、サイバー攻撃で利益を得るためのサイバー犯罪組織・グループを指します。この組織は、金銭を取るためにDDoS攻撃を行うことを宣言し、攻撃対象のシステム所有者を恐喝、または攻撃対象のシステムを実際にDDoS攻撃することで攻撃対象の組織に金銭を要求します。また、特定情報の奪取を狙った攻撃を行うためにDDoS攻撃を合わせて行い、DDoS攻撃をおとりとするケースもあります。

不満を持つ従業員

不満を持つ従業員に分類するプロファイルでは、組織に不満があり組織が運営するシステムにダメージを与えて損害を発生させることを目的とするケースが多くあります。DDoS攻撃は、サイバー攻撃の中でも比較的簡単に実行できるため、不満を持つ従業員が選ぶことの多い攻撃の１つです。

ハクティビスト

ハクティビストとは、ある特定の思想を主張する者や組織を指し、サイバー攻撃を通して思想を主張するケースが多くあります。過去のケースでは、日本で捕鯨漁が解禁になる時期に、それに反対することを社会に伝えるため、関連しそうな組織や日本の著名な企業、政治家などのウェブサイトに対してDDoS攻撃を仕掛けてメッセージが発信されたことがありました。犯行声明をソーシャルなどで対外的に公表するケースも多いです。

スクリプトキディ

インターネット上では簡単にDDoS攻撃のツールやDDoS攻撃を行うサービスが提供されています。そのツールや攻撃サービスを利用するケースや、公開されているツールをまねて自分の力を試すために、好奇心から実際に攻撃を仕掛けるケースがあります。

次回はDDoS攻撃によるリスクをより理解いただくために、DDoS攻撃による実際の被害例を紹介します。

四柳 勝利（よつやなぎかつとし）

A10ネットワークス株式会社　ビジネス開発本部 ビジネスソリューション開発部 セキュリティビジネスディベロップメント＆アライアンスビジネスマネージャ
公認情報システム監査人（CISA）、Certfied Information System Security Professional (CISSP)、GIAC Certifed Intrusion Analyst (GCIA)

セキュリティーベンダーのプリンシパルアーキテクト、コンサルティングファームのシニアマネージャを経て、2016年よりA10ネットワークスのセキュリティビジネスの責任者に着任。イベントでの講演、書籍や寄稿記事の執筆などセキュリティの啓発活動にも従事。