DDoS攻撃の基礎からその対策方法、トレンドなどを紐解く本連載。今回は、国内外のDDoS攻撃による被害の実例やDDoSの被害状況をまとめた調査データをもとに、どのような組織がDDoS攻撃に対し注意を払うべきかについて解説します。

世界と日本の事例から理解するDDoS

DDoS対策を進めるには、DDoS攻撃の被害からそのシナリオを理解し、考慮すべきリスクの1つとして組織に周知を図る必要があります。また、セキュリティ対策は湯水のように投資ができないため、そのリスクが組織にとってどの程度影響を与えるかについて判断し、適切なセキュリティ対策を講じることが重要になります。以下に、国内外で話題となったDDoS攻撃による被害を挙げます。

[事例1]アップストリームプロバイダーを狙ったDDoS攻撃

2016年10月21日(米国時間)、マネージドDNSサービスを提供するDynがDDoS攻撃を受け、DNSサービスがダウンし、多くの世界的に有名なサイトへのアクセスができなくなりました。この事例でまず注目すべきは、多数の企業のドメインを管理するサービスプロバイダーを狙うことで、大きな影響を及ぼしたことです。

また、Webサイトへ直接攻撃を仕掛けるのではなく、Webサイトにアクセスする上で不可欠なDNSを攻撃することで、アクセスする先のドメイン名からIPアドレスが引けなくなり、間接的にWebサービスを不能にしました。このDDoS攻撃の影響により、約1万4500ドメインがDynのマネージドサービスから離れ、ビジネスに大きな影響を及ぼしたことが報道されています。

[事例2]複数のロシアの銀行を狙ったDDoS攻撃

2016年11月8日から12日にかけて(ロシア時間)、5つの銀行に対し立て続けにDDoS攻撃が行われ、被害の大きい銀行では4日間以上もDDoS攻撃が継続しました。

このDDoS攻撃は複数のネットワークレイヤーに対して行われ、回線からOS、アプリケーションのリソースを同時に狙っています。上記のDynの事例にも当てはまりますが、この攻撃では大規模なボットネットにより多くの端末から攻撃が行われました。ボットネットはウイルスに感染して乗っ取られた端末で構成された端末群ですが、このボットネットは攻撃者によってコントロール可能であり、各端末から一斉に攻撃パケットを送信するように指令することができるのです。

[事例3]Anonymousによるハクティビスト

2016年9月上旬、Anonymousという主義主張を唱える団体により、海洋保護を目的としたサイバー攻撃が実施されました。これはOpKillingBayやOpWhales、OpSeaWorldという活動で知られますが、イルカ漁や捕鯨活動、水族館に反対するもので、このメッセージを伝えることを目的に、日本の主要なウェブサイトへDDoS攻撃を行いました。

この攻撃はイルカ漁や捕鯨活動、水族館とは関係のない団体も対象となっていたため、被害を受けた組織は、不意打ちの攻撃に対して対応を迫られることになりました。Anonymousの目的は人々の関心を寄せることであり、企業にはこのような突発的な攻撃に対する備えも求められます。

Anonymousの場合、犯行声明が出るため、攻撃者や目的が明確ですが、攻撃者、目的が明らかにならない攻撃も多数発生しています。

以上、複数の事例を紹介しましたが、DDoS攻撃は可用性が求められる組織やサイトに対して大きな影響を与える攻撃です。DDoS攻撃対策を立てる際は、自社のサービスやサイトがどの程度の可用性を求められているのか、また可用性を失った時にどの程度システムやビジネスに対して影響を与えるのかを把握することが重要になります。

調査データから理解するDDoS

近年、日本でもDDoS攻撃を受けた企業が増加していることが、警察庁生活安全局情報技術犯罪対策課が平成28年11月に公開した「不正アクセス行為対策等の実態調査」からわかります。

このレポートの「過去に受けたことのある被害状況」の「攻撃手段」の項目において、「ウイルス等の感染」「部外からの不正アクセス」に次ぐ、3番目にDDoS攻撃がランクインしています。平成27年10月に公開された27年度のレポートではDDoS攻撃がまだ調査項目に含まれていませんでしたが、調査対象に含まれた28年度のレポートで3番目にランクインされていることを考えると、DDoS攻撃が近年の日本における主要なサイバー攻撃の1つになっていることが分かります。

「過去に受けたことのある被害状況」の「攻撃手段」 出典:「不正アクセス行為対策等の実態調査」(警察庁) 23Pを加工して作成

DDoSスクラビングサービスをクラウドで提供する米Verisignの2016年第4四半期 (10月から12月)のDDoS攻撃のトレンドをまとめたレポート「VERISIGN DISTRIBUTED DENIAL OF SERVICE TRENDS REPORT」では、2015年と2016年で比較すると攻撃の規模が167%増加しています。攻撃ピーク時の平均トラフィック量を見ても、2015年では6.02Gbpsだったのに対して、2016年では16.1Gbpsと同様に大きく増加しています。

業界に視点を当てると、最もターゲットにされている業界はITサービス/クラウド・SaaSプロバイダーになり、2016年第4四半期のレポートでは攻撃全体の49%を占めています。パブリックセクター(公共機関)への攻撃も増加しており、同時期の集計では第2位にランクインし、全体の32%を占めています。そのほか、前四半期のレポートで第2位にランクインしていた金融を含めメディア・エンターテイメント、eコマース、テレコム業界もDDoS攻撃の対象となりやすい業界であることがわかります。

2016年第3四半期の業界別被害状況 出典:Verisign, Inc.「VERISIGN DISTRIBUTED DENIAL OF SERVICE TRENDS REPORT VOLUME 3, ISSUE 3 - 3RD QUARTER 2016」9P

2016年第4四半期の業界別被害状況 出典:Verisign, Inc.「VERISIGN DISTRIBUTED DENIAL OF SERVICE TRENDS REPORT VOLUME 3, ISSUE 4 - 4TH QUARTER 2016」9P

ITサービス/クラウド・SaaSプロバイダーがターゲットにされるのは、サービスへの攻撃がビジネスに直接ダメージを与え、かつサービスを利用している多くのユーザーにインパクトを与えることができるからです。DDoS攻撃の成否は与える影響度に比例するので攻撃者は可用性が求められるシステムを狙います。

つまり、ここにリストされている業界は可用性が求められるシステムを運用している割合が高いと考えることができるわけです。

次回は、IoT機器を踏み台にしたDDoS攻撃や攻撃ツールについて解説します。

四柳 勝利(よつやなぎかつとし)


A10ネットワークス株式会社 ビジネス開発本部 ビジネスソリューション開発部 セキュリティビジネスディベロップメント&アライアンスビジネスマネージャ
公認情報システム監査人(CISA)、Certfied Information System Security Professional (CISSP)、GIAC Certifed Intrusion Analyst (GCIA)

セキュリティーベンダーのプリンシパルアーキテクト、コンサルティングファームのシニアマネージャを経て、2016年よりA10ネットワークスのセキュリティビジネスの責任者に着任。イベントでの講演、書籍や寄稿記事の執筆などセキュリティの啓発活動にも従事。