2025年2月、「TECH+フォーラム セキュリティ2025 Feb. 今セキュリティ担当者は何をすべきか」がオンラインで開催された。サイバー犯罪者が攻撃をより容易に仕掛けられるようになった今、企業にとって脅威の現実性はいっそう増しており、サイバーセキュリティの重要性も高まっている。この時代においてセキュリティ担当者は対策にどう臨めばいいのか。本記事では、シーディーネットワークス・ジャパンの講演「大規模DDoS攻撃への備えは出来ていますか? ~巧妙化する手口の詳細と、CDNとWAAPで実現する網羅的な対策~」にクローズアップする。

  • 写真:株式会社シーディーネットワークス・ジャパン 営業本部 テクニカルソリューションエンジニアリング部 プリセールス 六鹿 渉(むつが わたる)氏の顔写真

    株式会社シーディーネットワークス・ジャパン 営業本部 テクニカルソリューションエンジニアリング部 プリセールス 六鹿 渉(むつが わたる)氏

DDoS攻撃が情報セキュリティ10大脅威に再ランクイン

大量のパケットを送信してネットワークやサーバーに多大な負荷をかけ、サービス提供を阻害する分散型サービス妨害攻撃、いわゆる「DDoS攻撃」の規模が再び拡大している。IPA(独立行政法人 情報処理推進機構)の「情報セキュリティ10大脅威 2025」ではDDoS攻撃が5年ぶりに復活し、8位にランクインされた。実際に、2024年12月末には、国内の複数の企業でDDoS攻撃の被害が発生している。

「DDoS攻撃の頻度や手口は年々エスカレートしています。シーディーネットワークスのクラウドプラットフォームが2023年に遭遇したネットワークレイヤーのDDoS攻撃のピーク値は、2.09Tbpsに達しました。また、Webベースでビジネスを行う企業の実に87%が同時に2つ以上の脅威に遭遇しており、昨今のサイバー攻撃の頻度・パターンが多くなっていることを示しています」(六鹿氏)

シーディーネットワークスのプラットフォームが受けたサイバー攻撃数(2023年)は前年より30%も上がっており、実に4500億近くの攻撃を受けたことになるようだ。そうしたトレンドが見えてきたなかでIPAの発表を受け、六鹿氏は「DDoS攻撃は国内での被害が急増し、過去最大規模ともいえる攻撃を受けています。企業はIT資産への脅威として対応が急務といえるでしょう」と指摘した。

ボット対策を含めたDDoS防御のヒント

続いて六鹿氏は、公開されている情報セキュリティホール、すなわち“脆弱性”も年々増加傾向にあることを示した。共通脆弱性識別子(CVE)は2024年11月時点で3万4000近い数が報告されており、これは2023年の約2万9000件からわずか1年で実に17%増えた数字だという。2019年と比較するとほぼ2倍になっている。

  • 図版:CVEが増加していることを示すグラフ

    CVEが増加していることを示すグラフ

「新たなCVEが報告された場合、プラットフォームやソフトウェア、ネットワーク機器に脆弱性が影響するかどうかを確認する必要があり、担当者は日単位で対策が求められます。CVEの報告数が増加していくなか、DDoS攻撃に関する脆弱性も多々見つかっています」と六鹿氏。具体的に報告されている攻撃として「規模が拡大し手法も複雑化しているDDoS攻撃で、最も気をつけたいのはボットによる攻撃です」と語った。

DDoS攻撃のほとんどは攻撃者自身が手を動かすのではなく、ボットを用いたものだ。攻撃者はあらかじめ標的としておいたサーバーに向けて攻撃命令を出すだけで、自動攻撃が行われる。こうしたボット攻撃は多くの地域から行われているが、六鹿氏が示したあるレポートによると、その5割は中国、インドがホスト国となっている。このため「これらホスト国からのアクセスを防ぐことができれば、DDoS攻撃による被害を劇的に減らせます」とのことだ。

一方、別の資料によるとDDoS攻撃の種別については、グローバルに見るとUDPフラッドが37%で最多。日本国内ではUDPフラッドも27%と多いが、SYNフラッドが35%で最多となっていた。「レイヤー3(ネットワーク層)のDDoS攻撃は単純ですが、大量のアクセスを生む結果、混雑が発生したり、データセンターの処理に影響を及ぼしたりします。対応策としては、攻撃であることを素早く検知し、早急にブロックする必要があります」と話す。

