DDoS 攻撃とは

DDoS(分散型サービス妨害)攻撃は、膨大な量の悪性トラフィックを送り込んで運用を停止させることで、Web サイトやネットワークリソースを利用できない状態に追い込むサイバー攻撃の一種です。

DDoS 攻撃とは

DDoS 攻撃の意味

DDoS(分散型サービス妨害)攻撃では、攻撃者は迷惑なインターネットトラフィックで標的を過負荷状態にし、通常のトラフィックが宛先まで届かないようにします。

しかし、その本当の意味はどういうことでしょうか。流行りのゾンビ映画で考えてみましょう。感染者の大群が目指す目的は 1 つです。市民を襲って「ゾンビ伝染病」をまん延させることです。警察を無力化し、軍隊を一掃し、医療機関を閉鎖に追い込みます。その後、安全地帯を求めて高速道路に車が殺到し、必然的に大渋滞が発生します。DDoS 攻撃は、このゾンビ襲来のオンライン版のようなものです。しかしオンラインの場合は、ゾンビではなく、感染したコンピューターの大群が、標的となる Web サイトに同時に殺到し、人間やビジネスを追い払うのです。

DDoS 攻撃が企業の Web サイト、Web アプリケーション、API、ネットワーク、データセンターインフラで発生すると、ダウンタイムが生じて、正規ユーザーによる製品購入、サービス利用、情報取得、その他のアクセスを妨げることになります。

DDoS 攻撃中に、攻撃者は、モノのインターネット(IoT)デバイス、スマートフォン、PC、ネットワークサーバーなど、インターネットに接続する多数のマシンやコネクテッドデバイスを悪用し、膨大な量のトラフィックを標的に送信します。

DDoS 攻撃の仕組み

DDoS 攻撃は、インターネット接続デバイスのネットワークを悪用し、ユーザーをサーバーやネットワークリソース(ユーザーが頻繁にアクセスする Web サイトやアプリケーションなど)から遮断します。

DDoS 攻撃を仕掛ける場合、攻撃者はマルウェアやセキュリティの脆弱性を使用し、悪意を持ってマシンやデバイスを感染させて支配します。感染した各コンピューターやデバイスは、「ボット」や「ゾンビ」としてマルウェアをさらに拡散し、DDoS 攻撃に参加できる状態になります。こうしたボットが「ボットネット」と呼ばれるボット集団を形成し、数の強みを活かして攻撃の規模を増幅します。また、多くの場合、IoT デバイスは知らないうちに感染します。あの厄介な B 級ゾンビ映画で感染したことに気付かないように、デバイスの正規の所有者は、第 2 の被害者になるか、自覚のないまま攻撃に参加することになります。一方で、被害を受けた組織が攻撃者を特定することはめったにありません。

攻撃者がボットネットを形成すると、各ボットに命令をリモートで送信して、

標的システムへの DDoS 攻撃を指示できるようになります。ボットネットがネットワークやサーバーを攻撃すると、攻撃者は各ボットに、被害者の IP アドレスに対してリクエストを送信するように指示します。人間にそれぞれ固有の指紋があるように、デバイスにもインターネットやローカルネットワーク上で自身を識別するための固有のアドレスがあります。トラフィックが過負荷状態になると、サービスが妨害され、通常のトラフィックが Web サイト、Web アプリケーション、API、ネットワークにアクセスできなくなります。

ボットネットと感染したデバイスのネットワークは、「攻撃請負」サービスを通じて貸与され、他の攻撃に使用されるケースもあります。この場合、攻撃者が、トレーニングや経験がなくても DDoS 攻撃を自力で容易に仕掛けられるようになります。

