DoS攻撃とは一度に膨大なアクセス要求などを行うことで、インターネットを通じて提供するサービスを不能状態に陥れるサイバー攻撃です。本稿では、DoS攻撃とDDoS攻撃の違いや、史上最大規模となった攻撃の事例、攻撃の特徴などを解説し、すぐにできるDoS攻撃/DDoS攻撃の対策方法をご紹介します。
DoS攻撃とは、DDoS攻撃との違い
「DoS」とは「Denial of Service」の略で「サービス拒否」を意味します。「DoS攻撃」とは、Webサービスを提供するサーバなどに向けて大量の通信等を発生させることで負荷をかけ、本来のユーザがサービス提供を求めた際に、提供を拒否されるようになることを目的に行うサイバー攻撃です。
複数の分散した(Distributed)拠点からDoS攻撃を行うものが、「DDoS(Distributed Denial of Service)攻撃」と呼ばれます。
DoS攻撃/DDoS攻撃によるサービス停止は機会損失を生み、ブランド毀損は通常のサイバー攻撃より大きい場合もあります。また、直接攻撃対象とならなくても、攻撃の踏み台にされることで間接的な加害者となる危険性もあります。
史上最大規模の攻撃、最新の攻撃進化事例
古くは攻撃者が大量のリクエストを送ることでサーバなどをサービス停止状態に陥らせるタイプの攻撃が主流でしたが、近年では、分散化・大規模化が進んでいます。例えば、IoTのリスクと求められるセキュリティ対策で紹介した「Mirai」は、IoT機器に感染し、それらの機器をサイバー攻撃の踏み台として悪用することによって、史上最大のDDoS攻撃を引き起こしました。
また、単純なサービス妨害からより複雑化した犯罪へという変化もみられます。例えば、JPCERTコーディネーションセンターでは、2019年、DDoS攻撃の実行を示唆して仮想通貨を要求する脅迫型メールが国内外の複数の組織で確認されていることを報告し、注意喚起を行っています。
DoS(サービス拒否)型の攻撃はサイバー攻撃の手法としては最も古いものの1つですが、その大規模化・複雑化は日々進行しているのです。
「敷居が低いサイバー攻撃」それがDoS/DDoS
DoS攻撃/DDoS攻撃の特徴のひとつが攻撃の難易度の低さです。
多くの場合、コンピュータプログラムを書いてマルウェアを開発するような技術力は不要で、APTのような組織・資金・技術力もいりません。
インターネット上には、多数のDoS攻撃ツールが存在します。また、ストレステスト等の正規ツールを悪用してDoS攻撃を行う場合もあります。そればかりか、クレジットカードさえあればすぐに利用できる「DDoS攻撃を請け負う違法サービス」すら存在しています。
DoS攻撃/DDoS攻撃を突き動かす政治社会的動機
DoS攻撃、特にDDoS攻撃の特徴を示すキーワードが「社会・政治」です。
2010年、米大手決済サービスが、国際的な内部告発サイトが運営のために支援者から寄付を集める際に利用していた口座を、規約にしたがって凍結したことに対し、ハッカー集団がDDoS攻撃を実施、米大手決済サービスのサービスが一部停止する事態に陥りました。
このように、実施のハードルが低いDoS攻撃/DDoS攻撃は、人々が自身のさまざまな意思を表明するために、あたかもデモ行進のように実施されることがあります。かつては、DDoS攻撃をデモ活動同様の市民の権利として認めるべきであるという議論がまじめに行われていたこともありました。しかし、実際には「気に食わない」だけでもDDoS攻撃は行われ得るのです。社会課題の解決、ナショナリズム、倫理などを標榜していたとしても、端から見るとヘイトや嫌がらせと変わらないことがあります。
DoS攻撃/DDoS攻撃によるブランド毀損はあっという間に
政治的、社会的、あるいは倫理的文脈から批判が集中した企業やサービスなどに対して、一度DoS攻撃/DDoS攻撃がはじまると、その趣旨に共感した人々が次々と参加し、ときに雪だるま式に拡大することがあるのもこの攻撃の特徴です。
