インターネットを使用している企業の場合、どうしても外部からの悪意ある攻撃から自社を守る必要があります。
古くから存在する方法として、DDoS攻撃が有名です。
ただ、DDoS攻撃という言葉を聞いたことがあっても、具体的にどのようなものであるかが理解できていないケースが大半です。
では、DDoS攻撃とはどのような危険性がある脅威なのでしょうか?
この記事では、DDoS攻撃について徹底解説します。
目次
DDoS攻撃とは?
DDoS攻撃について改めて解説すると、サイバー攻撃の一種です。
攻撃する側は、PCなどのデバイスを踏み台として、サーバーなどの特定の機器に対して一斉攻撃します。
踏み台として用いるデバイスには関連性がないため、攻撃を受けた側は犯人を特定しにくいという特徴があります。
まちゃ、やっかいなのがデバイスのシステムやサービスの正常な動作を悪用しているパターンが多いので、防御しにくく対処しにくいサイバー攻撃です。
DDoS攻撃は、IPAが公開している「情報セキュリティ10大脅威 2020」の10位にランクインするなど、未だに多くの被害が発生している古典的な攻撃なのです。
2020年のランキングを見ると、以下のようになっています。
2019年順位 | 個人 | 2020年順位 | 組織 | 2019年順位 |
圏外 | スマホ決済の不正利用 | 1位 | 標的型攻撃による機密情報の窃取 | 1位 |
2位 | フィッシングによる個人情報の詐取 | 2位 | 内部不正による情報漏えい | 5位 |
1位 | クレジットカード情報の不正利用 | 3位 | ビジネスメール詐欺による金銭被害 | 2位 |
7位 | インターネットバンキングの不正利用 | 4位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
4位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 5位 | ランサムウェアによる被害 | 3位 |
3位 | 不正アプリによるスマートフォン利用者への被害 | 6位 | 予期せぬIT基盤の障害に伴う業務停止 | 16位 |
5位 | ネット上の誹謗・中傷・デマ | 7位 | 不注意による情報漏えい(規則は遵守) | 10位 |
8位 | インターネット上のサービスへの不正ログイン | 8位 | インターネット上のサービスからの個人情報の窃取 | 7位 |
6位 | 偽警告によるインターネット詐欺 | 9位 | IoT機器の不正利用 | 8位 |
12位 | インターネット上のサービスからの個人情報の窃取 | 10位 | サービス妨害攻撃によるサービスの停止 | 6位 |
特徴として、個人ではなく企業をターゲットとした攻撃である点です。
攻撃を仕掛ける側としては、より被害を拡大させようとして、企業のサーバーなどをターゲットとしているのが覗えます。
また、DDoS攻撃は他にランクインしている被害と違って、個人情報の漏洩や詐欺被害に遭うことはありません。
ただ、攻撃を受けると企業活動が停止する可能性があるために、蔑ろにはできません。
イメージ的には、6位にランクインしている「予期せぬIT基盤の障害に伴う業務停止」と似た被害が発生し、DDoS攻撃に取って代わって流行している印象があります。
ただ、まだまだDDoS攻撃は古典的な攻撃として多くの被害を発生させています。
DoS攻撃とDDoS攻撃はどう違うの?