DDoS 攻撃の種類

DDoS 攻撃には多くの種類があります。通常、攻撃者は複数の種類の攻撃を使用して、標的に大きな被害を与えます。主な攻撃としては、ボリューム型攻撃、プロトコル攻撃、アプリケーションレイヤー攻撃の 3 種類があります。すべての攻撃の目的は、正規トラフィックが意図した宛先に到達するのを妨げるか、その速度を著しく低下させることです。たとえば、ユーザーは Web サイトへのアクセス、製品やサービスの購入、動画の視聴、ソーシャルメディアでのやり取りができなくなります。さらに、リソースを利用不可にしたり、パフォーマンスを低下させることで、DDoS 攻撃はビジネスを停止に追い込むことができます。従業員は電子メールや Web アプリケーションにアクセスできなくなり、通常のビジネス運営が不可能になります。

DDoS 攻撃の仕組みをさらに理解するために、攻撃者によるさまざまな攻撃経路を知ることが重要です。オープンシステム相互接続モデル、または「OSI モデル」は、さまざまなネットワーク基準を網羅した階層型のフレームワークであり、7 つの異なるレイヤーがあります。OSI モデルの各レイヤーには、それぞれ独自の目的があります。各フロアが異なるビジネス機能を担当するオフィスビルのようなものです。攻撃者は、攻撃対象となる Web やインターネット接続アセットの種類に応じて、異なるレイヤーをターゲットにします。

DDoS 攻撃の対象となる OSI モデルのネットワーク接続の 7 つのレイヤー

レイヤー 7 – アプリケーション

アプリケーションレイヤーは最上位であり、エンドユーザーの最も近くに位置します。ユーザーがコンピューターやデバイスを操作し、ネットワークがアプリケーションと接続するレイヤーになります。

レイヤー 6 – プレゼンテーション

プレゼンテーションレイヤーでデータの暗号化と復号を行うことで、データを安全に送信できます。

レイヤー 5 - セッション

セッションレイヤーでは、デバイスやコンピューター、サーバーが互いに通信し、ポートとセッションをコントロールできます。

レイヤー 4 – 伝送

伝送レイヤーでは、データは伝送制御プロトコル(TCP)経由で伝達されます。インターネットプロトコル(IP)上に構築されるため、TCP/IP と呼ばれることもあります。

レイヤー 3 - ネットワーク

ネットワークレイヤーは、データを宛先に搬送する実際の経路を判断します。

レイヤー 2 – データリンク

データ・リンク・レイヤーは、ネットワークエンティティ間でデータを転送する方法を提供します。物理レイヤーで発生するエラーを検知して修正することもできます。

レイヤー 1 – 物理

最下位の第 1 レイヤーであるレイヤー 1 は、ネットワークノードに接続する物理データリンクを介して生ビットを転送する物理レイヤーです。

ボリューム型攻撃

ボリューム型の DDoS 攻撃の目的は、標的となる被害者リソースの帯域幅を膨大な量のトラフィックで飽和させ、ネットワークを過負荷状態にすることです。大量の攻撃トラフィックにより、正規ユーザーはアプリケーションやサービスにアクセスできなくなり、トラフィックの送受信が阻害されます。正規トラフィックの停止による影響は、標的によってさまざまです。銀行の顧客は期日までに支払いができなくなり、E コマースの買い物客はオンライン取引を完了できなくなります。病院の患者は自身の診療記録にアクセスできなくなり、市民は政府機関から自分の納税記録を閲覧できなくなります。いずれの組織でも、オンラインで利用できるはずのサービスが遮断されると、マイナスの影響は免れません。

ボリューム型攻撃は、マルウェアに感染した大量のシステムやデバイスで構成されるボットネットを使用します。攻撃者はボットをリモート制御することで、利用可能なすべての帯域幅を悪性トラフィックで飽和させ、標的とインターネット間に大規模な輻輳を発生させます。

ボットトラフィックの予期しない流入により、Web リソースやインターネットに接続されたサービスへのアクセス速度が著しく低下するか、まったくアクセスできなくなります。ボットは、正規デバイスを乗っ取ることで、帯域幅を浪費する DDoS 攻撃を増幅します。多くの場合、ユーザーはデバイスが乗っ取られていることに気付かないため、被害を受けた組織が悪性トラフィックを検知するのは困難です。

