世界的イベントで急増！？～本当は怖いDDoS攻撃～（前編）

DoS攻撃（Denial of Service attack）やDDoS攻撃（Distributed Denial of Service attack）という言葉は今や耳慣れた言葉となっています。サイバー攻撃の歴史の中では古くから存在する、単純でいて効果の高い攻撃手法として、現在でも多くの被害を及ぼす脅威です。この記事ではDDoS攻撃の真の目的とDDoS攻撃にさらされない為のコツについて解説していきます。

DDoS攻撃とは？

DDoS攻撃はDistributed Denial of Service attackの頭文字をとった名称です。

分散した（Distributed）
サービス妨害（Denial of Service）
攻撃（attack）

となり、文字通り複数の分散された攻撃用のマシンからサービス妨害を目的としたパケットを大量に送り付ける攻撃です。
DoS攻撃はDenial of Service attackなのでお分かりかと思いますが、この攻撃が1つの拠点から行われるものです。
DDoS攻撃はDoS攻撃の進化版となり現在主流の攻撃手法となっています。

DDoS攻撃は主に2つのタイプがあります。

どちらも大量の通信を送り付ける事に変わりはありませんが、狙っている効果が異なります。

回線帯域を狙った攻撃とはいわゆるインターネットの入口出口を狙った攻撃です。Webサービスを展開しているサイトに対して大量の通信を送り付け、回線を混雑状態に陥らせ、その結果、正規のサービスユーザーに対するサービス遅延やサービス不可状況を作り出すものです。

アプリケーションを狙った攻撃は企業が抱えるネットワーク機器やサーバーの脆弱性を狙った攻撃です。Webサービスに到達するまでの経路にあるネットワーク機器やサーバーに処理能力を超えるパケットを送り付けたり、脆弱性をつくパケットを送り付けたりする事により、これらの機器の停止やハングアップ状態などを引き起こす事を目的とした攻撃です。通信経路上の機器が停止することによりサービスの停止が起こります。
この攻撃は回線帯域を狙った攻撃よりも復旧にかかる時間が大きいとされています。

古くても最新の10大脅威にランクイン

独立行政法人情報処理推進機構（IPA:Information-technology Promotion Agency, Japan）が毎年発表している情報セキュリティ10大脅威^(*1)。2019年のランキングでは6位にDDoS攻撃によるサービスの停止がランクインしています。2018年は9位でしたがランクアップしており、これがオリンピックの開催により2020年はさらに上位にランクインする可能性もあります。

ダークWeb上ではDDoS攻撃用のサーバーが1時間当たり僅か数ドルで貸し出しされていたり、一般の機器をDDoS攻撃用の機器に変えてしまうマルウェアなどが売買されたりしており、今やDDoS攻撃は安価で手軽に実行できる時代になっており、手法は古くても未だに企業にとって直ぐに対策をとるべき脅威であり続けているのです。

*1: 独立行政法人情報処理推進機構　「情報セキュリティ10大脅威2019」https://www.ipa.go.jp/security/vuln/10threats2019.html
（2019年7月24日参照）

DDoS攻撃の真の目的は？

DDoS攻撃がサービス妨害を狙った攻撃であることは理解いただけたかと思います。ですが、「サービス妨害して攻撃者は一体何の得があるのだろうか？」と思いませんか？
実はDDoS攻撃が様々な目的で行われている事をしっかりと把握することが重要です。

私怨や社会活動への抗議

脅迫

DDoS攻撃の予告などを行い、金銭などを要求し、受け入れられない場合DDoS攻撃を行うという手法。
条件を突き付けて脅迫する手口はランサムウェアによる攻撃に似た手法となり、主に金銭の奪取を目的とした攻撃です。

陽動

DDoS攻撃の被害はWebが落ちるなど、目に見える形で大きく出ます。派手に出た被害に関係者が慌てふためいている間に、その他のサイバー攻撃を行い、DDoS攻撃を目的を達成するための隠れ蓑として利用する手法です。
この場合、真の目的はDDoS攻撃ではなく、その後、あるいはその最中に行われる情報奪取が目的です。
DDoS攻撃に紛れて行われる攻撃はトロイの木馬やマルウェアの設置、バックドアの設置など、今後の情報奪取の足掛かりとなるような仕掛けを施していき、頃合いを見て情報奪取を行うケースが主流です。