DDoS攻撃と似た方法として、DoS攻撃があります。
似た言葉ですので、何がどう違うのかが気になりますが、実際にはDoS攻撃とDDoS攻撃は様々なサイバー攻撃の手法の一つではありますが、サーバーに危害を加えるという点は全く同じです。
大きく異なる点としては、攻撃を仕掛け方です。
具体的には、以下のような違いがあります。
- 複数台のデバイスを使用して攻撃するのがDDoS攻撃
- 単一のデバイスから攻撃するのがDoS攻撃
イメージとしては、DDoS攻撃はDoS攻撃がアップデートされて誕生した形です。
DoS攻撃では、原則として1台のデバイスから実行されますが、攻撃元のIPアドレスさえ遮断してしまえば、攻撃をブロックすることが容易でした。
ただ、DDoS攻撃は大量のデバイスから攻撃が行われるために、一部のデバイスを遮断しても攻撃を加えられるのです。
マルウェアに感染したデバイスを大規模で乗っ取ることで、DDoS攻撃を仕掛けるのが主流となっています。
DDoS攻撃の種類
DDoS攻撃には、実はいくつもの種類が存在します。
DDoS攻撃対策を施しても、また新たなDDoS攻撃が誕生しており、未だに被害が発生している事実があります。
主なDDoS攻撃について、詳しく解説していきます。
ACKフラッド攻撃
ACKフラッド攻撃では、ACK と呼ばれるTCP/IP通信の接続確立や切断要求の手順でやりとりされるパケットを、大量に送りつけて攻撃を仕掛ける手法となります。
ACKパケットは、SYNパケットやFINパケットなどの要求に対して、応答として用いられます。
もし、ACKパケットだけが送られると、サーバーはSYNパケットやFINパケットがないために無効と判断して処理します。
大量のACKが送られると、大量の破棄処理をしなければならなくなり、結果としてサーバーの処理に大きな負荷がかかり、被害を及ぼすのです。
UDPフラッド攻撃
UDPフラッド攻撃は、偽装したIPアドレスからDDoS攻撃を行う方法です。
UDPは、TCPと同様でデータ受信を司っていますが、UDPはTCPのように接続手順を簡略化するコネクションレス通信であるという違いがあります。
よって、一方的にパケットを送信できる特徴があるのです。
UDPは、オーバーヘッドが低い特徴があり、チャットなどの機能チェックや再チェックが不要なトラフィックとして活用されています。
UDPは、悪用されやすい傾向にあり、攻撃する側としては比較的負担が少なく攻撃可能です。
UDPフラッド攻撃の中にも、大きく以下2つの種類があります。
- ランダム・ポート・フラッド攻撃
- フラグメント攻撃
各々の攻撃の特徴は次の通りです。
ランダム・ポート・フラッド攻撃
ランダム・ポート・フラッド攻撃は、サーバーのポートに対して、UDPデータグラムも含まれたパケットを大量に送信する方法です。
サーバー側は、受信したパケットに対して、ポートで待機しているアプリケーションを繰り返し確認する処理を行います。
もし、アプリケーションが見つからない場合は、ICMPのDestination Unreachableパケットで応答するので、
以上のプロセスを大量に処理することで、さらにサーバーリソースを消費し、やがて処理しきれずに停止してしまいます。
フラグメント攻撃
フラグメント攻撃とは、突然大きなサイズのUDPパケットを大量に送信して攻撃する方法です。
また、あえて極端に短いパケットのデータを大量に送信して、ファイアーウォールなどに負荷をかける攻撃方法もあります。
どちらの方法においても、送信先は大量の処理が昼用になるために、リソースを消費して被害を及ぼします。
HTTP GET/POST Flood攻撃
HTTP GET/POST Flood攻撃とは、アプリケーション層攻撃にカテゴライズされています。
攻撃者は、Botを経由してターゲットとしたサーバーとTCPのコネクションを確立させます。
そして、HTTP GetリクエストをBotから常に送信するのです。
攻撃者としては、スクリプトなどを使用してURLの一部を変換してリクエストを送り続けるのが特徴です。
これによって、Eコマースなどのサイトに対して広範囲に攻撃を仕掛けることができます。
HTTP GET/POST Floodがやっかいな点は、HTTP Getリクエスト自体は正常な通信であることです。
よって、DDoS攻撃と判断をすることが困難であり、対処が難しい攻撃となっています。
SYNフラッド攻撃
SYNフラッド攻撃とは、TCP接続におけるハンドシェイクプロセスを使用して攻撃する方法です。