ボリューム型攻撃の一般的な種類

攻撃者が使用するボリューム型 DDoS 攻撃にはさまざまなベクトルがあります。多くはリフレクションおよび増幅テクニックを使用して標的のネットワークやサービスを制圧します。

UDP フラッド

UDP フラッドは、大量の帯域幅を消費する DDoS 攻撃で頻繁に使用されます。攻撃者は、ステートレス UDP プロトコルを格納した IP パケットで、標的となるホストのポートを制圧しようと試みます。攻撃を受けたホストは、UDP パケットに関連付けられているアプリケーションを検索し、見つからない場合は、「Destination Unreachable(宛先到達不可)」を送信者に返送します。通常、IP アドレスは攻撃者を匿名化するために偽装されます。標的となったホストが攻撃トラフィックで過負荷状態になると、システムは正規ユーザーに応答できなくなり、利用不可になります。

DNS リフレクション/増幅

DNS リフレクション攻撃は、サイバー犯罪者が使用する一般的なベクトルです。標的の IP アドレスを乗っ取り、DNS サーバーオープンを求める大量のリクエストを送信します。これに対して DNS サーバーは、その乗っ取られた IP アドレスによる悪性リクエストに応答します。その結果、膨大な量の DNS 応答が発生するため、標的に被害が及ぼされます。短期間のうちに、DNS 応答から膨大な量のトラフィックが生成され、被害を受けた組織のサービスが過負荷状態で利用不可となり、その結果、正規トラフィックが目的の宛先に到達しなくなります。

ICMP フラッド

インターネット制御通知プロトコル(ICMP)は主にエラーメッセージの通知に使用されます。通常はシステム間のデータ交換は行いません。ICMP パケットには、サーバー接続時に、アプリケーションプログラムやコンピューティングデバイスがネットワーク経由でメッセージを交換できる伝送制御プロトコル(TCP)パケットが付随する場合があります。ICMP フラッドは、ICMP メッセージを使用して標的のネットワーク帯域幅を過負荷状態にするレイヤー 3 インフラ DDoS 攻撃の手法です。

プロトコル攻撃

プロトコル攻撃は、プロトコル通信を悪用する悪性の接続リクエストにより、さまざまなネットワーク・インフラ・リソース(サーバーやファイアウォールなど)のコンピューターキャパシティを消費し、枯渇させようと試みます。シンクロナイズ(SYN)フラッドとスマーフ DDoS は、いずれも一般的なプロトコル型 DDoS 攻撃です。プロトコル攻撃は、1 秒あたりのパケット数(pps)と 1 秒あたりのビット数(bps)で計測できます。

SYN フラッド攻撃

インターネットアプリケーションに接続する場合は、主に伝送制御プロトコル(TCP)が使用されます。この接続を確立するためには、Web サーバーなどの TCP サービスからの 3 ウェイハンドシェイクが必要になります。ユーザーはサーバーへの接続場所から SYN(シンクロナイズ)パケットを送信し、SYN-ACK(シンクロナイズ確認)パケットを受け取ります。その後、最終 ACK(確認)通信を受け取って、TCP ハンドシェイクは完了します。

SYN フラッド攻撃中は、悪性クライアントが大量の SYN パケット(通常のハンドシェイクの第 1 段階)を送信しますが、ハンドシェイクを完了するための確認パケットは送信しません。サーバーは半分開いた TCP 接続への応答待機状態で放置され、接続状態の追跡サービス用の新しい接続を受け入れるキャパシティを使い果たします。 

SYN フラッド攻撃は、例えて言えば、「生徒数の多い高校の卒業生による大がかりな悪ふざけ」のようなものです。たとえば、生徒一人ひとりが同じピザレストランに電話して同じ時間に配達するようにピザを注文します。配達人がピザを包んで車に載せようとすると、ピザが多すぎて車に載らず、また注文の住所がないことに気付きます。結果として、すべての配達がストップします。

