DoS攻撃やDDoS攻撃は個人や企業に関係なく、誰もが被害に遭う可能性があるサイバー攻撃です。サイバー攻撃についての知識がなければ、必要な際に対処できない可能性も考えられます。 今回はDoS攻撃やDDoS攻撃とはなにか、すぐに行える対策やツールを用いた対策などを紹介します。

DoS攻撃とは

DoS攻撃はウェブサイトやサーバーに対して過剰なアクセスやデータを送りつけるサイバー攻撃です。 DoSはDenial of Service attackの略で、日本語で訳すと「サービス拒否攻撃」の意味を持っています。 DoS攻撃の被害を受けた場合に起こるのは、Webサイトのシステムやサーバーダウンです。サーバーがダウンしてしまいサービスが停止すると、利用者から不信感をもたれる場合があり、ユーザー離れに繋がります。 また、企業はサービスが提供できない期間の利益を得られないため、経済的な損失も被るでしょう。 サービスの復旧には時間や人手もかかるため、費用負担も増す恐れがあります。 また、サイバー攻撃とはなにか、最近の動向や目的及び手法は以下のサイトで紹介しています。 サイバー攻撃の目的とは何?どんな攻撃の種類があるのか 【最新版】サイバー攻撃の手法・種類一覧とやり方の手口まとめ また以下の記事ではDoS攻撃やDDoS攻撃の種類や目的、事例、対策まで詳しく説明しています。 DoS攻撃/DDoS攻撃とは?目的と種類・対策方法をわかりやすく解説 DDoS攻撃とDoS攻撃の違いとは DoS攻撃と同じ手法で過剰なアクセスやサーバーを送りつけるサイバー攻撃に、DDoS攻撃(ディードス攻撃)があります。 DDoS攻撃は分散型サービス拒否攻撃と訳され、DoS攻撃が1台のコンピュータから行われるのに対し、DDoS攻撃は複数のコンピュータから行われます。そのため、DDoS攻撃はDoS攻撃よりも膨大なデータがターゲットとなったコンピュータに送られるほか、複数台から行うことで犯人の特定も難しいとされる攻撃です。

なんのためにDoS・DDoS攻撃をするのか

DoS攻撃やDDoS攻撃を行う目的には、大きく以下の5つがあります。 ● 特定の企業や個人への私怨 ● 社会的メッセージの発信 ● 愉快犯 ● 金銭の要求 ● ほかのサイバー攻撃のための目隠し DoS攻撃やDDoS攻撃を行う理由として挙げられるのが、私怨です。 前述しましたが、DoS攻撃を受けてサーバーがダウンしてしまうと顧客からの不信感が募り、ユーザー離れに繋がる危険性があります。 また、抗議活動など社会的メッセージの発信である場合や、愉快犯、金銭の要求なども目的として考えられます。金銭の要求に関してはあらかじめDoS攻撃が行われる旨が警告され、金銭を払えばDoS攻撃をしないというものです。 さらにDoS攻撃はほかのサイバー攻撃の目隠しとなっている場合もあります。どのような理由であったとしても、DoS攻撃を受けてしまったら情報漏えいや情報の改ざんなどが起こっていないかしっかりと確認することが必要です。

【DoS・DDoS攻撃の対策方法】すぐできる対策

DoS攻撃やDDoS攻撃のすぐできる対策としては、以下の3つがあります。 ● 必要のないサービス・プロセス・ポートは停止する ● IPアドレスによるアクセス制限 ● 特定の国からのアクセスを遮断する 順番に見ていきましょう。

必要のないサービス・プロセス・ポートは停止する

DoS攻撃やDDoS攻撃に対してすぐできる策は、必要のないサービスやプロセス、ポートの停止です。 Webサイトは元々外部から見られるサービスであるため、対策は難しいと感じるかもしれません。しかしその中でも現在必要のないサービスがないか、不要なプロセスはないか、必要のないポートを開いていないかも確認しておきましょう。 また、OSやセキュリティソフトのアップデートが配信された場合、すぐに適用することも大切です。定期的に見直すことで、DoS攻撃に対してだけではなくすべてのサイバー攻撃へのセキュリティを高められます。 同時に必要なサービスや、よりセキュリティ効果の高いサービスがあれば社内で検討し、常に変化するサイバー攻撃への対策を行っていきましょう。

IPアドレスによるアクセス制限

DoS攻撃やDDoS攻撃のすぐできる対策は、IPアドレスによるアクセス制限です。ひとことにアクセス制限といっても特定のIPからのアクセスを停止する場合と、同一IPからのアクセス回数を制限する場合があります。 それぞれのアクセス制限について見ていきましょう。

