第6回 “あのセキュリティ事故”はどうやったら防げた? 検証委員会

“WAF+DDoS攻撃対策+ボット対策”を統合プラットフォームで提供「FortiAppSec Cloud」

95Gbpsの大規模DDoS攻撃で、予約サイトがサービス停止に! どうやったら防げた?

文●大塚昭彦/TECH.ASCII.jp

提供: フォーティネット

  • この記事をはてなブックマークに追加
  • 本文印刷

■今回のセキュリティ事故:

 ホテル・旅館などの宿泊予約サービスを提供するW社では、ユーザーのアクセスが増える週末土曜日の朝を迎えていた。この時期はゴールデンウィークの宿泊予約が増える“かき入れ時”であり、この日も予約件数は朝から順調に伸びていた。

 だが、その日の昼を過ぎたころ、トラフィックの状況を監視していたSREエンジニアが異変に気づいた。わずか10分の間にアクセストラフィックが数倍に急増し、ユーザーへの応答速度(レイテンシ)が急激に悪化し始めたのだ。

 エンジニアは当初、一時的にアクセスが集中しているせいだと考え、クラウドリソースを増強することでトラブルを乗り切ろうとした。しかし、トラフィックの増加と応答速度の悪化は止まらなかった。対応開始から1時間後には、ユーザーがまったくアクセスできないサービス停止状態に追い込まれてしまった。

 トラフィック急増の原因はDDoS攻撃だった。その攻撃規模は通常時のピークトラフィックの20倍を超える95Gbpsに達し、しかもその攻撃は8時間以上続いた。W社にはサービスのユーザー、提携している宿泊施設の双方から問い合わせや苦情が殺到し、社内は大混乱に陥った。

 W社では以前からWAF(Webアプリケーションファイアウォール)を導入しており、そもそもアプリケーションにも脆弱性はなかったため、今回のケースでW社に落ち度はない。それでも、DDoS攻撃によって大きな機会損失が発生し、企業イメージにも傷が付いてしまった。攻撃者の身元や狙いは分からず、ふたたびDDoS攻撃を受けるおそれもある。……この事故は、どうやったら防げたのだろうか?

ふたたび注目される「DDoS」の脅威、社会インフラへの攻撃が次々発生

 2024年の年末から2025年の年明けにかけて、日本航空(JAL)、三菱UFJ銀行、みずほ銀行、NTTドコモなど、日本の大手企業をターゲットとした大規模なDDoS攻撃が相次いで発生した。航空便の遅延/欠航、ネットバンキングのサービス障害などが発生し、テレビなどのニュースでも大きく取り上げられたので、覚えている読者も多いだろう。

 攻撃者の身元や狙いはよく分かっていないが、いずれも利用者の多い“社会インフラ”といえるWebサービスを狙った攻撃であり、日本社会に大きな衝撃を与えたことは間違いない。IPAが毎年発表する「情報セキュリティ10大脅威 2025年版」では5年ぶりに「DDoS攻撃」が取り上げられたほか、内閣サイバーセキュリティセンター(NISC)や警察庁もDDoS攻撃に対する注意喚起の文書を公開している。

DDoS攻撃の脅威がふたたび注目されている(画像はIPA「情報セキュリティ10大脅威 2025」より)

 DDoS攻撃は、マルウェアに感染したIoTデバイスなど(ボットネット)を悪用し、Webサービスに対して大量のトラフィックを送信することで過負荷の状態を引き起こし、“サービス停止”状態に追い込む攻撃だ。

 DDoS攻撃では、個人情報や機密情報が漏洩したり、システムが破壊されたりといった被害こそ発生しないが、今回のストーリーで登場したW社のように、サービス停止によるビジネス上の機会損失という被害が起こる。さらには企業イメージの悪化、顧客への謝罪や補償の発生といった被害も起こりうる。

 攻撃者側の狙いはさまざまだ。「DDoS攻撃を仕掛けるぞ」と金銭(身代金)を要求する脅迫だけでなく、国家を背景とした犯罪者による敵対国の社会インフラ攻撃、ハクティビストグループによる政治的アピールなどが代表的だ。株価操縦を目的に、上場企業を狙うDDoS攻撃を実行するような犯罪も考えられる。

