WebサイトやWebサービスを提供する企業においては、サイバー攻撃からのセキュリティ対策が欠かせません。サイバー攻撃の中でも防ぐのが難しいとされているのが、DoS攻撃/DDoS攻撃です。
本記事では、DoS攻撃/DDoS攻撃の概要と、その目的や種類、攻撃を防ぐための対策方法を解説します。本記事を読めば、DoS攻撃/DDoS攻撃から組織を守るための方法への理解が深まります。
DDoS攻撃とDoS攻撃の違い
DoS攻撃を発展させたサイバー攻撃に「DDoS攻撃(Distributed Denial of Service attack/分散型サービス拒否攻撃)」があります。 DoS攻撃とDDoS攻撃の違いは、以下の通りです。 ・DoS攻撃:1台のコンピュータ(IP)によって行われるアクセス集中攻撃。 ・DDoS攻撃:複数のコンピュータ(IP)によって行われるアクセス集中攻撃。複数の一般コンピュータを不正に乗っ取って行う。 一般的にDoS攻撃/DDoS攻撃への対策は難しいといわれていますが、その理由は、攻撃者の特定が難しく、不正なアクセスは通常のアクセスと見分けがつきにくいという点にあります。また、DDoS攻撃の場合は不正に乗っ取った第三者のIPを活用するため、乗っ取られた側は自身が攻撃者になっていることに気が付きにくくなっています。そのため本来の攻撃元の特定がしづらく、特に対策が難しいとされています。DoS攻撃/DDoS攻撃の目的とは
DoS攻撃/DDoS攻撃の種類
DoS各攻撃の名称は、基本的に「コンピュータがデータ送信する際の仕組みの、どの部分を利用しているか」に基づいて名付けられています。 ここでは、DoS攻撃/DDoS攻撃の代表的な種類を5つ紹介します。SYNフラッド攻撃/FINフラッド攻撃
SYNフラッド攻撃とは、攻撃者が接続元のIPを偽り、接続要求(SYN)を大量に送信してシステムに負荷をかける方法です。また、FINフラッド攻撃とは、切断要求(FIN)を大量に送信する攻撃です。 接続先では、大量の接続元IPに対して応答処理を行ないますが、IPは偽造されているため存在せず、確認応答を待ち続けることとなります。その結果、サーバのリソースが枯渇し、ダウンするといった結果を招きます。ACKフラッド攻撃
ACKフラッド攻撃とは、攻撃者が応答(ACK)を大量に送信して、コンピュータがシステムに接続するためのリソースに負荷をかける方法です。ターゲットサーバーには、送信元と接続先の間にアクティブな送受信情報が存在しないため、サーバーは接続拒否をします。 その結果、接続先のサーバーでパケットの大量廃棄が行なわれ、リソースが枯渇します。UDPフラッド攻撃
UDPフラッド攻撃とは、偽造したIPからデータを受信する仕組みの1つであるUDPを大量に送信することで、回線の帯域幅を機能不全に陥らせます。 UDPは接続手順を省略した通信であるため一方的なパケット送信が可能であることから、少ないリソースで攻撃できてしまう点が特徴です。DNSフラッド攻撃
DNSフラッド攻撃とは、1つ以上のDNSサーバーに無効な名前解決のリクエストを大量に送信することで、DNSの機能を低下させ、通常のユーザーのアクセスを妨害する攻撃です。 名前解決できないリクエストを大量かつ一方的に送信し、DNSサーバーのキャッシュを無効な内容で満たします。さらにDNSサーバー間のトラフィックを攻撃による通信で溢れさせ、DNSサーバーへ負荷をかけるのです。Slow HTTP DoS Attack
Slow HTTP DoS Attackとは、少ないバケット数で長時間TCPセッションが継続するように、断片的なリクエストを送信し続けることでサーバー上のTCPセッションを占有し、通常ユーザーのアクセスを妨害する攻撃です。近年のDoS攻撃/DDoS攻撃の被害事例
こうした手法を用いたDDoS攻撃は近年、国内外において大規模に行なわれており、実際に障害が発生した事例もあります。 新型コロナウイルスの影響でオンライン上での取引行為が増えている昨今、オンライン活動の増加がDDoS攻撃被害の原因となることもあり、セキュリティ担当者はよりいっそう注意が必要になっています。 ここでは、過去数年間で発生した主要な事例を3つ紹介します。2020年 HHS(米保健福祉省)
2020年3月、アメリカで新型コロナウイルス対策を担う米保健福祉省(HHS)に、DDoS攻撃が試みられました。この攻撃の目的は、新型コロナウイルスにおける対策への妨害活動とみられており、攻撃者は敵対的な外国勢力であったと考えられています。 新型コロナウイルス対策のように世界全体への影響があるような組織に対しては、嫌がらせや抗議活動としてDDoS攻撃が行なわれる場合もあります。2020年 米国のセキュリティサービス事業者Cloudflare(クラウドフレア)
