この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

特効薬あります!最新DDoS攻撃と対策

2014/11/18


 組織のサーバーやネットワークに膨大な数のアクセスを行い、過負荷によるダウンやサービス停止・停滞を引き起こす攻撃がDDoS(分散型サービス不能攻撃)。この攻撃の特徴は、最新手法で実行すればたいてい成功することだ。攻撃量が大きければ目的を達し、少なければ無駄にネットワーク資源を使うだけに終わる。ターゲットとなるシステム側では実効性がある予防策がなかなかとれず、攻撃が止むのを待つしかないのが実情。しかしDDoS攻撃をできるだけ抑えこむ方法はいくつかあり、またたとえ標的にされてもサービスを維持できるソリューションも出てきている。今回は、最近のDDoS攻撃の方法を紹介し、それに対抗できる方法について考えてみよう。

DDoS攻撃

国内初のDDoS犯人摘発例は高校1年生! 有名オンラインゲームが標的に

 今年9月、国内で初めてDDoS攻撃の容疑者が摘発され「電子計算機損壊等業務妨害容疑」で書類送検された。容疑者は熊本市の高校1年生。オンラインゲームでアカウントが凍結されたことに不満をもち、腹いせに海外の攻撃代行サービスを利用して、国内外の設定に不備があるサーバーを踏み台に使い、3月に2日間にわたり33回の攻撃を行ったという。その結果ゲーム会社のサーバーには通常の20倍以上の負荷がかかり、10時間にわたってサーバーが停止した。
 この事件で使われた攻撃手法は、近年多発している「NTPリフレクション攻撃」(図1参照)だった。この攻撃は、世界各地で多数運用されているNTPサーバと呼ばれる時刻情報提供用のサーバーに、発信元を標的のサーバーに偽装した問い合わせを短時間に大量に行うものだ。NTPサーバのほうでは問い合わせへの回答を、偽装された発信元に返すので、標的サーバーが過負荷状態になってしまう。時刻問い合わせや回答はごく小さなデータサイズなのだが、NTPサーバには最大600件の接続履歴(monlist)を返す機能があるため、巧みに悪用すると攻撃パケットの200〜1000倍以上のデータ量を送りつけることができる。踏み台にできるNTPサーバが多数あれば、ごくわずかな労力で多大な負荷をかけることができるわけだ。この事件の攻撃法詳細は定かでないが、利用されたNTPサーバは国内外延べ約1100ヵ所に及んだと報道されている。

図1 NTPリフレクション攻撃のイメージ
図1 NTPリフレクション攻撃のイメージ

 同様の手口と見られるDDoS攻撃は近年世界的に増加しており、昨年はスパムメール対策組織に対して300Gbpsものトラフィックを発生させて業務妨害する事例が発生、今年春にはヨーロッパで400Gbpsの攻撃例も報告された。日本では冒頭の事件後も有名オンラインゲームが9日間にわたってサービスを停止する事件などが報道されている。かつては「ハクティビズム」と呼ばれる思想的な動機による集団的な示威行為としてDDoS攻撃が実行されるケースや、国際問題に関連する抗議行動の一環として行われるケースが多かったが、現在は特別な知識や組織的な賛同・協力者がなくても、海外のアンダーグラウンド業者にお金を払えば、簡単に特定サービスを狙い撃ちできるようになってきた。しかも攻撃パケットそのものからは犯人が特定できないので、調査には時間と手間がかかり、身元を隠した攻撃が成立しやすいのも問題だ。
 またDDoS攻撃の手口はNTPリフレクションだけではない。古くから使われてきた手口が未だに被害を与えているとともに、別のプロトコルを利用するリフレクション攻撃も増加しているのだ。これらの攻撃に対して、セキュリティツールやソリューションは果たして有効に働くのだろうか?


1

従来の典型的なDDoS攻撃の手口は?

 DDoS攻撃は1990年代から継続して被害をもたらしている。インターネットの一般的な通信方法を悪用する手口なので、攻撃が短時間に集中する場合以外には、不正な通信なのか正当な通信なのかの判断がつかない。ある特徴をもつ通信がどうやら攻撃らしいとわかっても、その特徴をもつ通信すべてを遮断すると正当な通信も影響を受けることがある。そこにDDoS攻撃対策の難しさがある。
 それでも、古典的なDDoS攻撃はNTPリフレクション攻撃のように効率的に巨大トラフィックを作り出すことができないので、現在の高速ネットワークにおいては簡単にサービス停止に追い込むことはそもそも難しくなってきているうえ、実質的な被害を受けないようにする対策がいくつかある。まずはそこから見ていこう。