スマーフ DDoS 攻撃

この DDoS 攻撃の名前は、漫画に登場する架空の小さな青いヒューマノイド(スマーフ)のコロニーのように、攻撃者一人ひとりは小さくても、膨大な数が集まれば巨大な敵に勝てるというコンセプトがベースとなっています。

スマーフ分散型サービス妨害攻撃では、膨大な数のインターネット制御通知プロトコル(ICMP)パケットと標的のスプーフィングされたソース IP が、IP ブロードキャストアドレスを使用してコンピューターネットワークに送信されます。デフォルトでは、ネットワーク上のほとんどのデバイスは、ソース IP アドレスに応答を送信します。ネットワーク上のマシンの数によりますが、トラフィックが飽和することで、被害を受けたコンピューターの速度は鈍化します。

アプリケーションレイヤー攻撃

例:HTTP フラッド攻撃

悪性リクエストを送るフラッドアプリケーションが実行するアプリケーションレイヤー攻撃は、1 秒あたりのリクエスト数(RPS)で計測されます。レイヤー 7 の DDoS 攻撃とも呼ばれるこうした攻撃は、ネットワーク全体ではなく、特定の Web アプリケーションを標的として妨害します。防止や緩和は困難ですが、仕掛けやすい DDoS 攻撃と言えます。

例えるなら、馬の群れを驚かせて暴走させるのは容易だが、群れの統制を取り戻すのはほぼ不可能であるのと似ています。アプリケーションレイヤー攻撃とはそのようなものです。実行しやすいですが、スローダウンや停止させるのは難しく、また標的固有の攻撃です。

DDoS 攻撃の狙いとは

分散型サービス妨害(DDoS)攻撃は、複数のソースからの悪性トラフィックで埋め尽くしたり、標的となるアセットのコンピューターリソースを消費させることで、オンラインサービス、Web サイト、Web アプリケーションを停止に追い込むのが目的です。攻撃者の狙いは、標的を正規ユーザーが利用できない状態にし、混乱をもたらすことです。DDoS 攻撃では、金融サービス、医療情報、報道機関、教育システム、オンラインショッピングなど、多くの人々が日常的に依存している多様なリソースが標的になります。 

攻撃者が DDoS 攻撃を仕掛けて組織を混乱させる理由は数多くあります。一般的な動機としては、次のようなものが考えられます。

  • 政治的または社会的な動機によるハクティビズム

  • 経済的または社会的な混乱を目的とした国家ぐるみの攻撃

  • 競合先のサービスや製品を利用不可に追い込むことでビジネスを優位に進める

  • 別の巧妙な攻撃をより発覚しにくくする隠れ蓑として DDoS を使用し、インシデント対応チームを欺く

  • 金銭や利益を得るための脅迫手段

最近では、特に DDoS 脅迫攻撃 がサイバー犯罪者の一般的な動機となっています。ランサム DDoS(RDDoS)攻撃とも呼ばれる DDoS 脅迫攻撃では、攻撃者グループ(および模倣型の攻撃者)が DDoS イベントで組織を脅迫し、身代金や脅迫金の支払いを要求します。多くの場合、攻撃者は「威嚇」攻撃を仕掛けて自らの破壊能力を誇示することで、対象となる企業が身代金を支払う可能性を高めます。また、検挙を免れるために、攻撃者はビットコインなどの暗号資産(仮想通貨)での支払いを要求します。

完了した宿題を盗み取り、それを返してほしければランチ代を出せと迫る小学生のように、DDoS 脅迫攻撃では身代金が目的のすべてです。オンラインで資金を受け渡す洗練された世界では、身代金はデジタル化され、追跡できません。

 

DDoS 攻撃を防ぐ方法

強力な DDoS 防御戦略とランブックを用意することで、DDoS 攻撃を防御し、それによる混乱を抑えることができます。クラウドベースのソリューションが提供する高キャパシティ、高性能、Always-on の DDoS 防御機能は、悪性トラフィックが Web サイトに到達したり、Web API による通信を妨げたりすることを防ぎます。クラウドベースのスクラビングサービスは、ネットワークインフラなど、Web 以外の資産を大規模に標的とする攻撃を迅速に緩和できます。

