DoS攻撃/DDoS攻撃の脅威と対策

Share
DoS攻撃/DDoS攻撃のイメージ(「現在アクセスが集中しております」)

DoS(サービス運用妨害:Denial of Service)攻撃とは、ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、サービス機能を停止させるサイバー攻撃です。サービス提供者が被害にあってしまうと、機会損失を産み、信用失墜につながる大きな影響を受ける可能性があります。本記事では、DoS攻撃/DDoS攻撃の脅威として攻撃の実例に触れつつ、攻撃者が実行する動機と被害を受けてしまった場合の影響、攻撃シナリオに基づく対策方法をご紹介します。

DoS攻撃/DDoS攻撃とは

DoS攻撃とは、ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、アクセスしにくい状況にしたり、使用停止状態に追い込んだりするなど、機能を停止させるサイバー攻撃です。

そして、複数の分散した(Distributed)拠点から一斉にこのDoS攻撃を仕掛けることを、「DDoS(Distributed Denial of Service)攻撃」といいます。

Dos攻撃/DDos攻撃とはのサムネ
【図1】DoS攻撃の概要図、【図2】DDoS攻撃の概要図

サービス提供者がDoS攻撃/DDoS攻撃を受けた場合、サービス停止によって機会損失を生み、信用失墜は通常のサイバー攻撃より大きい場合も考えられ、攻撃の踏み台にされることで間接的な加害者となる可能性もあります。

近年では、分散化や大規模化も進んでおり、単純なサービス妨害から複雑なサイバー犯罪に変化してきているといっても過言ではありません。詳しくは「すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策」にも記載がありますので、あわせてお読みください。

DoS攻撃/DDoS攻撃の実例や最近の傾向について

次に、攻撃の実例や最近の傾向にふれます。具体的にどういったことが脅威なのか想像しながらみていきましょう。

DDoS攻撃の事例

(実例1)ボットネットMērisによるDDoS攻撃

時 期2021年9月
概 要セキュリティ企業Qrator Labsが「Mēris」による史上最大規模DDoS攻撃の 調査結果を公表*1。5年前にIoT機器を狙ったマルウェア「Mirai」の3倍を超える威力(リクエスト数)だった。
攻撃の規模等
(検知・阻止された)
最大毎秒2,180万リクエスト、推計25万台のルータによる攻撃用ネットワーク、ボット化された攻撃ホストの総数20万台超

(実例2)GitLabサーバの脆弱性を悪用した1Tbps超のDDoS攻撃

時 期2021年11月
概 要Googleのエンジニアが「脆弱性CVE-2021-22205*2の悪用によって侵害された数千個のGitLabインスタンスで構成されたボットネットが、1Tbpsを超えるDDoS攻撃を実行している」とTwitter上で発信し、GitLabもこの脆弱性に関する注意喚起を公開した。2021年11月1日公開のRapid7の分析によると、インターネットに接続されているGitLabサーバ6万台超のうち、約半数にあたる3万台がCVE-2021-22205を修正するパッチを適用していなかったという*3
※パッチは2021年4月に公開され、同年10月には悪用事例もHN Security社から発表されていた。
攻撃の規模等毎秒1Tbpsリクエスト、脆弱性CVE-2021-22205の悪用によって侵害された数千個のGitLabインスタンスで構成されたボットネット

DDoS攻撃の最近の傾向

2022年4月、米CDN(コンテンツデリバリネットワーク)企業Cloudflareより、2022年第1四半期の1~3月における観測結果のDDoS攻撃レポートが公表されました4

調査によると、DDoS攻撃のうち、正当なユーザリクエストを処理できないようにしてWebサーバを停止させることを目的とした「アプリケーション層DDoS攻撃」については前年比で164%、前四半期比で135%増加しました。

また、アプリケーション層DDoS攻撃と異なり、ルータやサーバ等のネットワークインフラとインターネットアクセス自体の阻害を目的とした「ネットワーク層DDoS攻撃」については、前年比で71%増加、前四半期比で58%減少しましたが、ボリューム型攻撃は増加しているとのことです。

DDoS攻撃の5つの動機と攻撃による影響

ここまでの記述からDoS攻撃/DDoS攻撃の危険性がなんとなく想像できたと思います。DDoS攻撃には注意すべき事項があります。ここからは攻撃者がDDos攻撃を実行する5つの動機から、実際に被害にあってしまった場合に、どのような影響を受けてしまうのかについて述べていきます。