また、DoS攻撃/DDoS攻撃は、攻撃が起こっていることが外部からもわかるという点で、外部に公表するまでは事故の発生がわからない情報漏えいのようなタイプのサイバー攻撃とは異なります。「広く一般に知られる」ことが容易に起こりうるため、ブランドへの負のインパクトが発生する可能性も大きいといえます。
DoS攻撃/DDoS攻撃の発生に気づくのは難しい
そもそもWebサービスは、その性質上外部に公開されるものです。そのためDoS攻撃やDDoS攻撃を完全に防ぐことは容易ではありません。特に多数の機器を踏み台として巻き込むDDoS攻撃の標的となった場合には、気づく間もなくあっという間にサービス拒否状態に陥る可能性が高いでしょう。
脆弱性や設定不備を狙ったDoS攻撃は防ぐことが可能
一方で、防ぐことができるタイプの攻撃も存在します。それは、サーバ等の設定不備や、プログラムの脆弱性を突いて行われるDoS攻撃です。
一部のWebサイトでは、「長大な文字列を受け入れてしまう」「ファイルの容量を制限しない」など、DoS攻撃につけ込まれてしまう問題が存在することがあります。また、ネットワーク関連の設定の不備によってDoS攻撃を受ける可能性も存在します。しかし、こうした脆弱性は、修正による回避が可能です。
また、あなたの企業が直接DoS攻撃の攻撃対象とならなくても、上述のような脆弱性を放置しておくとDDoS攻撃の踏み台にされることもあります。その対策としては、各種機器・OS・ソフトウェアの脆弱性管理を適切に行うことや、脆弱性診断等のセキュリティ診断を定期的に実施して未知のリスクを把握し、対処することが重要です。
診断会社あるある「すわ、DoS攻撃?」
ここで余談ではありますが、診断実施に伴う「あるある」エピソードを。
セキュリティ診断を行う際には、必ず、実施の年月日や時間帯を関連する部署に周知しなくてはなりません。
実は、診断実施に伴って事業部門等が「DoS攻撃が発生した!」と勘違いすることが、しばしばあるのです。もちろん、一般にインターネット上に公開しているシステムの場合には業務に差し支えるような検査の仕方をしないというのが大前提ですが、それでも、大量の問合せ等が発生すると何も知らされていない担当部署はサイバー攻撃と勘違いすることがあります。ついでにこの際に抜き打ちで社内のサイバー訓練を・・・と目論みたい気持ちが出たとしても、それを実行に移すのは大変危険です。訓練は訓練させる側にきちんとした検証シナリオがあってこそ効果を発揮します。まずは関係各所との連携を徹底するところから始めましょう。
DoS攻撃/DDoS攻撃にも有効な3つの基本的対策
DoS攻撃、特にDDoS攻撃の対策としては、CDN(Content Delivery Networks)の利用、DDoS攻撃対策専用アプライアンス、WAF(Webアプリケーションファイアウォール)などが威力を発揮します。
そして、これらの対策を適用する際には、同時に、セキュリティ対策の基本ともいえる以下の3点に対応できているかどうかも確認しましょう。
1.必要のないサービス・プロセス・ポートは停止する
2.DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
3.脆弱性対策が施されたパッチを適用する
いずれもセキュリティ対策の「基本中の基本」といえるものばかりですが、防御可能なタイプのDoS攻撃を回避し、システムがDDoS攻撃の踏み台にされることを防ぐためにきわめて有効です。
これまで述べたように、DoS攻撃/DDoS攻撃は、機会損失やブランド毀損など事業継続性を損なうダメージをもたらし得るサイバー攻撃です。DDoS攻撃の踏み台となれば社会的責任が問われることもあるでしょう。経営課題のひとつとして認識し、対処することが大切です。
まとめ
- DoS攻撃とはサーバなどに負荷をかけてサービスを提供できなくするサイバー攻撃です。
- 攻撃実行の難易度が低く、人々の意思表明のために大規模に行われることもあります。
- 脆弱性を突いて行われるDoS攻撃は、脆弱性診断などで発見し対策することができます。
- 必要のないサービス・プロセス・ポートの停止、などの基本的対策がDoS攻撃/DDoS攻撃にも有効です。
