DoS(サービス運用妨害:Denial of Service)攻撃とは、ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、サービス機能を停止させるサイバー攻撃です。サービス提供者が被害にあってしまうと、機会損失を産み、信用失墜につながる大きな影響を受ける可能性があります。本記事では、DoS攻撃/DDoS攻撃の脅威として攻撃の実例に触れつつ、攻撃者が実行する動機と被害を受けてしまった場合の影響、攻撃シナリオに基づく対策方法をご紹介します。
DoS攻撃/DDoS攻撃とは
DoS攻撃とは、ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、アクセスしにくい状況にしたり、使用停止状態に追い込んだりするなど、機能を停止させるサイバー攻撃です。
そして、複数の分散した(Distributed)拠点から一斉にこのDoS攻撃を仕掛けることを、「DDoS(Distributed Denial of Service)攻撃」といいます。
サービス提供者がDoS攻撃/DDoS攻撃を受けた場合、サービス停止によって機会損失を生み、信用失墜は通常のサイバー攻撃より大きい場合も考えられ、攻撃の踏み台にされることで間接的な加害者となる可能性もあります。
近年では、分散化や大規模化も進んでおり、単純なサービス妨害から複雑なサイバー犯罪に変化してきているといっても過言ではありません。詳しくは「すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策」にも記載がありますので、あわせてお読みください。
DoS攻撃/DDoS攻撃の実例や最近の傾向について
次に、攻撃の実例や最近の傾向にふれます。具体的にどういったことが脅威なのか想像しながらみていきましょう。
DDoS攻撃の事例
(実例1)ボットネットMērisによるDDoS攻撃
時 期 | 2021年9月 |
概 要 | セキュリティ企業Qrator Labsが「Mēris」による史上最大規模DDoS攻撃の 調査結果を公表*1。5年前にIoT機器を狙ったマルウェア「Mirai」の3倍を超える威力(リクエスト数)だった。 |
攻撃の規模等 (検知・阻止された) | 最大毎秒2,180万リクエスト、推計25万台のルータによる攻撃用ネットワーク、ボット化された攻撃ホストの総数20万台超 |
(実例2)GitLabサーバの脆弱性を悪用した1Tbps超のDDoS攻撃
時 期 | 2021年11月 |
概 要 | Googleのエンジニアが「脆弱性CVE-2021-22205*2の悪用によって侵害された数千個のGitLabインスタンスで構成されたボットネットが、1Tbpsを超えるDDoS攻撃を実行している」とTwitter上で発信し、GitLabもこの脆弱性に関する注意喚起を公開した。2021年11月1日公開のRapid7の分析によると、インターネットに接続されているGitLabサーバ6万台超のうち、約半数にあたる3万台がCVE-2021-22205を修正するパッチを適用していなかったという*3。
※パッチは2021年4月に公開され、同年10月には悪用事例もHN Security社から発表されていた。 |
攻撃の規模等 | 毎秒1Tbpsリクエスト、脆弱性CVE-2021-22205の悪用によって侵害された数千個のGitLabインスタンスで構成されたボットネット |
DDoS攻撃の最近の傾向
2022年4月、米CDN(コンテンツデリバリネットワーク)企業Cloudflareより、2022年第1四半期の1~3月における観測結果のDDoS攻撃レポートが公表されました4。
調査によると、DDoS攻撃のうち、正当なユーザリクエストを処理できないようにしてWebサーバを停止させることを目的とした「アプリケーション層DDoS攻撃」については前年比で164%、前四半期比で135%増加しました。
また、アプリケーション層DDoS攻撃と異なり、ルータやサーバ等のネットワークインフラとインターネットアクセス自体の阻害を目的とした「ネットワーク層DDoS攻撃」については、前年比で71%増加、前四半期比で58%減少しましたが、ボリューム型攻撃は増加しているとのことです。
DDoS攻撃の5つの動機と攻撃による影響
ここまでの記述からDoS攻撃/DDoS攻撃の危険性がなんとなく想像できたと思います。DDoS攻撃には注意すべき事項があります。ここからは攻撃者がDDos攻撃を実行する5つの動機から、実際に被害にあってしまった場合に、どのような影響を受けてしまうのかについて述べていきます。