DDoS 防御

絶えず進化する攻撃状況の中で、多層防御アプローチを採用する緩和プロバイダーによる DDoS 防御は、組織とエンドユーザーの安全性を保ちます。DDoS 緩和サービスは、DDoS 攻撃をできるだけ迅速に検知してブロックします。そのブロック速度は、攻撃トラフィックが緩和プロバイダーのスクラビングセンターに到達してから理想的にはゼロ秒、あるいは数秒以内です。攻撃ベクトルは変化し続け、攻撃規模も拡大の一途をたどっているため、プロバイダーは最善の DDoS 防御を実現するために、防御機能に継続的に投資しなければなりません。大規模で複雑な攻撃に対処するためには、適切なテクノロジーを導入し、悪性トラフィックを検知して攻撃を速やかに緩和する堅牢な防御対策を講じる必要があります。

DDoS 緩和プロバイダーは、標的となるアセットに到達した悪性トラフィックを除外します。攻撃トラフィックは、DDoS スクラビングサービスやクラウドベースの DNS サービス、あるいは CDN ベースの Web 防御サービスでブロックされます。クラウドベースの緩和により、攻撃トラフィックが標的に到達する前に除外できます。

DDoS クラウドスクラビング

DDoS スクラビングでは、攻撃を受けている間もオンラインビジネスを継続できます。CDN ベースの緩和とは異なり、DDoS スクラビングサービスは、Web および IP ベースサービスも含めて、データセンターのすべてのポート、プロトコル、アプリケーションを保護します。組織は、ボーダー・ゲートウェイ・プロトコル(BGP)ルート・アドバタイズメントの変更か、DNS リダイレクト(A レコードまたは CNAME)により、ネットワークトラフィックを緩和プロバイダーのスクラビングインフラに導きます。そこで、トラフィックに悪性アクティビティがないかモニタリングして検査し、DDoS 攻撃が確認された場合は緩和を適用します。一般に、このサービスは組織のセキュリティ体制に従い、オンデマンドまたは Always-on に設定できますが、最速の防御対応が得られるように Always-on 展開モデルに移行する組織が以前より増えています。

CDN ベースの防御

適切に構成された高度なコンテンツ・デリバリー・ネットワーク(CDN)は、DDoS 攻撃の防御に役立ちます。Web サイト保護サービスプロバイダーが CDN を使って、HTTP および HTTPS プロトコルを使用しているトラフィックを加速させると、その URL を標的とするすべての DDoS 攻撃をネットワークエッジで阻止できます。つまり、レイヤー 3 およびレイヤー 4 DDoS 攻撃を瞬時に緩和できます。なぜなら、この種のトラフィックは Web ポート 80 および 443 を通過しないからです。このネットワークはクラウドベースのプロキシとして、顧客の IT インフラの前面に位置し、エンドユーザーからのトラフィックを、組織の Web サイトやアプリケーションに接続します。こうしたソリューションはインラインで稼働するため、Web 接続アセットは、人間の介在なしでネットワークレイヤー DDoS 攻撃から常に保護されます。アプリケーションレイヤーを特に防御したい場合、組織は Web Application Firewall を展開して、OSI モデルのレイヤー 7 アプリケーションプロセスの混乱を目的とした特定の DDoS 攻撃(HTTP GET や HTTP POST フラッドなど)を始めとする高度な攻撃に対処する必要があります。   

DDoS 緩和サービスのメリット

組織は、DDoS 専用のセキュリティコントロールを展開することで、アタックサーフェスを縮小し、ビジネスに影響するダウンタイムと混乱のリスクを軽減できます。こうした種類の防御により、攻撃を防止し、正規の訪問者が平時と同様に組織にオンラインアクセスできるようになります。DDoS 防御は、悪性トラフィックが標的に到達するのを防ぎ、攻撃の影響を抑えながら、通常どおりにビジネスを行えるよう正常なトラフィックを通過させます。 

