これまで、「ネットワーク」「インフラ」「アプリケーション」レイヤーにおけるDDoS攻撃対策について解説してきました。前回は、特別編として、脅威インテリジェンスの活用を紹介しました。今回も特別編として、Webサービスに対するDDoS対策とその際に陥りがちな盲点を解説します。

CDNによるDDoSスクラビング

第5回では、クラウド型のDDoSスクラビングサービスでネットワーク経路をスクラビング専用のネットワークに迂回させて洗浄する構成を解説しました。一方、ウェブサービスを保護対象としてDDoS対策を検討する場合は、GSLB(広域負荷分散)機能とCDNの技術を活用したスクラビングサービスを採用する選択肢もあります。

CDNプロバイダーはコンテンツがキャッシュされたエッジサーバを複数の地域に用意し、クライアントはDNSの技術を応用したGSLB(広域負荷分散)機能により近くのエッジサーバにアクセスします。

例えば、日本にあるクライアントが、www.xxx.comというWebサイトにアクセスした場合、日本のエッジサーバにアクセスさせるため、jp.xxxxedge.netのように別名または直接エッジサーバのIPを返します。アメリカにあるクライアントがアクセスした場合はus.xxxxedge.net、またはUSのエッジサーバのIPアドレスを返します。

  • エッジサーバによるDDoS攻撃の緩和

このエッジサーバでトラフィックを分散して、DDoS攻撃を緩和することで、効率的にオリジナルのWebサービスを保護することができます。ただし、DNSの名前解決でアクセス先を制御するため、オリジナルサーバのIPアドレスで直接アクセスされた場合は効果がありません。つまり、オリジナルサーバのIPを探すことができると攻撃を受けるリスクが増します。

エッジサーバ群の配下のオリジナルIPはDNS上から検索はできませんが、以下のような方法で、インターネットで他の情報をヒントに探し出せる場合もあります。

(1)サブドメインからオリジナルサーバのIPを特定

費用を抑えるためにDDoS対策において特定のサブドメインをスクラビングサービスから除外している場合や、Webサービス以外のサービスのためにオリジナルサーバのIPを直接返す場合があります。

そのオリジナルサーバのIPが、クラウドで保護しているIPアドレスと同じ場合もあります。また、同じIPでなくても、同じネットワークにホストしている場合は標的のネットワークが判明することもあります。別のサブドメインからオリジナルIPが判明し、攻撃に利用されることもありますので、注意が必要です。

サブドメインはgoogleの検索エンジンでも調査可能ですが、専用の検索サイトも多く存在します。

サブドメインを検索できるサイトの例
Find Subdomains

(2)Whoisから特定

Whoisは、IPアドレスやドメインなどの所有者の連絡先情報を登録したデータベースです。IPアドレスを所有している組織の場合、whoisデータベースでtech-c、admin-cなどのIDから検索することで、その組織で所有しているIPアドレスをすべて把握することもでき、さらにその情報から標的のネットワークを特定することも可能です。

(4)DNSヒストリー

インターネット上には過去のDNSのヒストリーをアーカイブしているサイトがあり、そのサイトで検索するとスクラビングサービスを利用する前のオリジナルサーバのIPアドレスが特定される場合があります。もし、オリジナルのIPアドレスが検索にヒットするようでしたら、サイトのIPアドレスを変更することをお薦めします。

DNSのヒストリーをアーカイブするサイトの例
Dnstrails

WebサービスのDDoS対策で重要となる柔軟なIP経路

Webサービスの場合、オリジナルIPを柔軟に変更できる環境を構築することも重要です。特定のIPアドレスが攻撃された場合に、GSLBのリソース監視により攻撃を受けているグローバルIPアドレスから接続せず、攻撃を受けていないグローバルIPアドレスから接続するように構成し、攻撃に耐えうる環境を構築する方法もあります。

DDoS対策としてインフラを準備するのではなく、事業継続計画の1つとしてDRサイトのリソースを組み合わせて設計することで、費用対効果も高められます。

繰り返しとなりますが、DDoS対策は、保護する対象や環境に応じて適切に設計することが重要です。DDoS対策のクラウドサービスを1つとっても、Webサイトを保護するのか、IPアドレス・ネットワークを保護するのか、対象によって選ぶポイントも変わってきます。さらに、単に対策を講じれば終わりではなく、攻撃者の視点で対策をレビューすることが求められます。

四柳 勝利(よつやなぎかつとし)


A10ネットワークス株式会社

ビジネス開発本部 ビジネスソリューション開発部

セキュリティビジネスディベロップメント&アライアンスビジネスマネージャ

セキュリティ業界での18年の経験を生かし、製品やソリューションに捉われない、セキュリティ投資の方向性について講演やメディアを通じて啓蒙活動を行っている。エバンジェリストとして、企業のセキュリティリスク、対策、課題に精通している。近年は、クラウドセキュリティアライアンス日本支部(CSA Japan)CASB WGにてクラウドセキュリティ啓蒙に力を入れている。

公認情報システム監査人(CISA)、Certfied Information System Security Professional (CISSP)、GIAC Certifed Intrusion Analyst (GCIA)

セキュリティベンダーのプリンシパルアーキテクト、コンサルティングファームのシニアマネージャを経て、2016年よりA10ネットワークスのセキュリティビジネスの責任者に着任。イベントでの講演、書籍や寄稿記事の執筆などセキュリティの啓発活動にも従事。