 ITやハッキングのスキルを問わず、誰でも容易に実行できるようになったことも、DDoS攻撃発生のリスクを高めている。犯罪者たちが集うダークウェブでは「DDoS攻撃代行サービス」が販売されており、犯罪者に金銭を支払うだけでDDoS攻撃が実行できてしまう。もちろん、こうした攻撃サービスの利用は違法であり、昨年(2024年)は国内で逮捕者も多く出た。なんと中学生がDDoS攻撃を依頼し、書類送検されたケースもあった。

DDoS攻撃への対策は「多層防御」で考えなければならない

 攻撃発生のリスクが高まる一方で、DDoS攻撃対策は一筋縄ではいかないのが悩ましいところだ。

 ほかの攻撃手法とは違い、DDoS攻撃は通常の(正当な)アクセストラフィックにまぎれ込み、“攻撃意図のあるアクセス”かどうかを判断しにくい。さらに、その攻撃は多数の拠点から一斉に仕掛けられるため、攻撃だけをブロックするのは至難の業だ。正当なアクセスまでブロックしてしまうと、サービスレベルの低下や機会損失に直結するので、対策は慎重にならざるをえない。

 近年のWebサービスでは、WAFを導入して攻撃からの保護を図っているケースが多いが、DDoS攻撃には「WAFで防げないもの」もある。具体的に言うと、アプリケーションレイヤー(レイヤー7)を狙うタイプのDDoS攻撃(HTTPフラッド、Low and Slow、セッション枯渇攻撃など)はWAFで防げるが、ネットワークレイヤー(レイヤー3/4)を狙う攻撃(SYN/ACKフラッド、UDPフラッド、リフレクション攻撃など)はWAFでは防げない。

 最近のDDoS攻撃では、この2つのタイプの攻撃を混在させるものが増えているため、現実には「多層防御」構成が必要となっている。アプリケーションレイヤーの対策にはWAFを、ネットワークレイヤーの対策にはCDNやDDoS対策サービスなどを導入し、組み合わせて使うことになる。特に、ネットワークレイヤーで回線リソースの枯渇を狙う攻撃は、個々の組織がオンプレミスで対応するのは難しいため、クラウドベースのソリューションやキャリアレベルの保護が主流となっている。コストや運用の手間を考えると頭が痛いところだ。

 もうひとつ、DDoS攻撃発生をいち早く検知し対応を行うためには、トラフィックの監視も不可欠である。通常のサービス監視ならばアクセス集中が予想されるピーク時間帯だけでよいが、DDoS対策の場合はいつ発生するか分からず、24時間×365日の監視が求められる。これまでSOCを運用してこなかった企業が、こうした監視体制を実現するのは簡単ではないだろう。

Webアプリケーションセキュリティを統合して提供する「FortiAppSec Cloud」

 こうしたWebサービス提供者の悩みを解決するのが、フォーティネットが2024年末に日本で提供を開始した、クラウド型の統合Webアプリケーションセキュリティサービス「FortiAppSec Cloud」である。

「FortiAppSec Cloud」の統合管理コンソール

 FortiAppSec Cloudは、“WAF+DDoS対策+ボット対策”の機能をオールインワンで提供し、Webアプリケーションを包括的に保護するセキュリティプラットフォームだ。さまざまなセキュリティ製品/サービスを個別に導入し、管理するのは担当者に大きな負担がかかるが、一つのプラットフォームに統合されたFortiAppSec Cloudならば、導入も管理もシンプルである。

「FortiAppSec Cloud」は、さまざまなWebアプリケーションセキュリティ機能を単一プラットフォームに統合したクラウドサービス

 まずは今回のテーマ、DDoS攻撃対策について見てみよう。先に触れたとおり「多層防御」のアプローチが必要だが、FortiAppSec Cloudならばネットワークレイヤー、アプリケーションレイヤーの両面から対策が行える。

 ネットワークレイヤー(L3/L4)では、フォーティネットが世界中に分散配置しているCDN拠点(スクラビングセンター)でDDoS攻撃のトラフィックを食い止め、オリジンサーバーにトラフィックが集中しないよう負荷を分散/軽減することができる。オリジンサーバーのIPアドレスを秘匿化して、直接攻撃を防ぐことも可能だ。

 アプリケーションレイヤー(L7)では、WAFの機能を用いて、同一ユーザー(クライアント)からのHTTPリクエスト数やTCPコネクション数を制限したり、HTTPフラッド攻撃、Low and Slow攻撃といったDDoS攻撃手法に対抗する。