DDoS攻撃の5つの動機
DDoS攻撃の3つの影響
動機と影響の関連性
【図3】と【図4】には下記のような関連性があります。
- 業務妨害→サービス停止、経済的な被害
- 陽動作戦→DDoS以外の攻撃による被害
- 脅迫→経済的な被害(もともとが金銭目的のため)
- 嫌がらせ・愉快犯→サービスの停止(実利を得ることを目的としていないため)
- ハクティビズム→サービスの停止、DDoS以外の攻撃による被害(話題性アップが目的の影響力の大きい攻撃などが考えられる)
Webアプリケーションへの攻撃シナリオ
前項のうち、「DDoS攻撃の5つの動機」の「陽動作戦」を例に挙げて、Webアプリケーションへの攻撃シナリオの概要と対策方法ついて考えてみましょう。
※「スキャン」≠「攻撃」
スキャンとは攻撃できる脆弱性があるかを調査するアクセスで、攻撃はデータを抜き出したりコンテンツを改竄したりするためのアクセスのことです。つまり、攻撃前の調査活動にあたるもののことをいいます。
日本国内で、2021年夏に開催した東京五輪前後に国内スポーツニュースサイトへのトラフィックが急増したとのデータ*5があります。全体のグラフを見て、開会式後が低く安定していることからも単なる閲覧増によるトラフィックの増加ではなくDDoS攻撃による可能性もあります。
この日本国内を狙ったスポーツニュースサイトへのトラフィックは、Webスキャンで事前調査をしてから攻撃をする、という手法が近年増えていることの根拠となりえます。ハッカーが手動で調査をせず、ツールによる自動調査をすることで脆弱性を見つけてからピンポイントに攻撃をしかけるので、攻撃までにかけるコストが減り、結果的に攻撃件数が増加していると考えられます。
DoS/DDoS攻撃の対策方法
サービス停止が起きてしまったために、得られるはずだった利益の機会損失、信用失墜、あるいは、攻撃の踏み台にされることで間接的な加害者となる可能性すらありえるDoS攻撃/DDoS攻撃。経済的な被害を受ける可能性もあります。そんなDoS攻撃/DDoS攻撃への対策を最後に紹介します。
「すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策」 にも記載がありますが、下記の3点が基本的な対策です。
- 必要のないサービス・プロセス・ポートは停止する
- DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
- 脆弱性対策が施されたパッチを適用する
自組織のセキュリティ状況を見直し、リスク状況を把握することにより、攻撃に備えることが大切です。どの対策のほうがより効果があるということではなく、それぞれ防御するレイヤーが異なるので複数組み合わせていく、「多層防御」がより効果的です。
WAF(ウェブアプリケーションファイアウォール)
図5の攻撃シナリオ部の「DDoS攻撃」と「攻撃パケットの送信」に対して有効です。WAFでは大量に不正に送信される大量のパケットのブロックや、一時的にアクセスが集中した際にはサーバが停止する前にアクセスの制限をかけるなどができます。また、適切なシグネチャ(Webアプリケーションへのアクセスパターンの定義ファイル)を設定しておくことで、攻撃コードの送信を検知して攻撃コードがアプリケーションに届く前に不正なコードの送信としてWAFで止めることが可能になります。
Webアプリケーション脆弱性診断
Webアプリケーションへの攻撃シナリオの「脆弱性の検出」及び「脆弱性を悪用した攻撃」に有効です。脆弱性診断を行うことで予め管理しているWebアプリケーションの脆弱性状況を把握し、脆弱性の修正を行うことによってスキャンされた際に脆弱性情報としてハッカーの目に留まることを防げます。脆弱性を悪用した攻撃についても同様でそもそも悪用できそうな脆弱性がない、という状態を維持することができます。
ランサムウェア対策総点検
社内ネットワーク内のクライアントorサーバでマルウェアが感染した際にどこまで侵入できてどういった情報をみられるかといったシミュレーションをする診断になります。こちらは直接関係しませんが、マルウェアに感染した場合にどういった影響を及ぼすかといったリスクを可視化し、適切な対策の提示が可能になります。ここまでご紹介してきたDDoS攻撃などによって「踏み台」にされるリスクへの対策になります。
弊社では、お客様のニーズに合わせて、様々な脆弱性診断サービスを提供しております。システムの特徴やご事情に応じてどのような診断を行うのが適切かお悩みの場合も、ぜひお気軽にご相談ください。
Security Report TOPに戻る
TOP-更新情報に戻る