サービス拒否(DoS)攻撃

Bart Lenaerts-Bergmans - 11月 8, 2023

サービス拒否(DoS)攻撃とは?

サービス拒否(DoS)攻撃は、ビジネスオペレーションを混乱させるために、マシンやネットワークに偽のリクエストを大量に送り付けるサイバー攻撃です。DoS攻撃を受けると、ユーザーは侵害されたコンピューターやネットワークによって操作されているEメール、Webサイト、オンラインアカウント、その他のリソースへのアクセスなど、日常的で必要なタスクを実行できなくなります。

ほとんどのDoS攻撃では、データが消失することはなく、通常は身代金を支払うことなく解決されますが、重大な事業運営を復旧するための組織の時間、資産、その他のリソースを要します。

DoS攻撃はどのように機能しますか?

DoS攻撃は、最も一般的な手法として、標的のホストやネットワークに不正なサービス要求を大量に送ることで行われます。これらの攻撃の特徴は、サーバーがユーザーを認証できないようにする偽のIPアドレスを使用することです。大量の偽のリクエストを処理することでサーバーが過負荷になり、サーバーの速度が低下し、時にはクラッシュし、その時点で正当なユーザーによるアクセスが中断されることになります。大半のDoS攻撃を成功させるには、悪意のあるアクターが標的よりも広い帯域幅を持っている必要があります。

DoS攻撃の種類

DoS攻撃には主に次の2種類があります。

  1. バッファオーバーフローと呼ばれるWebベースのサービスをクラッシュさせる攻撃。
  2. フラッド攻撃と呼ばれる、Webベースのサービスを大量のデータで過負荷状態にする攻撃。

これら2種類の攻撃には、攻撃者の手段、標的となる機器、および攻撃の測定方法により異なるサブセットがあります。

タイプ説明
1. バッファオーバーフローバッファオーバーフローは、最も一般的なDoS攻撃です。このタイプのエクスプロイトでは、攻撃者はシステムが処理できるよりも多くのトラフィックをネットワークアドレスに誘導します。これにより、マシンは、使用可能なすべてのバッファや、ネットワーク内の転送中にデータを一時的に保持するメモリストレージ領域を消費することになります。バッファオーバーフローは、データ量がディスク容量、メモリ、CPUなど、使用可能なすべての帯域幅を超えたときに発生し、パフォーマンスの低下やシステムクラッシュを引き起こします。スタックオーバーフロー:コンピュータープログラムが割り当てられたコールスタック内のメモリスペースを使用しようとする最も一般的なタイプのバッファオーバーフロー攻撃です。これは、バッファが置かれていた境界をオーバーライドします。
2.フラッド攻撃フラッド攻撃は、サーバーが管理できないほど多くのトラフィックをシステムが受信し、サーバーが遅くなり、停止する場合に発生します。ICMPフラッド:一般的にスマーフ攻撃またはPing攻撃と呼ばれ、誤って構成されたネットワークデバイスを悪用します。この攻撃では、攻撃者はスプーフィングされたパケット(または偽のIPアドレス)を展開し、応答を待たずに標的のネットワーク上の各デバイスに「ping」を実行します。ネットワークがトラフィックの急増を管理すると、システムは遅くなり、場合によっては停止します。


SYNフラッド:サーバーに接続要求を送信しますが、ホストとの比喩的な「ハンドシェイク」を完了することはありません。この要求は、開いているすべてのポートが飽和状態になるまでシステムをフラッディングし続け、正当なユーザーがアクセスするために利用できる手段を残しません。

2024年版クラウドストライクグローバル脅威レポート

クラウドストライクのCounter Adversary Operationsチームによる最前線の調査に基づき、クラウドストライク2024年版グローバル脅威レポートではサイバー脅威の状況全体にわたる注目すべきテーマ、トレンド、イベントを取り上げています。

今すぐダウンロード

DoS攻撃をどのように特定できますか?