通常状態では、TCP接続は接続を確立するために、3つの異なるプロセスが用いられています。
まず始めに、接続を開始するためにSYNパケットをサーバーに送信します。
サーバー側は、通信を受け取ったことを確認するために、SYN/ACKパケットで初期パケットに応答するのです。
そして、ACKパケットを返してサーバーからのパケットの受信をチェックします。
上記一連のパケットの送受信が完了することでTCP接続が開かれて、データを送受信できます。
一連のプロセスの中で、攻撃者は最初のSYNパケットを受信したタイミングで、サーバーがSYN/ACKパケットを返信して、ハンドシェイクの最後のステップを待つ仕様を狙って攻撃を仕掛けるのです。
具体的には、なりすましたIPアドレスを使用して、大量のSYNパケットをサーバーに送信します。
サーバー側としては、各接続リクエストに応答してポートを開いた状態で待機します。
サーバー側は最後のACKパケットを待っているのですが、結果としてACKパケットはいつになっても到着しません。
攻撃者としては、さらにSYNパケットを送信し続けるのです。
新しいSYNパケットが到着すると、サーバーは新しいオープンポート接続を維持しますが、使用可能なポートが埋まったタイミングで、サーバーダウンに追いやられる形です。
FINフラッド攻撃
FINフラッド攻撃は、SYNフラッド攻撃と似たプロセスで攻撃する方法です。
具体的には、以下のような違いがあります。
- SYNフラッド攻撃:攻撃者が接続元IPを偽りbotからSYNを大量に送信して攻撃を仕掛ける方法
- FINフラッド攻撃:FINを大量に送信して攻撃を仕掛ける方法
Slow HTTP DoS Attack
Slow HTTP DoS Attackとは、共通した特徴を持つ複数のDoS攻撃手法の総称です。
Slow Client AttackやSlow Rate Attackとも呼ばれることが多いです。
これらの攻撃手法は、以前から存在しており、決して新しい手法ではありません。
ただ、未だに悪用されるケースが多く存在するのです。
一般的なDoS攻撃では、大量のパケットを攻撃対象に送信して、回線帯域やサーバー等の処理能力を逼迫させることを目的とします。
一方で、Slow HTTP DoS Attackは比較的少ないパケット数で長時間に渡って、TCP セッションが継続するように操作します。
これによって、WebサーバーのTCPセッションを占有して、正規のサイト閲覧者がアクセスできないように妨害するのです。
非常に小さな TCP ウィンドウサイズを指定し、WebサーバーからHTTP レスポンスを少しずつ受信し、セッションの継続時間を引き延ばすという点がとてもやっかいな攻撃です。
Connection Exhaustion攻撃
Connection Exhaustion攻撃は、Webサイトを閲覧したりメール送受信で活用される、TCP接続を攻撃する方法です。
TCP通信におけるコネクション確立を大量に実行して、その後はデータ通信を行わずに大量のコネクションをキープします。
これによって、新たなTCP通信が不可能となり、サービス提供が行えない状態を作り出すのが特徴です。
Stream Flood攻撃
Stream Flood攻撃は、比較的最近誕生した攻撃方法です。
スマートフォンなどのデータ通信として利用している、パケット通信を悪用して攻撃を仕掛ける方法です。
偽装したIPアドレスやポート、RSTフラグが設定されたパケットを大量に送信して、ネットワークやサーバーに大きな負荷をかけて被害を及ぼします。
DNS Flood attacks(DNSフラッド攻撃)
DNS Flood attacksは、DNSサーバーをターゲットとして、大量の名前解決を目的としたリクエストを送信します。
すると、正当なユーザからの名前解決プロセスを妨害しようとする攻撃です。
DNSは、一度実行した名前解決の内容を一定期間キャッシュに保持します。
再度同じ名前で解決できるケースでは、キャッシュの内容をユーザに返信することで、DNSサーバー間におけるトラフィックやDNSサーバーのリソースを節約します。
ただ、攻撃者が名前解決できない大量のリクエストを、一方的に送信されるとDNSサーバーのキャッシュは無効な内容で満されるのです。
また、DNSサーバー間のトラフィックを攻撃通信で溢れて、DNSサーバーへ負荷がかかりやがてサーバーがダウンします。
なぜDDoS攻撃が行われるのか?
DDoS攻撃に限ったことではありませんが、なぜ悪意ある攻撃が仕掛けられているのでしょうか?