1-1

SYN Flood攻撃への対策

 現在でも多いのが、サーバーに過大な負荷をかけるために、接続要求(SYN)パケットを送り続けるだけのSYN Flood攻撃だ。SYNパケットへの返答としてサーバーにSYN/ACKパケットを送出させる一方、それに応えるACKパケットを送らない。サーバーは設定されたタイムアウトまで一定時間ACKパケットを待ち続けるので他のTCP接続に影響が出る。またサーバーは再送に備えて必要な情報を記憶しておくが、次々にSYNパケットが来ると記憶領域が満杯になってしまい、ダウンすることもある。ウイルス感染した多数のPC(ボット化)を遠隔操作して、多数のPCから一斉に攻撃を行うと簡単に目的を果たすことができる。
 自社システムでの対策として有効なのはSYN Cookie機能だ。これはSYN/ACKパケットにTCPシーケンス番号を含ませ、それに対するACKにシーケンス番号が含まれていれば初めてTCP接続情報を記録するやり方だ。最初は情報を記録しないので、無駄にリソースを消費せずに済む。この機能はOSに備えられているので、対応可能なOSで機能を有効にすればよい。ADC(アプリケーション デリバリ コントローラ)にこの機能を備えるものもある。また対応機能を備えるファイアウォールの導入、タイムアウト時間の短縮、ADCやロードバランサによるサーバーの負荷分散、サーバーリソースの増強によっても抑えこむことができる。
 現在はISPなど通信事業者が特定のサーバーやポートに対する異常なアクセス増加を発見次第、アクセスを遮断してくれるケースが増えたが、対応可能な量を超えると、自社のシステムすなわち他の契約者への通信サービスを守るために、攻撃対象への正常なアクセスを含むすべてのTCP通信を一時的に止めてしまう。対策がとられてはいても、結果的にDDoS攻撃の目的が果たされてしまうことには注意したい。DDoS攻撃はある程度までは抑えこめるが、完全に防ぐ方法はないのだ。

セキュリティ情報局にご登録頂いた方限定で「特効薬あります!最新DDoS攻撃と対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


DDoS攻撃/特効薬あります!最新DDoS攻撃と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「DDoS攻撃」関連情報をランダムに表示しています。

DDoS攻撃」関連の製品

クラウド型WAF「攻撃遮断くん」 【サイバーセキュリティクラウド】 Barracuda Load Balancer ADC 【バラクーダネットワークスジャパン】 クラウド型(SaaS型)WAFサービス Scutum(スキュータム) 【セキュアスカイ・テクノロジー】
WAF ADC/ロードバランサ WAF
情報漏えいを狙った脆弱性への攻撃や、DDoS攻撃によるサービス停止を防止するクラウド型WAF。導入サイト数は3000を超え、クラウド国内トップクラスの導入実績。 トラフィックを複数のサーバーへ負荷分散する機能やフェールオーバ機能などに加え、本格的なWAF(Web Application Firewall)機能を標準搭載した高機能なADC製品 顧客情報流出や改ざんの防止、リスト型攻撃などユーザ認証や新たな脅威も適切に防御するクラウド型WAFサービス。導入後に必要な運用もすべてお任せ。

DDoS攻撃」関連の特集


パターンマッチングでは防げない最新型の脅威にどう対抗すればよいのか。検出率にみるアンチウイルスの比較…



サーバの負荷分散やオフロード処理など様々な機能によってアプリケーションを最適な形で送り届けることが可…



名前に似合わず、恐ろしい携帯ウイルス…。モバイル版「ボットネット」出現が危ぶまれるSexy View…


DDoS攻撃」関連のセミナー

実感、ウェブをとりまくサイバー攻撃とその対策最前線-大阪 【ラック/共同主催:アカマイ・テクノロジーズ】  

開催日 7月28日(金)   開催地 大阪府   参加費 無料

「企業の顔」であるウェブサイトを狙った攻撃は一層深刻さを増しています。WordPressの脆弱性を利用する攻撃が多数報告されたり、IoTを利用した超大規模DDo…

情報セキュリティセミナーin宮崎 【九州通信ネットワーク】 締切間近 

開催日 7月5日(水)   開催地 宮崎県   参加費 無料

最近では、過去のばらまき型の愉快犯的なものから、標的型攻撃など、特定の企業の個人を狙い、 営利を目的としたサイバー攻撃がみられるようになっています。本セミナーで…

情報セキュリティセミナーin大分 【九州通信ネットワーク】 締切間近 

開催日 7月6日(木)   開催地 大分県   参加費 無料

最近では、過去のばらまき型の愉快犯的なものから、標的型攻撃など、特定の企業の個人を狙い、 営利を目的としたサイバー攻撃がみられるようになっています。本セミナーで…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007392


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