DoS攻撃の兆候は、すべてのネットワークユーザーが観察できます。一般的な指標は次のとおりです。

  • ファイルのダウンロード/アップロード、アカウントへのログイン、Webサイトへのアクセス、オーディオまたはビデオコンテンツのストリーミングなどの一般的なタスクのネットワークパフォーマンスが低下します。
  • 銀行口座、投資ポートフォリオ、教材、健康記録などのWebサイトまたはWebベースのアカウントを含むオンラインリソースにアクセスできなくなります
  • 同じネットワーク上の複数のデバイスの接続の中断または損失が発生します。

残念ながら、ほとんどのシステムユーザーにとって、DoS攻撃の症状は、基本的なネットワーク接続の問題、定期的なメンテナンス、またはWebトラフィックの単純な急増に似ていることが多く、多くの人が問題を軽視してしまいます。

DoS対DDoS

分散型サービス拒否(DDoS)攻撃とDoS攻撃の主な違いは、攻撃の起源ですDDoSは、複数のシステムによって同時に複数の場所から開始される組織化された攻撃ですが、DoS攻撃は本質的に単一です。

通常、さまざまな地域にまたがる複数のデバイスを活用し、攻撃の識別、追跡、無力化をより困難にするため、DDoS攻撃の方がより高度であると考えられており、組織にとってはるかに大きな脅威となります。最も一般的な手法では、DDoS攻撃者はボットネットコマンドアンドコントロール(C&C)チャネルによって監視されている侵害されたコンピューターまたはデバイスのネットワーク)を利用してこの種の同期攻撃を実行します。

DoS攻撃のリスクをどのようにして軽減できますか?

クラウドストライクの主席コンサルタントであるロビン・ジャクソン(Robin Jackson)は、次に挙げるDoS攻撃を含むサイバー攻撃を防止、検知、修復するためのヒントを組織に提供してきました。彼がブログ投稿で取り上げたヒントのいくつかは次のとおりです。

  • 一般的な攻撃指標を認識し、責任あるオンライン活動を促進する方法について、従業員向けの一貫した包括的なトレーニングを確立します
  • 攻撃者が大規模なDoS攻撃について脅迫してきた場合、恐喝の試みを検証します。サイバーセキュリティパートナーは、組織が脅威を迅速に調査し、運用を中断する能力を評価するのを支援し、脅威が信頼できないものである場合、組織は多額の費用を節約できる可能性があります。
  • 定期的な机上演習侵入テストを実施して、ネットワークアーキテクチャの弱点を特定することで防止機能を向上させます。
  • ランサムウェアが暗号化を開始した場合、バックアップを分離し、列挙を防ぎます
  • 保存中および送受信中に機密データを暗号化して、データの損失、漏洩、盗難のリスクを軽減します。
  • ネットワークの可視性を向上させるため、最適なインストルメンテーションを確保します
  • メディアからの問い合わせ、顧客からの質問、その他のステークホルダーの問題を迅速かつ明確に管理できるよう、コミュニケーション計画を作成します
  • 当局がサイバー犯罪者およびその戦術に関する詳細情報を入手できるよう、法執行機関に連絡します

詳細情報

CrowdStrike Falcon®プラットフォームが、多くのWebサイトに影響を与えるDoS攻撃の特定にどのように役立つかをご覧ください。読む:DoS攻撃に使用される侵害されたDockerハニーポット

GET TO KNOW THE AUTHOR

バートは、クラウドストライクの脅威インテリジェンスのシニアプロダクトマーケティングマネージャーであり、脅威の監視、検知、インテリジェンスにおいて20年を超える経験を持っています。ベルギーの金融機関でネットワークセキュリティ運用アナリストとしてキャリアをスタートさせた後、米国東海岸に移り、3Com/Tippingpoint、RSA Security、Symantec、McAfee、Venafi、FireEye-Mandiantなどの複数のサイバーセキュリティ企業に入社し、製品管理と製品マーケティングの両方の役割を果たしました。