インターネット自体を崩壊に追い込むような大規模なDDoS攻撃が大きな問題となっている。最新のDDoS攻撃の動向とその対策について、DDoS攻撃対策を専業で手がけるアーバーネットワークス(以下、Arbor Networks)社長のコリン・ドハーディ氏に聞いた。
大きく変質しつつあるDDoS攻撃
DDoS攻撃は、ここ数年で大きく変質した。1つは、大規模攻撃で使用される帯域が数10~100Gbpsと大容量化したこと。もう1つは、TCP/UDPベースやHTTPベースなど、さまざまな手法を組み合わせた攻撃が増えたことだ。
大規模攻撃で記憶に新しいのは、2013年3月に発生したスパム対策組織Spamhaus ProjectへのDDoS攻撃だ。ピーク時には300Gbpsにも達したという同インシデントは、オランダのWebホスティング事業者であるCyberbunkerがSpamhausの遮断リストに登録されたことへの報復とされている。
「DDoS攻撃は、(怒りなどの)感情をそのまま攻撃に転換でき、しかも威力は年々増している」。DDoS攻撃対策に特化した製品・サービスを提供するArbor Networks 社長 コリン・ドハーティ氏は、そう指摘する。
Arbor Networks 社長 コリン・ドハーティ氏
大規模攻撃で今もっとも注視されているのは、Spamhausが受けたDNSアンプ攻撃だ。DNSアンプ攻撃は、DNSキャッシュサーバーが問い合わせに対して応答パケットを送信する仕組みを悪用する。JPCERT/CCでは、日本国内のDNSキャッシュサーバーを使用した攻撃が発生していると発表、アクセス制御で防止できると注意喚起している。
2011年10月~2012年9月実施のアンケート調査をまとめたArbor Networksの「年次ワールドワイド・インフラストラクチャ・セキュリティ・レポート」最新版によると、回答者のうち1/4強がDNSインフラに対するDDoS攻撃を経験したと答えている(回答者の75%はISP)。にもかかわらず、21%は再帰的な問い合わせに対して制限していないと回答した。「Web資産の保護を重視する中で、DNS対策が後回しになっているのが現状。Spamhausは、手薄な面をうまく突かれた例だ」(ドハーティ氏)。
こうした100Gbpsを超える攻撃は、今のところ少数派だ。しかし、同レポートでは83.3%が月に1~50回、1~10GbpsのDDoS攻撃を経験しているとしている。2013年4月に発生したBitcoin取引所のDDoS攻撃事件では、ピーク時は80Gbpsだったという。数10Gbpsは当たり前の時代に突入しつつある。
もう1つの傾向は、複数の手法を用いたDDoS攻撃の増加だ。2012年9月に米国の金融機関を襲った「Operation Ababil」は、その代表例だ。HTTPやHTTPSのGET/POST攻撃、DNS攻撃、UDP/TCPのSYN Flood攻撃など、複数の手法を同時多発的に実行するのが特徴で、同レポートの回答者も半数近くが経験していると答えている。
注目すべきは、約15%の回答者がネットワークへの侵入とデータ侵害を隠すためにDDoS攻撃を実行しているのではとみなしている点だ。APT(標的型攻撃)のキャンペーンで、本来の目的から目をそらすのに利用されている可能性も示唆される。
視認性の向上と階層的防御が対策の鍵に
こうしたDDoS攻撃も、頻発するとなると一時的なサービスダウンでは済まされない。同レポートでは、運用コストの増大、顧客離れ、事業機会の損失といった影響が指摘されている。実際、Bitcoinの例では取引を12時間停止させて再開するも、1BTC(Bitcoinの仮想通貨)の価値は数日前の約1/5の50ドルまで下落した。このほか、連日の残業対応で疲れた社員が離職する可能性も上昇しているという。
では、どのような対策があるのか。これについて、Arbor Networks グローバルセールスエンジニアリング&オペレーション担当 副社長 カルロス・モラレス氏は、「視認性の向上」と「階層的防御」を挙げた。
Arbor Networks グローバルセールスエンジニアリング&オペレーション担当 副社長 カルロス・モラレス氏
視認性の問題は重大で、同レポート回答者のうち57%は侵害されているモバイルホストが自網内にどれだけあるか分からないとした。DNSインフラについても、約3/4はレイヤー3および4まで可視化できているが、レイヤー7については約1/4に留まった。「Slowlorisのような、アプリケーションやWebサーバーの脆弱性を狙ったDDoS攻撃では、レイヤー7の視認性は不可欠だ」(モラレス氏)。
また、階層的防御も重要だ。ここで言う“階層”とは、ネットワーク事業者やクラウドサービスプロバイダー、ISPなどの上流から、法人企業の下流まで、インターネット全体を階層化して考える。
Arbor NetworksのDDoS攻撃対策ソリューションでは、たとえば「Arbor Pravail APS」を導入したデータセンターまたは企業がDDoS攻撃を受けたとき、ISP向け製品の「Arbor Peakflow SP」と連係して防御や帯域幅の拡大などが可能だ。日本ではKDDIがPeakflow SPの導入を発表しており、他事業者への展開も目指しているという。
「6~7年前にメキシコでDDoS攻撃対策は必要ないと言われたが、3年後には頻発しているのでどうにかしてほしいと依頼があった。攻撃の流行はグローバルに展開する。日本も例外ではない。むしろ、大規模攻撃が米国レベルにまで増えていない今だからこそ、後手に回らない対策ができるはずだ」(ドハーティ氏)。