そのうえで六鹿氏は、大規模なDDoS攻撃をシーディーネットワークスのセキュリティ製品で緩和した事例を紹介した。ちなみに、同社はシンガポールに本社を置く企業で、その日本法人であるシーディーネットワークス・ジャパンは2005年に設立。もともとはCDN(コンテンツ・デリバリ・ネットワーク)といったコンテンツ・メディア配信ソリューションを軸に事業展開し、近年では今回のテーマであるDDoS対策、WAF、APIセキュリティ、ボット対策という4つの機能から構成されたWAAP(WebアプリケーションとAPI保護)のクラウド型セキュリティソリューションも提供している。

  • 図版:WAAP(Web Application and API Protection)の概要

    WAAP(Web Application and API Protection)の概要

同攻撃は2024年1月に仮想通貨市場で発生し、40万を超えるIPアドレス相当数のボットにより、1時間にわたってピーク時のトラフィック量が2.4Tbpsを記録した。六鹿氏はこの事例を引き合いに「未知の攻撃や大量アクセスを常に監視・分析し、適切な処理を行っていくことが重要です」と強調した。

内閣サイバーセキュリティセンターがあげる対応策とは

話題はさらに、DDoS攻撃への具体的対応策へと展開した。前出のように10大脅威として再ランクインしたこともあり、内閣サイバーセキュリティセンター(NISC)ではDDoS攻撃に対する注意喚起を発表した。そこでは3つの対応策に触れられている。

1つ目は、ボットによる被害からIT資産を守るため、海外IPアドレスからの通信を遮断するという地域的ブロックの適用だ。これについて六鹿氏は「先に見たようにボット攻撃のホスト国は中国とインドが大半を占めるため、Webサービスが国内限定で提供しているものなら、海外からのアクセスをブロックしてしまえばボット攻撃を防ぐことが可能になります。また、特定の疑わしいIPアドレスを直接ブロックするのはもちろん、同一IPアドレスからの大量リクエストをブロックするレート制御によっても、被害を抑えることができます」と話した。

2つ目は、DDoS攻撃の影響を低減する方法だ。ここでは、まずWAFによってSQLインジェクションやクロスサイトスクリプティングなどから資産を守る。未知の攻撃に対しても、最新のWAFなら対応が可能だという。DDoS攻撃の防御に特化した対応としては、ポリシーに則って特定リクエストをブロックすることも効果的だとのことだ。

そして3つ目として、CDNサービスの併用が推奨されている。「CDNとDDoS攻撃は一見関連なさそうに見えますが、実はCDNサービスを使用することでデータセンターへの直接アクセスを防ぐ、つまりデータセンター内のサーバーIPを隠すことができるため、攻撃対象になることを防げます」と六鹿氏。これら3つの対策をすべて網羅的に行うことがDDoS攻撃対策としては効果的だと語った。

そのうえで、大規模化・巧妙化するDDoS攻撃対策に有効な手段として前出のWAAPを紹介。「従来のWAFのみでは攻撃の多様化や頻度の増加により対応が追いつかなくなっていますし、従来のWAFは正常なリクエストも誤ってブロックしてしまうケースがあります。そして、WAAPの概念におけるDDoS防御、WAF、APIセキュリティ、ボット対策の機能を包括的に提供しているのが、当社のセキュリティサービス『Cloud Security 2.0』です」と話した。

WAAPソリューション「Cloud Security 2.0」の強み

  • 図版:「Cloud Security 2.0」の全体像

    「Cloud Security 2.0」の全体像

「Cloud Security 2.0」は、クラウド型であるため最近利用が増えているオンプレミス/クラウドのハイブリッド環境に対応できることに加え、ニーズに応じて必要な機能のみを有効化することも可能。料金体系も機能ごとで、たとえばDDoS対策のみといったミニマムスタートから始め、将来的にフルサービスへ移行するといった使い方もできる。

DDoS防御の部分ではNISCがあげる対策を網羅し、L3(ネットワーク層)、L4(トランスポート層)、L7(アプリケーション層)で機能を提供。L3/L4ではSYNフラッド、ACKフラッド、UDPフラッドなど多様な攻撃に対応し、L7においては既存ポリシーに則したアプリケーション保護を行う。

「不正なアクセスや攻撃はすべて当社の基盤でブロックされ、正常なリクエストのみがオリジン(顧客の環境)へバイパスされる設計になっているため、オリジンの負荷を下げるのに加えて、サービス継続も実現できます」と六鹿氏は言う。NISC推奨の対策としてCDNサービスとの併用があげられていたが、シーディーネットワークスはもともとCDNを軸としてきたことからグローバルに大規模なインフラを構築しており、CDNサービスとセキュリティサービスの併用が可能だ。

本講演は、現行のセキュリティ対策がDDoS攻撃に対して十分対応できるかどうかを再確認し、WAAP導入の検討にもつなげられる機会となった。

関連リンク