このページの本文へ

アーバーネットワークスに学ぶDDoS攻撃の実態と対策第2回

全世界にボットネットは1000種類以上

ボットからDDoS Toolまで!DDoS攻撃の手口を知ろう

2013年03月12日 06時00分更新

文● 佐々木 崇/アーバーネットワークス

  • この記事をはてなブックマークに追加
  • 本文印刷

 前回は、アーバーネットワークス(Arbor Networks)の調査に基づき、全世界で12分に1回は起きているというDDoS攻撃の実情について紹介した。続いては、対策を考える上で非常に重要な、DDoS攻撃の手法を見ていこう。

アーバーネットワークスはキャリアやデータセンター向けのDDoS対策ソリューション「Arbor Peakflow SP」を開発販売するセキュリティベンダーで、DDoS攻撃の実態などをセキュリティリサーチチームも持つ

DDoS攻撃の方法とは

 DDoS攻撃には複数の手法がある。もっとも有名で、ひんぱんに発生しているのは、「ボットネット(botnet)」による攻撃だ。ボットネットは「ボット(bot)」により構成されるネットワークで、このボットとは、マルウェアの感染により、外部からのインターネット経由の指令により操られる状態になってしまったPCを指す。

 PCがボット化してしまう原因は複数ある。たとえば、ウイルス対策ソフトが入っていなければ、不正なプログラムをダウンロードしてしまうことでマルウェアに感染する危険がある。さらに、OSのセキュリティパッチを適用していない場合や不正なWindowsなどは、オンラインアップデートができないため感染の危険は高まる。2014年にWindows XPのサポート期間が終了するが、期間終了でパッチ提供が終わってしまったOSはまさにターゲットである。

ボットネットによって生じるDDoS攻撃

 ボット化したPCは外部から操られるが、問題はその使用者が自身のPCがボットとなったことに気が付かないことだ。DDoSを目的としたマルウェアはインターネットへパケットを送信するだけであり、通常の使用には大きな影響を及ぼさない。そのため、インターネットへの常時接続が当たり前となった現在、知らないうちにDDoSに加担していたという例は少なくない。

 今日では数百万にも及ぶボットが世界中に存在すると考えられており、その数は今後も増え続けることが予想されている。その多くは海外なのだが、ボットネットを使ったDDoSは国を超えておそってくる。このため、国内国外問わずボットの数がそのまま脅威の大きさにつながるのだ。

 ボットネットを使って悪さをするのはボットネットの構築者だけでなく、構築したボットネットを貸し出す「サービス」もある。操るボットネットの台数と時間によって料金が課金される仕組みだ。これにより今では、誰しもがボットネットを使ったDDoS攻撃を実行できる環境がそろっているといえる。

 アーバーネットワークスではDDoSを含む脅威をモニタリングするセンサー装置を、数多くの顧客の御厚意により地球規模に設置をしている。このセンサーからのデータを解析したところ、これまでに1000種類以上のボットネットが確認できた。

商用DDoSサービスの一例。1時間5ドルから利用できるようだ

DDoD攻撃にはボット以外の手口も

 DDoS攻撃を行なうのは、ボットネットだけでない。数年前より盛んに行なわれているのが、「DDoS Tool」を使った攻撃だ。

 DDoS toolと呼んだが、実際にDDoS攻撃を行なうためのツールとして提供されるとは限らない。表向きはネットワーク負荷試験ツールであったり、サーバーのセキュリティホール検出ツールであったりし、そのプログラム自体に悪意性があるとは断言できないケースがあるのだ。だが、これらのツールを多くの人が悪意を持って使えばサーバーに対して負荷をかけることが可能となり、場合によってはサイトダウンのきっかけにもなる。ツールとして有名なものは、LOICやHOIC、slowlorisなどがあるが、これらはインターネットから簡単にダウンロードできてしまう。Androidに対応したツールも見つかっており、残念ながらDDoSを簡易化する環境がそろってきているのだ。

アンドロイド版「LOIC」

 これらのツールからの攻撃はアプリケーションレイヤ攻撃とも呼ばれ、サーバーに対して少ないトラフィック量でも負荷を与えられることが特徴の1つだ。そのため、サーバーの運用者は攻撃を受けていることに気が付かず、サーバーの増強に踏み切ったという事例まで存在する。

 全世界のTier1/2を含むIPネットワーク事業に従事する130人へのアンケート結果によれば、2012年度のアプリケーションレイヤアタックのうち9割弱の人がHTTPに対する攻撃を経験している。また、HTTPSへの攻撃も3割以上の人が経験しており、攻撃が今後より複雑化される兆候として捉えることができる。

DDoS攻撃の現状

 それ以外に、たとえば“民意の代弁”ともいえるF5攻撃はいまでも存在する。掲示板やSNSを通じイデオロギーに基づき集団で特定のサイトをWebブラウザよりリロードを繰り返すものだ。1つ1つのリロードそのものは通常の行為であるため、これを事前に防ぐことはきわめて困難だ。

 DDoS攻撃は日々複雑化かつ巧妙化されているといわれ、その存在を通常のモニタリングでは気づくことができないケースもある。適切なシステムにより日ごろからの監視をすることで、DDoSの存在により早く気づく環境が必要だ。

 次回は、DDoS攻撃の種類について紹介しよう。

筆者紹介:佐々木 崇(ささき たかし)


アーバーネットワークス株式会社 日本オフィス SEマネージャー。2000年からシスコシステムズにてPre-sales SEとしておもにNTT東日本、東京電力を担当。2004年エラコヤネットワークスへ移籍し、DPIテクノロジーによるアプリケーション識別のソリューションを提案。2008年より現職


カテゴリートップへ

この連載の記事
ピックアップ