特定IPのアクセスを停止する

特定IPのアクセス停止は、そのIPアドレスを持つネットワーク機器からWebサイトなどに通信できなくする手段です。 停止する特定IPアドレスの決定は、自社のWebサイトにアクセスされているトラフィック元のIPアドレスを監視してみましょう。異常なトラフィックを発生させているIPアドレスがあれば、そのIPに対して通信を遮断してしまうことでDoS攻撃やDDoS攻撃が予防できます。 異常なトラフィックの見分け方は企業により異なります。 たとえば、国内向けのサービスのみを展開しているページに海外から過剰なアクセスがあった場合、Webサイトの性質に合っていないため異常だと判断できるでしょう。 社内で異常なトラフィックの見分け方に関して定義を設け、それに沿ってIPアドレスを監視してみてください。

同一IPからのアクセス回数を制限する

国内からのアクセスの場合でも、同一IPから短時間に過剰な回数のアクセスがある場合、異常な事態が発生している可能性が考えられます。 同一IPのアクセスは1日何度までと制限を設け、一定回数を超えた場合はロボットである可能性も考えて認証ページに飛んでもらうなどの対策を講じましょう。ただし、もちろんWebサイトの内容やユーザー属性により、短期間で複数回のアクセスがある場合も考えられます。 制限する場合はさまざまな角度から分析し、アクセス回数を設定してください。

特定の国からのアクセスを遮断する

DoS攻撃やDDoS攻撃のすぐできる対策は、特定の国からのアクセスを遮断することです。 DoS攻撃やDDoS攻撃は海外からのアクセスによるものが多いとされるため、アクセス可能なIPアドレスを国内のものだけに絞るのも有効でしょう。ただし、海外に住んでいる日本の利用者もブロックしてしまうことや、海外マーケットに対しての機会損失に繋がるリスクも考慮することが大切です。 個人的な判断によらず、海外からのアクセスをブロックすることによるメリットやデメリットを社内で十分検討し、行うようにしてください。

【DoS・DDoS攻撃の対策方法】しっかり対策

DoS攻撃やDDoS攻撃をしっかりと対策するためには、以下の2つの方法があります。 ● 脆弱性対策が施されたパッチを適用する ● 対策ツールを導入する 順番に見ていきましょう。

脆弱性対策が施されたパッチを適用する

DoS攻撃やDDoS攻撃をしっかりと対策するためには、脆弱性対策が施されたパッチを適用することがおすすめです。パッチとはセキュリティパッチと呼ばれ、OSやアプリケーションの脆弱性を解消するアプリケーションを指しています。 WindowsなどのOSやアプリケーションは、ユーザーが利用できるようになってから脆弱性が発見されるケースも少なくありません。 脆弱性が見られても放置したままでいると、史上最大規模のDDoS攻撃であるマルウェア「Mirai」などのように、大きな被害をもたらしてしまう可能性もあります。セキュリティパッチはリリースされるとベンダーから告知が届くため、更新を怠らずにすぐに適用するようにしましょう。

対策ツールを導入する

DoS攻撃やDDoS攻撃をしっかりと対策するためには、対策ツールの導入もおすすめです。 ● WAF(Web Application Firewall) ● IDS/IPS(Intrusion Detection System/Intrusion Prevention System) ● UTM(Unified Threat Management) ● DDoS防御専用アプライアンス 上記の4つの対策ツールについて見ていきましょう。

WAF(Web Application Firewall)

WAFはWebアプリケーション専用のセキュリティツールです。Webアプリケーションで行われるデータのやり取りを監視し、不正アクセスを防止する働きをもっています。 Webアプリケーションの前に立ちはだかる盾を想像してもらえば分かりやすいでしょう。 万が一不正アクセスの侵入を許してしまっても、WAFを導入していることによって不正アクセス後の感染拡大や情報の流出も阻止できます。サイバー攻撃の入り口を防ぎ、逃してしまったアクセスに対しても効果的に手段を発動することから、WAFはDoS攻撃やDDoS攻撃の対策用に入れておきたいツールです。

IDS/IPS(Intrusion Detection System/Intrusion Prevention System)

IDS/IPSはそれぞれ日本語で「不正侵入検知システム」「不正侵入監視システム」と呼ばれています。 IDSによりネットワーク上の通信を監視して不正アクセスや兆候を検知し管理者に通知するだけでなく、IPSによって通信を遮断する防御機能も有している点が特徴です。IDS/IPSは特にDoS攻撃やDDoS攻撃などのOSやサーバーに負荷をかける攻撃への対策として有効です。 システム障害の未然防止に役立つツールの導入を考えている場合、IDS/IPSを検討してみてください。

UTM(Unified Threat Management)

UTMは日本語で「統合脅威管理」を意味しており、使用しているネットワークを攻撃する脅威から、さまざまな手法を用いてインターネットの安全対策をしてくれるツールです。 UTMはネットワーク攻撃や不正アクセスに個別に対処するのではなく、統合的に管理することでさまざまな攻撃からOSやサーバーを守ってくれます。ファイアウォールが対処できないウイルスやスパムメール、Webフィルタリングまで対応しているため、セキュリティの観点を考えてぜひ導入しておきたいツールです。

