“DoS攻撃”が止まない理由は? ~手口を知って最善の対処を~

 2019.09.06  EDR実践ポータル

セキュリティやインターネット技術の分野では、「DoS攻撃」という言葉が年に何度か必ずと言っていいほど大きなニュースになります。「DoS(Denial of Service)ドス:攻撃」とは、大量のデータを送りつけるなどの手口で、インターネット上に公開されているサービスを利用できないように妨害する攻撃のことです。今回はこのDoS攻撃について説明するとともにその手口に内容や対処方法についてもご紹介します。

denial-of-service-attack

今も多発する古典的サイバー攻撃

サイバー攻撃としては古典的とも言える手法ですが、比較的容易に実行できることや、“力業”に対しては、守る側もそれなりのリソースが必要といった事情もあって、セキュリティ技術が進歩した今も根本的な対策は難しく、なかなか被害は減りません。

攻撃を仕掛ける側の目的はいろいろです。特定企業に対する反感からの業務妨害や、政党や自治体などに向けた政治的・思想的な理由からの攻撃、犯罪者が自らの力を誇示する“愉快犯”のようなケースもあります。

「DoS」と並んで「DDoS(Distributed DoS):ディードス」という言葉もよく使われますが、単独のコンピュータから仕掛ける攻撃を「DoS」、複数のマシを乗っ取って構成した「ボットネット」のような環境から出すアタックを、「DDoS(分散型DoS)」と呼んで区別しています。近年の大規模な攻撃はDDoSが多く、国内でも何年か前、高校生がDDoS攻撃を仕掛けた罪で書類送検された事件もありました。

 

攻撃の手口と被害

企業や団体がDoS攻撃(以下、DoSと表記した場合はDDoSも含みます)を受けると、大きな被害を生じます。Webやメールサーバーが狙われると、正規のアクセスが辿り着けなくなり、サービスが停止状態に陥ってしまいます。サービス停止による金銭的損失はもちろん、信用面でのダメージも避けられません。従量制課金のクラウドサーバーを利用していた場合、処理量に応じて課金が発生しますから、急増したデータに対する運用費も軽視できないでしょう。

被害をできだけ軽減するには、まず敵を知ることです。DoS攻撃のパターンは、大別すると以下の二種類があります。

  •  Flood型
  •  脆弱性悪用型

Flood(洪水)型は大量のパケットを送りつけて回線やサーバーのリソースを消費させ、サーバーの稼働や外部からのアクセスを妨害する手口です。通常の通信と同じフォーマットのパケットが使われるため、データ量が急増するまでは、攻撃を察知することは容易ではありません。

攻撃に使われるパケットにはいくつかの種類がありますが、一例を挙げると、Webアクセスやメールなどで通信の開始時に出す「SYN」という制御パケットを大量に送りつける「SYN Flood」や、動画配信や時刻合せなどのアプリケーションに使用するプロトコルである「UDP」のパケットを使う「UDP Flood」などが知られています。

脆弱性悪用型は、OSやサーバーソフトなどの脆弱性や設定の不備を突く攻撃です。例えば、Webサーバーにある種のコマンドが投入されるとプログラムが停止する脆弱性があった場合、これを突くデータを送りつけます。Flood型のように大量のパケットを必要とせず、脆弱性の性質によっては、1パケット、一撃でサーバーが止まるケースもあります。

 

大規模化、先鋭化する攻撃

他のサイバー犯罪と同様、DoS攻撃も年々、先鋭化しています。最近の傾向として、まず攻撃のスケールが大きくなっている点があり、記憶に新しいところでは、2018年の秋に人気オンラインゲーム「ファイナルファンタジー 14」を運営するサーバーが攻撃を受けました。特に北米のデータセンターでは、約20時間もサービスがストップし、センターの上位に位置するISP(インターネットサービスプロバイダ)にも通信障害が出たとされています。

ここ数年は、「リフレクション型」という攻撃も増えてきました。DDoSの場合、複数のコンピュータから攻撃を仕掛けてきますが、このタイプは1台のマシンからでも送信元を偽装し、大量の通信を発生させることができます。よく狙われるのが、ホスト名とIPアドレスを変換するDNSです。

DNSサーバーには、ホスト名とIPアドレスの対応表が記録されています。DNSには、そのサーバーに登録されている全てのIPアドレスを返す機能があり、これを悪用すると送信元を攻撃対象のコンピュータに詐称することで、1パケットに対して何十倍ものパケットを返送させる攻撃ができてしまうのです。リフレクションは増幅という意味で、少量のパケットを大量に増幅させることから、こう呼ばれています。