DDoS攻撃の5つの動機

DDos攻撃の5つの動機のサムネ
【図3】DDos攻撃の5つの動機

DDoS攻撃の3つの影響

DDos攻撃の3つの影響のサムネ
【図4】DDoS攻撃の3つの影響

動機と影響の関連性

【図3】と【図4】には下記のような関連性があります。

  • 業務妨害→サービス停止、経済的な被害
  • 陽動作戦→DDoS以外の攻撃による被害
  • 脅迫→経済的な被害(もともとが金銭目的のため)
  • 嫌がらせ・愉快犯→サービスの停止(実利を得ることを目的としていないため)
  • ハクティビズム→サービスの停止、DDoS以外の攻撃による被害(話題性アップが目的の影響力の大きい攻撃などが考えられる)

Webアプリケーションへの攻撃シナリオ

前項のうち、「DDoS攻撃の5つの動機」の「陽動作戦」を例に挙げて、Webアプリケーションへの攻撃シナリオの概要と対策方法ついて考えてみましょう。

Webアプリケーションへの攻撃シナリオのサムネ
【図5】Webアプリケーションへの攻撃シナリオ

※「スキャン」≠「攻撃」
スキャンとは攻撃できる脆弱性があるかを調査するアクセスで、攻撃はデータを抜き出したりコンテンツを改竄したりするためのアクセスのことです。つまり、攻撃前の調査活動にあたるもののことをいいます。

日本国内で、2021年夏に開催した東京五輪前後に国内スポーツニュースサイトへのトラフィックが急増したとのデータ*5があります。全体のグラフを見て、開会式後が低く安定していることからも単なる閲覧増によるトラフィックの増加ではなくDDoS攻撃による可能性もあります。

この日本国内を狙ったスポーツニュースサイトへのトラフィックは、Webスキャンで事前調査をしてから攻撃をする、という手法が近年増えていることの根拠となりえます。ハッカーが手動で調査をせず、ツールによる自動調査をすることで脆弱性を見つけてからピンポイントに攻撃をしかけるので、攻撃までにかけるコストが減り、結果的に攻撃件数が増加していると考えられます。

DoS/DDoS攻撃の対策方法

サービス停止が起きてしまったために、得られるはずだった利益の機会損失、信用失墜、あるいは、攻撃の踏み台にされることで間接的な加害者となる可能性すらありえるDoS攻撃/DDoS攻撃。経済的な被害を受ける可能性もあります。そんなDoS攻撃/DDoS攻撃への対策を最後に紹介します。

すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策」 にも記載がありますが、下記の3点が基本的な対策です。

  1. 必要のないサービス・プロセス・ポートは停止する
  2. DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
  3. 脆弱性対策が施されたパッチを適用する

自組織のセキュリティ状況を見直し、リスク状況を把握することにより、攻撃に備えることが大切です。どの対策のほうがより効果があるということではなく、それぞれ防御するレイヤーが異なるので複数組み合わせていく、「多層防御」がより効果的です。

DoS/DDoS攻撃の対策方法のサムネ
【図6】セキュリティ対策は多層防御で

WAF(ウェブアプリケーションファイアウォール

図5の攻撃シナリオ部の「DDoS攻撃」と「攻撃パケットの送信」に対して有効です。WAFでは大量に不正に送信される大量のパケットのブロックや、一時的にアクセスが集中した際にはサーバが停止する前にアクセスの制限をかけるなどができます。また、適切なシグネチャ(Webアプリケーションへのアクセスパターンの定義ファイル)を設定しておくことで、攻撃コードの送信を検知して攻撃コードがアプリケーションに届く前に不正なコードの送信としてWAFで止めることが可能になります。

Webアプリケーション脆弱性診断

Webアプリケーションへの攻撃シナリオの「脆弱性の検出」及び「脆弱性を悪用した攻撃」に有効です。脆弱性診断を行うことで予め管理しているWebアプリケーションの脆弱性状況を把握し、脆弱性の修正を行うことによってスキャンされた際に脆弱性情報としてハッカーの目に留まることを防げます。脆弱性を悪用した攻撃についても同様でそもそも悪用できそうな脆弱性がない、という状態を維持することができます。

Webアプリケーション脆弱性診断のサービスバナー

ランサムウェア対策総点検

社内ネットワーク内のクライアントorサーバでマルウェアが感染した際にどこまで侵入できてどういった情報をみられるかといったシミュレーションをする診断になります。こちらは直接関係しませんが、マルウェアに感染した場合にどういった影響を及ぼすかといったリスクを可視化し、適切な対策の提示が可能になります。ここまでご紹介してきたDDoS攻撃などによって「踏み台」にされるリスクへの対策になります。

ランサムウェア対策総点検のサービスバナー

弊社では、お客様のニーズに合わせて、様々な脆弱性診断サービスを提供しております。システムの特徴やご事情に応じてどのような診断を行うのが適切かお悩みの場合も、ぜひお気軽にご相談ください。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share