DDoS攻撃されない為には？

一見無差別に見えるDDoS攻撃も実は攻撃されにくくする事ができます。わかりやすく説明していきます。

A.壁が高く玄関も締まっている。	B.壁は低いが玄関は締まっている。	C.壁も低く玄関も開いている。

泥棒がいたとします。上記の3個の家のどれに侵入すると思いますか？
家の中に侵入して得られるものが同一であれば、みなさん答えは“C”だと思います。壁も低く壊れていて玄関も開いています。他より入りやすそうですよね。
これは、サイバー攻撃においても同じことです。泥棒が入る家を物色するように、DDoS攻撃者も下見をして、ターゲットを絞ってやってきます。複数の候補から対象にならないように、他より高いとはいかなくても、同じくらいの壁を築き、玄関にしっかりとカギをかける事が重要です。

攻撃者がみるサイバー攻撃の壁

理想は他より少し高い壁

これはDDoS対策に限らずすべてのセキュリティ対策に一貫して言える事ですが、周りをみて他よりも少しだけ高い壁を用意しておくことが最も費用対効果の高い対策とされています。
これは単純な導入製品の効果だけではなく、攻撃者から見て攻撃の対象にされにくくするという副次効果が高いのです。特にWebサービスは企業のネットワークの玄関口です。壁の高さは少し見栄を張ってでも高くする事により、攻撃の対象になりにくくする副次効果が効率よく得られるポイントとも言えます。

オリンピックはDDoSが増える？

オリンピックではサイバー攻撃が増えると言われています。それはなぜか。
2016年に開催されたリオデジャネイロオリンピックを例にすると、大会開始前からネット上ではサイバー攻撃の呼びかけが見られました。
実際にオリンピック期間中に4千万回のセキュリティ脅威を観測、2千3百万回の攻撃をブロック、大規模な DDoS 攻撃は 223回。^(*2)

*2 Cisco Systems, Inc. 　“Cisco’s Digital Network Shines at Rio 2016”
https://blogs.cisco.com/news/ciscos-digital-network-shines-at-rio-2016
（2019年7月24日参照）

開会式が始まる前から、大会 Web サイトなどにピークで 540Gbps という最大規模の DDoS 攻撃。^(*3) (Arbor)

*3 NETSCOUT SYSTEMS, INC.　「リオデジャネイロオリンピックで、毎秒540GbのDDoS攻撃を防御」
http://jp.arbornetworks.com/%E3%83%AA%E3%82%AA%E3%83%87%E3%82%B8%E3%83%A3%E3%83%8D%E3%82%A4%E3%83%AD%E3%82%AA%E3%83%AA%E3%83%B3%E3%83%94%E3%83%83%E3%82%AF%E3%81%A7%E3%80%81%E6%AF%8E%E7%A7%92540gb%E3%81%AEdDoS%E6%94%BB%E6%92%83/（2019年7月31日参照）

などが公表されたデータとなっています。

上記はあくまでオリンピック自体への攻撃を例にしていますが、実は攻撃対象はオリンピックそのものに限りません。
オフィシャルスポンサーはもちろんの事、開催地の企業などが対象になりえます。なぜでしょうか。

攻撃者の隠れ蓑オリンピック

企業を狙う攻撃者は上記のような大規模な攻撃に隠れて様々な企業に対する攻撃を目論んでいます。オリンピックに対する攻撃は非常に大規模で派手です。それらの攻撃に紛れ、攻撃の判明を遅らせつつ、目的の達成を図る。攻撃者にとって自分の存在が明らかになり辛いというのはこれ以上ないアドバンテージとなってしまいます。だからオリンピックはサイバー攻撃が全体的に増えるのです。
オリンピックは自分たちには全く関係のない話、と高を括ると攻撃者に先を越される事態になりかねないので注意が必要です。先ほどの例のように万が一偵察されてもしっかりと壁を構えておき、自分たちに攻撃者の目が向かないようにする事がさらに重要となってきます。

後編はこちら