 加えて、正当なユーザーアクセスと見分けにくい高度なDDoS攻撃やボットアクセスに対しては、AI/機械学習を活用したふるまいの異常検知も行う。これにより、正当なアクセスとDDoS攻撃を高い精度で判断し、攻撃トラフィックだけをブロックすることができる。

DDoS攻撃対策はネットワークレイヤー、アプリケーションレイヤーの両方に対応する

 なおフォーティネットでは、24時間体制でWebアプリケーションのセキュリティを監視する「FortiWeb SOC-as-a-Service」も提供している。FortiAppSec Cloudと組み合わせて導入することで、DDoS攻撃をはじめとするサイバー攻撃の早期検知や対応が可能になる。

ボット(クローラー)対策、CDNによる可用性向上などの機能も統合

 もちろんFortiAppSec CloudのWAF機能は、DDoS以外のさまざまなサイバー攻撃も検知/ブロックして、Webサービスを保護してくれる。たとえばSQLインジェクション、XSS(クロスサイトスクリプティング)、認証の不備など、Webアプリケーションで特にリスクの高い「OWASP Top 10」脅威をすべてカバーする。

 さらに、FortiGuard Labsが提供する最新の脅威インテリジェンスに加え、AI/機械学習によるリアルタイム分析を組み合わせることで、未知の脆弱性を突いたゼロデイ攻撃にも迅速に対応可能だ。既知のシグネチャに依存せず、挙動ベースでの検知を行うため、従来型の防御をすり抜ける新種の攻撃からもWebサービスを守る。また、近年増加傾向にあるAPIへの攻撃に対応するため、API保護に特化したセキュリティ機能も用意されている。

Webアプリケーションの高リスク脅威をすべてカバー、AIによってゼロデイ攻撃への対応も

 サイバー攻撃ではないものの、ボット(クローラー)によるアクセスも、Webサービス提供者にとっては“悩みの種”だ。プログラムで自動化されたボットは、人間によるアクセスのようにふるまいながら、たとえば「掲載されている製品やサービスの価格」のような情報を、大量に収集する。このボットが高頻度に大量のアクセスを発生させるならば、サーバーに負荷がかかり、一般ユーザーへの応答速度低下やシステム障害を招くことがある。

 FortiAppSec Cloudでは、こうしたボットのアクセスも制限/ブロックできる。さらに、ブラウザ情報の整合性分析や、AI/機械学習による操作パターンの分析から、既知のボットだけでなく未知のボットでも見抜くことが可能だ。

 このように、FortiAppSec Cloudは、Webアプリケーションに対する幅広い攻撃に対応するセキュリティ機能を備えている。それと同時に、CDNやGSLB(広域負荷分散)、ロードバランサーといった機能が、平常時のアプリケーションパフォーマンスや可用性を改善する。

 そして何よりも、Webアプリケーションを守り、パフォーマンスを改善する多様な機能が、統合された一つのプラットフォームで提供されるシンプルさが大きな魅力だ。導入と運用の手間を大幅に軽減し、インシデント発生時の迅速な検知/状況把握/対応にもつながる。多拠点での運用や、マルチクラウドの活用を進めるうえでも、ポリシーの一貫性を保つことができる。

FortiAppSec Cloudが提供する機能の全体像。DAST(動的アプリケーションセキュリティテスト)機能も備える

■セキュリティ事故、その後日談:

 DDoS攻撃がふたたび発生するおそれがあることから、W社ではその対応策として、従来利用してきたWAFをFortiAppSec Cloudに切り替えることにした。これにより、ネットワークレイヤーでのDDoS攻撃でもサービスへの影響を抑えることができる。

 DDoS攻撃を受けてから半年が経ったが、その後、大規模なDDoS攻撃は発生していない。それでもW社では、FortiAppSec Cloudを導入した効果を高く評価している。CDNやロードバランサーなどの機能によって、平常時のサービスもより安定して提供できるようになったからだ。FortiAppSec Cloudが、サイバー攻撃を受けた際の“保険”だけにとどまらない点は、経営層からも好評を得ている。

 また、これまで複数に分散していた管理コンソールが一本化され、Webサービスの運用が効率的になったこともメリットだ。セキュリティ担当者もSREエンジニアもこの画面を参照し、お互いに情報を共有しながら日々の運用を進めている。

■関連サイト

※この記事で紹介したストーリーはフィクションです。実在する組織や人物とは関係ありません。

Fortinet トップへ