ここでは、DDoS攻撃が行われている理由について解説します。
ライバルによる攻撃
各企業では、マーケティングという観点で少しでもライバル企業よりも露出度を多くしようと努力しています。
マーケティング戦略として、最も手軽かつ目に付きやすいのがホームページの開設です。
ホームページには、自社の商品紹介だけでなくどのような企業であるのかを効果的にアピールできます。
基本的には、自社の名前を検索してヒットして閲覧されることが多いのですが、まだ知名度が低い場合は、自社の提供している商品名などを検索キーワードとして、検索でヒットしてアクセスする方法があります。
ただ、同じキーワードで多くのライバルがいる場合、検索エンジンでも上位に表示されるのは難しいものです。
そこで、SEO対策などによって、少しでも目に付きやすい上位にヒットするように様々な工夫がされています。
ただ、ホームページの信頼性を失わせるようにDDoS攻撃が仕掛けられることがあるのです。
もしDDoS攻撃を受けると、単純にホームページにアクセスできなくなります。
再びアクセスできるようになるまでは、ライバル企業が潜在顧客を奪う可能性があります。
また、サイトがすぐに復帰できないことで、検索ランキングがダウンして、競合サイトがGoogleの検索結果で上位に来ることも想定されるのです。
サイトのコンテンツが原因で仕掛けられる
ホームページの内容が、全ての方にとって有益というわけではなく、確実に反対勢力がいるような内容の場合、DDoS攻撃が仕掛けられることがあります。
代表的な例として、内部告発サイトがあり、内部告発を恐れるものがDDoS攻撃を仕掛けることがあるのです。
他にも、反人種差別などを扱うホームページにおいても、アクションを停止させたい団体などからDDoS攻撃を受けるケースもあります。
サイトが攻撃されてしまうと、コンテンツの配信が困難となります。
また、問題の解決に時間を費やすことで、本来得られるはずの収益も低下するのです。
政治的な意向による攻撃
サイバー攻撃は、政治的動機によって仕掛けられることも多くなっています。
例えば、特定の政党や候補者、政治組織など特定の政治的信念を推進しているケースでは、それに反対する者からDDoS攻撃が加えられるケースがあります。
また、政治的議論を乱して、特定の種類のコンテンツをブロックすることを狙い、これを利用して人々の混乱を誘くことを目的にDDoS攻撃が行われ、これによって権利を剥奪しようと狙っているのです。
私怨による攻撃
何らかの原因で攻撃対象に私怨が発生し、感情がそのまま攻撃行動に反映されるケースがあります。
かつて、DoS攻撃やDDoS攻撃の理由の中で、最も多い動機となっていました。
錯誤を誘発させるための攻撃
DDoS攻撃は、誰の目にも明らかに被害を受けたことが分かります。
この効果を狙って、被害が目立つDDoS攻撃を仕掛けて管理者の意識を集中させます。
そして、混乱に乗じて別のサイバー攻撃を仕掛けるという方法が用いられることが多く、DDoS攻撃以上の被害が発生する可能性があるのです。
脅迫目的での攻撃
最近流行している攻撃に、ランサムウェアがあります。
ランサムウェアでは、実際に身代金を支払った事例があるなど、今でも大きな被害が発生しています。
実は、DDoS攻撃も脅迫目的で利用されることがあるのです。
攻撃対象に対して、警戒を促す程度のDDoS攻撃を仕掛けて、中止を条件として金銭などを要求されるケースがあります。
特に、中小企業をターゲットとして行われることが多いです。
DDoS攻撃された場合の影響は?
