「セキュリティに対する重要性は理解したけれど、用語が難しくて」という声を聞くことがよくあります。そんな方に「今だから学ぶ!」と題して、連載でセキュリティの頻出用語を解説します。第36回は、「DDoS攻撃」についてです。
DDoS攻撃 (Distributed Denial of Service Attack,分散型サービス拒否攻撃) とは、前回紹介したDoS攻撃を分散型の攻撃方法に進化させたものです。DDoS攻撃では、サーバーやネットワーク機器などに対して意図的に過剰な負荷をかけるなどの攻撃を行い、ネットワークの遅延やサイトへのアクセスができないようにします。
DDoS攻撃は、現在もっとも利用されているサイバー攻撃の1つです。以前、本ブログで2015年の第1四半期に発生したおよそ5500万件の攻撃の大部分を構成する5つの攻撃方法についての調査レポートを紹介しました。そこでは、依然として、インターネットサービスの中断またはアクセス拒否がすべての攻撃の40%以上を占め、引き続きナンバーワンの攻撃方法となっていることを紹介しました。この背景にあるのは、DDoS攻撃ツール用に数ドルを支払うことで悪意のあるトラフィックをウェブサイトに大量に送りつけるだけで済むので、この方法が最も簡単であるということです。
DoS攻撃では、1台のシステムから攻撃を行います。一方、DDoS攻撃では、複数のシステムから標的となるサーバーやネットワーク機器などに対して、一斉に攻撃します。DDoS攻撃には、SYNフラッドやUDPフラッド、ティアドロップ攻撃、Ping of Death、スマーフィング、メール爆弾などさまざまな手法が存在しています。
攻撃対象マシンで動いているソフトウェアの脆弱性を突くケースもあれば、対象システムに処理できないほど大量のトラフィックを送りつけるケースもあります。攻撃の対象としては、(ネットワーク層、ネットワーク・リンク、終端ホストなどの)ITリソースそのものや、リソースの通信経路などが狙われています。
サイバー攻撃者は、実際に攻撃を行うシステム(踏み台として利用)を構成します。まず、ワームやトロイの木馬などを利用して、インターネット上にあるシステムに侵入し、DDoS攻撃用のソフトウェアをインストールします。ソフトウェアで時刻の同期を行うことにより、設定した日時に攻撃対象のシステムを一斉に攻撃します。これらの踏み台となるシステムは非常に多数で、送信アドレスを詐称することも多いため、簡単にDDoS攻撃に対して防御手段を取ることは困難です。
また、新しい動きとして、IoTデバイスを利用した攻撃も増加しています。米国で2016年10月に発生した大手ネットサービスを相次いでダウンさせたDDoS攻撃では、IoTデバイスに感染するマルウェア「Mirai」が使われ、攻撃の踏み台となったのは防犯カメラやIPカメラだと報道されています。このようなIoTデバイスを利用した攻撃も増加傾向であるため、US-CERTではアラート(警告)(英文)を出しています。
DDoS攻撃の対象になっていないからといって安心してはいけません。自身が攻撃を行っているという自覚がなくても、攻撃用ツールを仕込まれてしまうと、自分自身が知らない間に加害者になっている場合もあります。DDoS攻撃の加害者にならないためには、サーバー/OS/ネットワーク機器に対してセキュリティパッチを提供するなど最新の情報を保つようにしてください。また、DDoS攻撃ツールがインストールされていないことを確認してください。