2020年6月、米国のセキュリティサービス事業者Cloudflareは4日間の間DDoS攻撃を受けました。この攻撃は非常に大規模なもので、1秒につき最大7億5,400万パケットの速度でデータが送信されていました。 攻撃トラフィックは31万6,000以上のIPアドレスから発信されており、Cloudflareの無料プラン利用者が主に使用していた1つのIPアドレスを標的にしていたとされています。2020年 ロシアの中央選挙管理委員会
2020年6月から7月にかけて行なわれたロシアの憲法改正の是非を決定する国民投票において、投票期間中に中央選挙管理委員会とオンライン投票サービスを標的にしたDDoS攻撃が発生しました。 このようなDDoS攻撃は、地域や産業群を問わずに発生し、社会・政治面におけるトピックと連動して行なわれる傾向にあります。DoS攻撃/DDoS攻撃の対策方法
オンライン活動の増加に伴い、DoS攻撃/DDoS攻撃の被害は年々増加傾向にあります。自社のサービスや信頼を守るためにも各対策を講じていくことが重要です。 ここでは、代表的な対応策を4つ紹介します。IPなどアクセス制限を実施する
IPアドレスやアクセス元の地域といった情報をもとに、特定のアクセスだけを制限する方法です。この方法は特定のアクセスだけを排除する方法のため、DDoS攻撃のような複数のIPを経由して行われる攻撃よりも、1つのIPからの攻撃を行なうDoS攻撃への対策の方が有効です。 DDoS攻撃に対しては根本的な対応策とはならずとも、攻撃後の被害の拡大を抑えられます。特定の国からのアクセスを遮断する
DDoS攻撃のようなサイバー攻撃は海外のサーバーを介して行なわれることが多いため、日本国内向けに事業を展開するサービスにおいては、海外からのアクセスをすべて制限する方法もあります。 不正なIPはその所在が世界中に散らばっていることが多いため、想定できない国や地域に絞ってアクセスを遮断するといった方法を取るのも良いでしょう。WAF、IDS/IPS、UTMなどの対策ツールを導入する
根本的な対策として効果的なのは、DDoS攻撃の対策ツールを導入することです。 代表的なツールを以下で3つ紹介します。WAF(Web Application Firewall)
「ワフ」と呼ばれるWebアプリケーションの保護に特化したファイアウォールの一種です。WAFは、Webサービスのアプリケーション部分における通信・アクセスを監視し、不正なアクセスを検知・制限できるツールです。 各組織のネットワーク内に専用機器を設置することで柔軟で強固に対策が可能な高コストのアプライアンス型、対象となるWebサーバーにソフトウェアをインストールする低コストのソフトウェア型、カスタマイズが難しいが最も導入コストが低いクラウド型があります。IDS/IPS(Intrusion Detection System/Intrusion Prevention System)
ネットワークへの不正なアクセスを検知・防御するシステムです。IPアドレスやポート番号等で不正アクセスを防ぐファイアウォールと異なり、IDS/IPSはパケットの中身まで監視するため、ファイアウォールで防ぎきれない攻撃に対応することが可能です。 リアルタイムで不正アクセスを検知次第システム管理者に通知するのがIDS、不正アクセスをシステム上で検知次第管理者の対処を待たずにアクセスを防ぐのがIPSとなります。UTM(Unified Threat Management)
DDoS攻撃への対策だけでなく、アンチウイルス、Webフィルタリング等の複数のセキュリティ機能が統合されたツールです。 UTMの登場までは、状況に応じてIDS/IPSやファイアウォールを使い分けるのが良いとされてきましたが、UTMだけで様々なセキュリティ対策を行なえるため、運用コストを抑えることができる点がメリットです。セキュリティ上のリスクを見つけて改善する
自社サービスにおけるセキュリティにおいて欠陥がないか、今一度見直すことも重要です。 具体的には以下のような施策を実施していくことが大切です。 ・セキュリティ上のリスクが見つかったら放置せず迅速に対処する ・OSやセキュリティソフトのアップデートはできる限り早期に行う ・第三者がアクセスできないよう、アクセス経路を限定する 注意したいのは、攻撃者にとっての標的を増やしていないか、という点です。例えば、ユーザーがあまり使用していないサービスを提供していた場合、攻撃者はそれをチャンスと捉えてしまいます。自社の提供するサービスの状況を改めて確認し、セキュリティ対策状況を常に把握できるようにしておくことが重要です。(まとめ)DoS攻撃/DDoS攻撃のセキュリティ対策は必須
[PR]提供:セキュアワークス