DDoS 攻撃を阻止する方法

緩和作業中の DDoS 防御プロバイダーは、分散型サービス妨害(DDoS)攻撃を阻止し、その影響を抑えるための一連の対策を展開します。最新の攻撃はますます高度化が進んでいますが、クラウドベースの DDoS 緩和と防御で多層型セキュリティを大規模に展開することで、バックエンドインフラとインターネット接続サービスを継続的に稼働させ、最適なパフォーマンスを確保できます。

DDoS 攻撃防御サービスは、組織に次のメリットをもたらします。

  • アタックサーフェスを縮小し、DDoS 攻撃に関連するビジネスリスクを軽減する
  • ビジネスに影響するダウンタイムを防ぐ

  • DDoS イベントへの対応速度を高めて、インシデント対応リソースを最適化する

  • サービスの混乱を把握および調査する時間を短縮する

  • 従業員の生産性低下を防ぐ 

  • DDoS 攻撃に対する防御対策をより迅速に展開する

  • ブランドの評判と収益に対する被害を防ぐ

  • デジタル資産全体でアプリケーションのアップタイムとパフォーマンスを維持する

  • Web セキュリティに伴うコストを最小限に抑える

  • 新たな脅威や進化する脅威から防御する

Akamai が DDoS 攻撃から Web およびインターネット接続サービスをどのように保護しているか確認する

全体的な DDoS 防御の仕組み

Akamai は、透明の網目のような専用エッジ、分散型 DNS、クラウドスクラビング防御を通じて多層型の DDoS 防御を提供します。こうした専用ソリューションは、DDoS セキュリティ対策を強化し、アタックサーフェスを縮小し、緩和の品質を改善して、フォールス・ポジティブ(誤検知)を削減し、最も複雑な最大規模の攻撃への耐障害性を高めるように設計されています。

さらに、それらのソリューションは、Web アプリケーションやインターネットベースサービスの特定の要件に合わせてきめ細かく調整できます。

エッジ防御

Akamai は、グローバルに分散されたインテリジェント・エッジ・プラットフォームをリバースプロキシとして設計し、ポート 80 および 443 上のトラフィックだけを受け付けるようにしています。ネットワークレイヤーへの DDoS 攻撃はすべて、エッジで即座に阻止されます(0 秒の SLA)。つまり、ネットワークレイヤー DDoS 攻撃を仕掛ける攻撃者に勝ち目はありません。

API 経由で実行される攻撃などのアプリケーションレイヤー DDoS 攻撃は Kona Site Defender が検知および緩和し、同時に正規ユーザーにはアクセス権を付与します。

DNS 防御

Akamai の権威 DNS サービスである Edge DNSも、トラフィックをエッジでフィルタリングします。Akamai Edge DNS は、他の DNS ソリューションとは異なり、DDoS 攻撃に対抗する可用性と耐障害性を重視した設計となっています。Edge DNS は、ネームサーバー、Point of Presence、ネットワーク、およびセグメント化された IP Anycast クラウドなど、アーキテクチャの冗長性も多層的に備え、優れたパフォーマンスを実現します。

クラウドスクラビング防御

Prolexic は、全世界 20 か所のスクラビングセンターと 10 Tbps を超える専用の DDoS 防御により、すべてのポートとプロトコルにわたり、データセンターとハイブリッドインフラ全体を DDoS 攻撃から保護します。このキャパシティは、あらゆる情報セキュリティプログラムの土台となるインターネット接続アセットの可用性を維持するように設計されています。

完全なマネージドサービスである Prolexic は、ポジティブとネガティブの両方のセキュリティモデルを構築できます。このサービスは、自動防御機能と Akamai のグローバルな 225 を超えるフロントライン SOCC 緊急対応要員によるエキスパート対応を組み合わせたものです。さらに、Prolexic は事前対応型防御による業界トップクラスのゼロ秒緩和 SLA を提供し、データセンターのインフラとインターネットベースのサービスを常に保護して可用性を保ちます。