分散型サービス拒否（DDoS）攻撃

DDoS攻撃とは

DDoS（分散型サービス拒否）は、サーバーまたはネットワークを偽のインターネットトラフィックで氾濫させ、ユーザーがアクセスできないようにして業務を中断させるサイバー攻撃です。

DDoS攻撃の目的は、組織がユーザーにサービスを提供できないようにすることです。悪意のあるアクターは、DDoS攻撃を次の目的で使用します。

• 競合他社の業務の妨害
• 内部関係者による復讐
• 国家主導の活動
• 騒乱/混乱

DDoS攻撃とDoS攻撃の相違点

DDoS攻撃とDoS攻撃の主な違いは、攻撃元にあります。DDoS攻撃は複数のシステムから発生し、DoS（サービス拒否）攻撃は1つのシステムからのみ発生します。DDoS攻撃は、DOS攻撃よりも高速でブロックが困難です。DoS攻撃は、識別すべき攻撃マシンが1台しかないため、ブロックしやすくなります。

DDoS攻撃の仕組み

ボットネットを抜きにしてDDoS攻撃を議論することは不可能です。ボットネットはマルウェアに感染したコンピューターのネットワークのことです。これにより、悪意のあるアクターがコンピューターをリモートで制御できるようになります。このようなボットネットは、どこにでも存在し、誰の所有にもなり得る「分散型」です。感染したコンピューターの悪意のない所有者は、自分のシステムがボットネットの一部となっていることに気付かない可能性があります。

DDoS攻撃者は、何百万もの侵害されたデバイスで大規模なボットネットを構築した後で、ターゲットのIPアドレスにリクエストを送信するように各ボットにリモートで指示します。その目的は、被害者のWebリソースの容量制限を超える圧倒的な数の接続リクエストやデータによって、最終的にサービスを停止させることです。

DDoS攻撃の種類

DDoS攻撃はさまざまな方法で分類できますが、次の3つの種類に分類するのが一般的です。

1. ボリューム型攻撃

ボットネットが大量の偽のトラフィックをリソースに送信します。このタイプの攻撃では、pingフラッド、スプーフィングされたパケットのフラッド、またはUDPフラッドが使用される可能性があります。ボリュームベースの攻撃は、ビット/秒（BPS）で測定されます。

2. ネットワーク層攻撃

ネットワーク層攻撃は、プロトコル攻撃とも呼ばれ、大量のパケットをターゲットに送信します。ネットワーク層攻撃は、オープンなトランスミッションコントロールプロトコル（TCP）接続を必要とせず、特定のポートを標的にすることもありません。ネットワーク層攻撃は、パケット/秒（PPS）で測定されます。

ネットワーク層攻撃の例を次に示します。

• スマーフ攻撃。インターネット制御メッセージプロトコル（ICMP）パケットを使用し、IPの脆弱性を悪用して、ネットワークレベルでサーバーにフラッディングしようとします。
• SYNフラッド。接続を閉じずにサーバーへの接続を開始することで、サーバーに負担をかけます。このタイプの攻撃では、スプーフィングされたIPアドレスを持つ大量のTCPハンドシェイクリクエストを使用します。

3. アプリケーション層攻撃

アプリケーション層攻撃は、HTTP GETやHTTP POSTなどの一般的なリクエストを悪用します。この攻撃はサーバーとネットワークの両方のリソースに影響を与えるため、他のタイプのDDoS攻撃と同じ破壊的な効果をより少ない帯域幅で実現できます。トラフィックがスプーフィングされておらず、正常に見えるため、このレイヤーで正当なトラフィックと悪意のあるトラフィックを区別することは困難です。アプリケーション層攻撃は、リクエスト/秒（RPS）で測定されます。

ほとんどの攻撃はボリュームベースですが、長期間気付かれずにパフォーマンスを低下させる可能性のある少量の安定したリクエストストリームを送信することで検出を逃れる「ローアンドスロー」DDoS攻撃もあります。ローアンドスロー攻撃はスレッドベースのWebサーバーを標的とし、正当なユーザーへのデータ送信が非常に遅くなりますが、タイムアウトエラーが発生するほどには遅くなりません。ローアンドスロー攻撃で使用されるツールには、Slowloris、R.U.D.Y.、Sockstressなどがあります。

DDoS攻撃による脅威が高まっている理由

DDoS攻撃の数は急増しています。FBIがダークウェブ上の最大のDDoS攻撃請負サイトを閉鎖した2018年の落ち込みにもかかわらず、DDoS攻撃は2020年上半期に151%増加しました。一部の国では、DDoS攻撃は攻撃中のインターネットトラフィック全体の25%を占めます。