DDoS攻撃を受けた場合、具体的には以下のような被害が発生します。
中には、企業の業績にも直結する可能性があるために注意が必要です。
ホームページの停止
DDoS攻撃を受けると、ホームページがダウンします。
例えば、インターネットショッピングを手がける企業の場合、ホームページがダウンすると商品を販売できなくなり、大きな被害が発生するのです。
また、企業としての評判にも傷が付き、顧客満足度の低下が懸念されます。
さらに、ホームページをすぐに修正しないと、SEO面での影響が発生し、検索順位の低下などの被害も発生します。
ホームページが脆弱になる
DDoS攻撃を受けると、すべてのシステムがサイトをオンラインで正常に稼働させようとして、 サイトがハッキングに対してより脆弱になるケースがあるのです。
これによって、セキュリティシステムが正常に機能しなくなります。
この隙を突いて、さらに大きな被害を発生させるような攻撃を仕掛けるというのが常套手段となっています。
経済的な被害
従量課金制のクラウドサービスをターゲットとして攻撃を仕掛けると、運営側に莫大な課金額が課されて経済的な損失が発生します。
他にも、ホームページの復旧には時間がかかることで、復旧する間の売上減少だけでなく復旧にかかる費用も発生します。
DDoS攻撃の被害例
DDoS攻撃は、過去大きな被害が発生した事例があります。
ここでは、実際に発生した有名な被害について解説します。
パレスチナ爆撃に対する抗議
DDoS攻撃は、特定の企業だけをターゲットにするだけではありません。
政治的な問題に対しても、DDoS攻撃が仕掛けられることがあります。
実際に行われた事例としては、イスラエル軍によるパレスチナ自治区ガザへの空爆に対する抗議を目的として、匿名ハッカー集団として有名なアノニマスが、DDoS攻撃を行いました。
これによって、イスラエル政府や銀行系サービスを中心として、多くのホームページがダウンしました。
一国家に対しての挑戦的なDDoS攻撃は、大きな話題を呼びました。
東京五輪組織委員会
2015年の11月4日夜に、東京オリンピック組織委員会の公式サイトに対してサイバー攻撃が行われ、約12時間閲覧不能になりました。
「Denial of Service attack」の略称で、大量のデータを送りつけることによってサーバーに負荷をかけてシステムに被害が及んだのです。
大会公式エンブレムの公募が11月24日から受け付ける予定でしたが、このトラブルから急遽SNSでの募集に変更となっています。
個人ブログへの攻撃
2016年9月に、サイバーセキュリティ専門ジャーナリストのブログをターゲットとして、
マルウェアであるMiraiに感染したIoT機器、合計約18万台からの大規模攻撃を受けました。
Dyn社
DNSサービスを提供している、アメリカのDyn社が、2016年10月21日)に大規模なDoS攻撃を受けました。
これによって、顧客であるTwitterやPlayStation Networkなどのサービスが、断続的に利用できなくなったのです。
この事例でも、マルウェアであるMiraiが悪用されて被害が拡大した形です。
HHS(米保健福祉省)
2020年3月に、HHS(米保健福祉省)のシステムをターゲットに、DDoS攻撃が行われました。
当時は、新型ウイルス危機の最中にあり、HHSもその対応に追われていました。
幸いなことに、DDoS攻撃を受けての実害は発生していませんが、国家の根幹を担う機関にも攻撃が加えられた形です。
Cloudflare(クラウドフレア)
2020年6月には、アメリカのセキュリティサービス事業者である、Cloudflare(クラウドフレア)に対して、最大毎秒7億5,400万パケットにも達する大規模なDDoS攻撃が行われました。
ただ、Cloudflare(クラウドフレア)自身が高いセキュリティレベルを誇っており、自動対応によって実被害はありませんでした。
DDoS攻撃の対策方法
未だに多くの被害が発生しているDDoS攻撃を、如何に防げるかが重要です。
主なDDoS攻撃の対策方法について、詳しく解説します。
同じIPからのアクセス制限
同じIPアドレスからのアクセス制限を行うことで、少なからず防御することができます。
抜本的なDDoS攻撃への対策とはなりませんが、実施する価値がある対策です。
同時に、頻繁に攻撃を仕掛けるIPアドレスを特定した上で、そのIPアドレスからのアクセスを遮断してください。
特定国からのアクセスを遮断する
DDoS攻撃は、何も国内からだけに限らず、世界中から標的にされるケースもあるのです。
よって、日本だけをターゲットにしたサービスを提供している企業であれば、アクセス許可を日本に限定するのもよいでしょう。