DDoS防御専用アプライアンス

DDoS防御専用アプライアンスは、DoS攻撃やDDoS攻撃に対しての防御機能に特化したツールです。 ほかのDDoS攻撃を防ぐ対策ツールよりも高パフォーマンスの場合が多く、さまざまなDoS攻撃やDDoS攻撃の検知と防御に役立ちます。 上記のような対策ツールは、対策したい攻撃や製品の性能、料金が自社の対策方針と合っているか、動作の軽さなど多くの選定ポイントがあります。 ひとつのツールに捕らわれることはありません。トライアル期間を設ける、課題ごとに複数使ってみるなど納得のいくまで検討し、自社に取り入れて良かったと思えるツールを探してみてください。

脆弱性型

DoS攻撃やDDoS攻撃とはなにか、すぐにできる対策やしっかりと対策する場合の手段について解説しましたが、実際のDoS攻撃やDDoS攻撃にはどのようなものがあるか解説します。 ● TearDrop攻撃 ● Ping of Death攻撃 ● Land攻撃 脆弱性を狙った脆弱性型と呼ばれる上記の3つについて見ていきましょう。

TearDrop攻撃

TearDrop攻撃は、断片化されたIPパケットをつなぎ合わせるための実装問題を突いた攻撃方法です。 最大伝送単位を超えたIPパケットは、複数の小さなIPパケットに分解されますが、分解されたIPパケットにはそれぞれ分解される前にどの部分に位置していたかの情報が含まれています。 TearDrop攻撃は分解されたパケット情報を偽造し、ターゲットとなるコンピュータに送信してしまいます。ターゲットとなったコンピュータが重複したIPパケットの断片をうまく処理できない場合、そのままシステムは破壊されてしまうでしょう。

Ping of Death 攻撃

Ping of Death攻撃とは、最大許容サイズを超えるパケットをターゲットとなるコンピュータに送信することで、相手のコンピュータのフリーズやクラッシュを引き起こす攻撃方法です。 Ping of Death攻撃は以前よく見られたものの、1998年以降に製造されたデバイスであれば概ね攻撃に対する保護がされているものがほとんどであるため、現在では見かけなくなりました。

Land攻撃

Land攻撃とは、通信ネットワークを通じて送信元IPアドレスと送信先IPアドレスが同一であるパケットをターゲットに送る攻撃です。ターゲットは受け取ったパケットに応答しようと送り返しますが、送信元と送信先が同じため、自身のパケットへと送り返してしまいます。 さらにその応答したパケット応答もまた自身へ送り返すため、無限ループへと陥ってしまうのです。上記のループを繰り返したコンピュータは過剰な負荷がかかり、正常な応答ができなくなってしまいます。

フラッド型

DoS攻撃やDDoS攻撃には脆弱性を突いたタイプの脆弱性型のほか、不正な通信パケットをWebサーバーに大量に送りつけるタイプのフラット型が存在します。 HTTP、TCP、UDP、ICMPを狙った攻撃についてそれぞれ見ていきましょう。

HTTP(Hyper Text Transfer Protocol)を狙った攻撃

HTTPはWebサーバーとWebブラウザの間で情報をやり取りする通信規格です。 HTTPはデータ通信の際に情報を暗号化しないため、悪意を持った第三者にWebサイトで入力した情報を知られてしまう恐れがあります。 HTTPが狙われると大量のパケットをターゲットとなったコンピュータに送信する攻撃が行われ、サービスの拒否状態を引き起こしてしまいます。

TCP(Transmission Control Protocol)を狙った攻撃

TCPはトランスポート層で動作する信頼性の高い通信規格です。 TCPが狙われると偽装されたIPアドレスから大量に接続が要求されるSYN/FIN攻撃や有効な送信先が利用されてしまうFull Connect砲撃、セッションを強制終了させてしまうRST攻撃などが行われます。

UDP(User Datagram Protocol)を狙った攻撃

UDPとはトランスポート層で動作する通信規格です。 速度重視の方式のため、音声や動画などのリアルタイムアプリケーションや簡易な通信に適しています。 UDPが狙われた場合の攻撃は、大量のUDPパケットを送信する方法や大量のDNS要求をサーバーに送信するDNSフラッドなどが有名です。

ICMP(Internet Control Message Protocol)を狙った攻撃

ICMPとはIPを利用した通信において発生したエラーや原因を知るために用いられる通信規格です。 データ処理の際の誤りや、通信に関する情報の通知のために使用されています。ICMPが狙われた場合の攻撃は、ネットワークで要求や応答のパケットを大量に送信し、システムの過密状態を作り出してしまいます。 (まとめ)DoS・DDoS攻撃の対策は相応のコストも必要 今回はDoS攻撃やDDoS攻撃とは何か、すぐにできる対策やしっかり対策を行いたい場合に導入したいツール、DoS攻撃の種類などを解説しました。 DoS攻撃にはさまざまな種類があり、ターゲットとなってしまうとお客様の信用に関わる事態を引き起こしかねません。 すぐにできる対策を講じることはもちろん、それなりのコストがかかる点を考慮してパッチの適用や対策ツールの導入を検討してみてはいかがでしょうか。

[PR]提供:セキュアワークス