もちろん、インターネット上に公開されるDNSのようなシステムやサーバーには、サイバー攻撃を想定した対策が施されていますが、設定の不備や脆弱性が放置されたままになっていると、リフレクション攻撃の餌食になってしまうのです。

 

脅迫、身代金要求型の攻撃も

より巧妙な手口が特定の業種や企業を脅迫する「脅迫型DoS攻撃」です。2017年、中国や韓国などの金融機関に対して、金銭を支払わなければ攻撃するという脅迫メールが届き、実際に短時間の攻撃を仕掛けてきました。企業システムに保存されたファイルを暗号化し、身代金を支払えば復号化するキーを渡すと脅すランサムウェアにやり口が似ていることから、「ランサムDoS攻撃」と呼ばれることもあります。

この攻撃は当時、日本のJPCERTコーディネーションセンターからも注意喚起が出されました。攻撃が短時間で止んだのは、攻撃側の能力を誇示するためのデモンストレーションだったと思われ、国内の複数の金融機関もほぼ同時期に、短時間のDoS攻撃を確認したとされています。

実際に金銭を支払った金融機関やサービスが止められて大きな被害が出たケースは報告されませんでしたが(仮想通貨での支払いを要求した点もランサムウェアと似ています)、実社会の犯罪と同様、このような脅迫型の攻撃は、仮に金銭を払ったとしても攻撃が止まるという保証はまったくありません。

 

手の内を知って最適な対処を

DoSの手口はさまざまです。あらゆる攻撃に対する防御は難しいのですが、手の内を知れば被害の軽減はできます。まず正常なパケットを大量に送りつけるFlood型に対しては、セキュリティ強度を上げるというより、回線やサーバー容量の増強など、ネットワークの耐性を高めるという方法にならざるを得ません。

絶対にストップしては困るというサービスは、コストはかかりますが、CDN(Contents Delivery Network)を利用する手もあります。世界的なスポーツイベントの動画などを配信するサービスは、CDNを活用しアクセスを分散してパフォーマンスを確保していますが、これをDoS攻撃にも応用するわけです。

国内に限定したサービスなら、DDoSは海外サーバーを使ったパケットが多いため、海外からの通信に一定の制限をかける方法も有効です。不審なパケットが送信されてきたIPアドレスを遮断する方法もありますが、DDoSに対しては大きな効果は期待できません。より小規模な攻撃に対しては、サーバー側の同時接続数などの設定変更で、効果が出るケースもあります。

脆弱性を悪用する攻撃に対しては、OSやサーバーソフトなどのパッチ適用、バージョンアップが前提ですが、パッチ適用後の動作テストの負荷やゼロデイ攻撃への対策など、運用上、難しい課題もある点は、他のセキュリティ対策と同様です。セキュリティ企業が提供する脆弱性スキャナーなども、予防策として一考の価値はあるでしょう。

 

費用対効果も考慮し最適な対策を

システムの導入を視野に入れた選択肢では、WAF(Web Application firewall)やIDS/IPS(Intrusion Detection System/Intrusion prevention System)があります。WAFはWebアプリケーションをガードするシステムで、不審なアプリの動作を遮断するもの。IDS/IPSは、不正アクセスを検知して、ネットワーク管理者にアラートを出すシステムで、いずれもDoS攻撃に対しても一定の成果を上げてくれるはずです。

これまで見てきたように、DoS攻撃にはいろいろな手口があり、対策もそれぞれ異なります。絶対にダウンしないシステムを構築することは、コスト的にも現実的ではないでしょう。サービスやシステムに優先度を付けて費用対効果を考慮し、平時のうちに方針を固めておくことも大切と思われます。

また、攻撃を察知したり、被害を受けたりした際は、IPA(情報処理推進機構)やJPCERTコーディネーションセンターなどのセキュリティ関係機関に連絡することも重要です。特定の種類の攻撃が多発するような事態では、対策に関する情報が出ている場合もあるため、これらの機関のサイトもときどき参照してください。

IPA

https://www.ipa.go.jp/

JPCERTコーディネーションセンター

https://www.jpcert.or.jp/

INCIDENT RESPONSE

脅威ハンティングの最前線
2019年版グローバル脅威レポート: エグゼクティブサマリー

RELATED POST関連記事


RECENT POST「セキュリティ全般」の最新記事


“DoS攻撃”が止まない理由は? ~手口を知って最善の対処を~
セキュリティ侵害を防止する革新的システム

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング