DDoS検出機器メーカー「Arbor」がDDoSを徹底解説

1回100万ドルの被害も！12分に1回発生したDDoS攻撃の実態

2013年02月26日 06時00分更新

文● 佐々木　崇／アーバーネットワークス

　アーバーネットワークス（Arbor Networks）は、DDoSの検知・緩和と幅広くネットワークモニタリングを行なう「Peakflow SPシリーズ」の開発販売を行なうセキュリティベンダーである。本連載では、我が社で行なっているDDoS攻撃の研究や情報収集の結果を踏まえ、DDoS攻撃の実情から仕組み、そして対処方法を紹介する。まずは、DDoS攻撃の現状を見てみよう。

アーバーネットワークスは1999年設立のセキュリティ機器ベンダー。英国上院から、欧州連合を代表して「大規模サイバー攻撃からの欧州の保護」について証言するよう依頼を受けるほか、NATOや国際機関、各国政府に対しても、ネットワークインフラおよびセキュリティの脆弱性について情報提供をしている

DDoS攻撃をきちんと理解しよう

　「DDoS攻撃」はテレビニュースでも報じられる“一般的な言葉”となってしまった。そのため、IT業界の人なら多くが、それ以外の方でも知っている人は少なくないだろう。

アーバーネットワークス研究開発拠点にあるラボ。米AT&Tや米Cox communications、SK telecom(韓国）ど世界のキャリアが導入するDDoS対策製品「Peakflow SPシリーズ」の開発から、世界各地に設置した本製品からのデータを分析し、DDoS攻撃の実情調査も行なっている。

　このDDoSは「Distributed Denial of Service」の略で、日本語では「分散型サービス不能（攻撃）」と訳され、インターネットを使ってさまざまな形のサービスを提供しているサイトが運用停止に追い込まれる事象を指す。標的とされるサイトは、オンラインバンキングサイトからニュースサイト、ショッピングサイト、オンラインゲーム、公共機関のWebサイトなど幅広いのが一般的だ。

　攻撃者の動機は複数あるようだが、今日一番多いといわれているものは、「ハクティビズム（Hacktivism）」と呼ばれる政治的もしくは思想的主張に基づく攻撃だ。たとえば、2012年6月に「アノニマス（Anonymous）」が行なった音楽業界および政府に対するDDoS攻撃は、政府が決定した違法ダウンロード厳罰化の法律関連に対する抗議活動と考えられている。

　ここで注目すべき点は、サイトから機密情報や個人情報を盗むことではなく、サイトを利用停止に追い込むことがDDoS攻撃の目的であることだ。そのため、攻撃者の意志が強いほどDDoS攻撃の時間は長くなり、サイト側の被害は時間とともに広まってしまう傾向にある。

　そもそも、DDoS攻撃は企業サイトのURLからIPアドレスを引いて攻撃をしかけてくるのが一般的だ。したがって、攻撃中にサーバーのIPアドレスを変更しても、その攻撃から逃れることはできない。URLまで変更すると通常のアクセスも出来なくなってしまうため、対策が難しいという側面がある。

全世界のDDoS攻撃は12分に1回

　アーバーネットワークスではDDoSの実態を正確に把握するため、数多くの顧客に対するサーベイと、ISPなどに世界規模で設置されているDDoS検知プロダクト「Peakflow SPシリーズ」からのデータ収集により、「ワールドワイド・インフラストラクチャ・セキュリティ・レポート（WWISR）」という報告を毎年とりまとめている。これによれば、2011年に全世界で発生した固有のDDoSの回数は4万2890回であり、これは12分に1回の割合となる。DDoSは他人事とはいえない状況だ。

アーバーネットワークスが公開する「ワールドワイド・インフラストラクチャ・セキュリティ・レポート（Worldwide Infrastructure Security Report）」。英語版は米本社Webサイトからダウンロード可能だ

　DDoS攻撃による影響は計りしれない。たとえばショッピングサイトが24時間DDoS攻撃を受け続けた場合、一日中店舗を閉鎖されたことと同じ影響があると考えられる。また、アメリカではオンラインバンクが攻撃を受ける例が数多く報告されている。広大な国土を持つアメリカでは実店舗よりインターネット上での取引が相当数あると想定され、オンライン取引ができなくなることは、企業間の信頼関係にまで影響を及ぼす。弊社のユーザーによれば、1回のDDoSにより100万ドル（約8千万円）の被害が生じたという。

　DDoS攻撃による2次的被害も懸念の1つだ。企業のホームページが停止することにより、カスタマーセンターへの問い合わせが殺到し、業務が困難になるケースも想定される。

　DDoS攻撃は長時間に及ぶケースが多いことも、昨今の特徴の1つだ。あるサイトでは、攻撃によってサイトが停止に追い込まれてから、なんと2週間も後に弊社に連絡が来た。「そのうち止るだろう」という思い込みから対応策を取らなかったための結果だ。海外の事例では約6カ月に渡って攻撃を受けたという報告もある。

　DDoS停止の条件として金銭的な見返りの要求を攻撃者から受け、実際に払ってしまったケースも数多い。また、犯罪行為として捜査が行なわれることもあるが、DDoSの攻撃手法の複雑さから、犯人摘発にはなかなか至らないのが実情だ。もちろん捜査協力に対するリソースや情報開示などによる企業ポリシーの側面もあり、警察へ届け出ないという声は予想以上に多い。結果としてDDoS攻撃に対しては自ら防御を施す策が、企業やネットワークオペレータに求められる。

　なお、攻撃という語尾がつく言葉に「標的型攻撃（APT：Advanced Persistent Threat）」があるが、これはDDoS攻撃とは別物だ。標的型攻撃は、業務上関係のある人物を装い企業や政府機関などから情報を盗み出す攻撃である。標的型攻撃への対策はもちろん重要ではあるが、その方策がDDoS攻撃への対策を補完しないことも理解しておく必要がある。

　次回はDDoS攻撃の方法について説明しよう