実際に、日本の企業が受けるサイバー攻撃の大半は、海外のサーバーを経由して実施されています。
不正に乗っ取られたIPアドレスは世界中に拡散しており、特定国のアクセスを遮断することでDDoS攻撃を未然防止できます。
DDoS攻撃対策ツールの導入
根本的なDDoS攻撃として、おすすめしたいのがDDoS攻撃対策ツールの導入です。
DDoS攻撃対策ツールを導入することで、攻撃を未然防止することができると同時に、仮に攻撃を受けても被害を最小限に抑えることが可能です。
DDoS攻撃対策ツールについては、以下のような種類があります。
WAF(Web Application Firewall)
WAF は、DDoS攻撃対策ツールとして最も有名です。
ホームページ上のアプリケーションに特化したファイアウォールであり、一般的なファイアウォールと違ってアクセスデータの内容をアプリケーションレベルで解析可能です。
ネットワークやアプリケーションレイヤーに対するDDoS攻撃の保護と同時に、不正侵入を防御することが可能です。
IDS/IPS(Intrusion Detection System/Intrusion Prevention System)
IDS/IPSでは、不正アクセスを即座に検知して、ネットワーク管理者などに通報することができるシステムです。
アプリケーションレイヤーに対するDDoS攻撃に対して、有効的な対策となります。
UTM(Unified Threat Management)
UTMは、以下の機能を実装したツールです。
- ファイアウォール
- VPN
- アンチウィルス
- Webフィルタリング
同時に、DDoS対策を実装しているツールも多くあります。
上記機能を掛け合わせて、効果的な対策が可能です。
また、1台のハードウェアの中で複数のセキュリティ機能を持たせて、管理を効率化できる点も魅力的です
DDoS防御専用アプライアンス
DDoS防御専用アプライアンスは、DDoS攻撃に対しての防御機能に特化したツールです。
専用アプライアンスですので、高パフォーマンスを発揮して様々なDDoS攻撃を検知したり防御できるのが魅力的です。
インターネットサービスプロバイダやデータセンタといった、大規模なシステムにも柔軟に対応できます。
おすすめのDDoS攻撃対策ツール4選
より効果の高いDDoS攻撃対策ツールを4つ紹介します。
自社にマッチするかどうかを判断して、積極的に取り入れましょう。
Scutum
Scutumは、SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性をターゲットにした攻撃を防御できるツールです。
新たな脆弱性や攻撃手法に対して強みがあり、早急に対応して誤検知の少ない点が魅力的です。
日本国内のクラウド型WAF市場において、売上シェア11年連続No.1と圧倒的な実績を誇っています。
専門部門による24時間サポートによって、もしものトラブル発生時も安心です。
Akamai
Akamaiは、広範囲にわたるマルチベクトル攻撃に対して適切に保護できるツールです。
Web アプリと API のセキュリティを効果的に自動化できるので、利便性の高いツールでもあります。
400 ギガビット/秒を超えることもある攻撃を緩和して、ほぼ即座に復旧することができるのでDDoS攻撃対策としても有効的です。
製品のトライアルが可能であり、事前に確認した上で導入できるのもよいですね。
BLUE Sphere
BLUE Sphereは、クラウド型のWAF、DDoS防御、改ざん検知機能を備えた総合セキュリティツールです。
基本プランの利用で、すべての脅威に対処して httpsにも無償で対応可能です。
セキュリティエンジニアが不用な基本サービスとして提供されるので、システム担当者がいない中小企業でも導入できます。
サイバーセキュリティ保険も自動付属するので、もし被害が発生した際にも安心です。
攻撃遮断くん
攻撃遮断くんは、中小企業でも導入しやすいツールとして人気です。
低価格でありながら、万全のセキュリティレベルをキープしています。
運用やサポートなども、全て国内自社で対応してもらえるので安心です。
また、日本のセキュリティに合わせたサービス体系を整えている点もよいですね。
現有システムを変更することなく、導入できますので導入時の手間もかかりません。
DDoS攻撃対策を実践しよう
DDoS攻撃は、いつどの企業がターゲットに行われるか分かりません。
もし、自社が攻撃の被害に遭うと金銭的な被害だけでなく、顧客や消費者からの信頼が失墜しかねません。
日々のDDoS攻撃対策が重要となり、今回紹介したようなツールなどを活用してDDoS攻撃の被害に遭わないように準備しましょう。