この上昇の要因となっているのは、モノのインターネット（IoT）の導入です。ほとんどのIoTデバイスには、ファームウェアやセキュリティコントロールが組み込まれていません。IoTデバイスは数が多く、セキュリティテストやセキュリティコントロールが行われないまま実装されることが多いため、IoTボットネットに乗っ取られやすくなります。

もう1つの弱点は、API（アプリケーションプログラミングインターフェース）です。APIは、さまざまなシステムによるデータ共有を可能にする小規模なコードです。例えば、航空会社のスケジュールを公開している旅行サイトは、APIを使用して、航空会社のサイトから旅行サイトのウェブページにデータを取り込んでいます。誰でも使用できる「パブリック」APIは、保護が不十分な場合があります。典型的な脆弱性には、脆弱な認証チェック、不十分なエンドポイントセキュリティ、堅牢な暗号化の欠如、欠陥のあるビジネスロジックなどがあります。

DDoS攻撃の例

2番目に大規模で、最もよく知られているDDoS攻撃の1つは、Googleのクラウドサービスクライアントの1つで発生しました。ある時点で、Googleのクライアントは4,600万RPS（リクエスト/秒）で攻撃されていました。Googleはこの攻撃についてクライアントに警告し、1時間以内に攻撃をブロックすることができました。

2022年10月、DDoS攻撃により米国の複数の主要空港のウェブサイトがクラッシュしました。攻撃を組織したのは、KillNetと呼ばれるロシアのグループでした。幸いなことに、旅行者とその家族がフライト情報を検索できなくなった以外に、空港の業務が中断されることはありませんでした。この攻撃は、米国州政府のいくつかのウェブサイト（コロラド州のウェブポータルなど）が攻撃を受けた数日後に発生しました。これらの攻撃はいずれも長期的な悪影響には至らず、サイトは現在適切に機能しています。

DDoS攻撃の兆候

DDoS攻撃の被害者は通常、ネットワーク、ウェブサイト、またはデバイスの動作が遅いか、それらのサービスが提供されていないことに気づきます。ただし、これらの症状はDDoS攻撃に固有のものではなく、サーバーの誤動作、正規のトラフィックの急増、ケーブルの破損など、さまざまな原因によって引き起こされる可能性があります。そのため、手動による監視だけに頼ることはできず、代わりにトラフィック分析ツールを活用して、分散型サービス拒否攻撃を検知する必要があります。

DDoSの軽減と保護

DDoSの軽減と防御には多方面からのアプローチが必要です。単一のツールであらゆる種類のDDoS攻撃に対する完全な保護を保証することはできません。防御策として利用できるいくつかの基本的なツールを次に示します。

リスク評価：

企業は、DDoS攻撃に対する保護にプロアクティブなアプローチを採用する必要があります。最初のステップは、自社の脆弱な部分と強靭な部分をすべて認識することです。来るべきときに備えて、すべてのデジタルアセット（ネットワーク、サーバー、デバイス、ソフトウェア）のリスク評価を実施し、最善の軽減計画を準備します。

Webアプリケーションファイアウォール（WAF）：

WAFは、受信HTTPトラフィックリクエストを監視し、悪意のあるトラフィックを除外するために使用されるという点で、Webアプリケーションのチェックポイントに似ています。アプリケーション層のDDoS攻撃を検知したときに、WAFポリシーをすばやく変更して、アクセスコントロールリスト（ACL）を更新することで、リクエストのレートを制限し、悪意のあるトラフィックをブロックできます。

セキュリティ情報およびイベント管理（SIEM）：

SIEMは、環境のあらゆる場所からデータを取得し、それらを単一の一元化されたインターフェイスに集約するツールです。これにより、悪意のあるアクティビティを可視化して、アラートの見極め、レポートの作成、インシデント対応のサポートに使用できます。

コンテンツ配信ネットワーク/ロードバランサー：

CDNとロードバランサーを使用して、トラフィックの流入を複数のサーバーに自動的に分散することで、サーバーの過負荷とそれに続くパフォーマンス/可用性の問題のリスクを軽減できます。

ブラックホールルーティング

ブラックホールルーティングの使用時、ネットワーク管理者は、正当か不正かにかかわらずすべてのトラフィックをブラックホールルート経由でプッシュします。目標はネットワークからのすべてのトラフィックをドロップすることですが、これには、正当なトラフィックが失われ、ビジネス面での損失につながる可能性があるというデメリットが伴います。

レートリミット

ネットワークが特定の期間に受信して受け入れるサービスリクエストの数を制限します。通常、ますます高度化したDDoS攻撃に対抗するには十分でないため、他の軽減戦略と一緒に使用する必要があります。