- 総合情報サイト
- IT製品比較ナビ
|
|
|
|
| |
|||||||||||
2011/07/21
|
企業システムのセキュリティを脅かす攻撃にどう対策するべきかをコンパクトに解説する「セキュリティ強化塾」。今回のテーマは「DDoS(分散型サービス不能)攻撃」だ。狙った組織のWebサーバやネットワークに大きな負荷をかけて、通常の通信を行えないようにするのが「DoS(サービス不能)攻撃」。このDoS攻撃をたくさんのPCを用いて一斉に行うのが「DDoS攻撃」だ。どんな手口があるのか、どんな被害が考えられるのか、そしてその対策は?記事末尾には関連知識を試す「理解度チェック」問題(情報セキュリティスペシャリスト試験対応)も用意しているので是非挑戦していただきたい。 |
|
|
「金を払わないと攻撃するぞ!」 脅迫にも使われるDDoS攻撃
DDoS攻撃とは、たくさんの端末から特定のサーバに対して意味のない通信を大量に行って、サーバの処理能力やネットワーク容量を使い尽くしてしまう攻撃のことだ。攻撃者はまずは準備段階として、多数のPCをウイルスに感染させてDDoS機能をもつモジュールを埋め込む。そのモジュールは、攻撃者の指令を待って攻撃を行うボットである場合もあれば、指令にかかわりなく規定された期日に攻撃を開始するプログラムであることもある。攻撃トリガーが引かれれば、モジュールを埋め込まれたPCは一斉に特定のサーバにDoS攻撃を仕掛ける。これがDDoS攻撃に共通する手口だ。
図1 DDoS攻撃の準備段階(左)と攻撃段階(右)のイメージ |
||||||
|---|---|---|---|---|---|---|
| ||||||
近ごろでは、ソニーや任天堂などゲームサイト、あるいはアメリカ、ブラジル、ベトナムなどの政府機関のWebサイトを狙ったDDoS攻撃の報道が相次いでおり、ニュースによってDDoS攻撃という言葉を知った方もおられるだろう。しかし一般に報道はされないものの、比較的規模の小さいDDoS攻撃は以前から国内でも頻繁に行われていて、中には「お金を払わないとDDoS攻撃するぞ」と脅迫される事件まで起きている。
インターネットに公開しているサービスが、急にレスポンス低下、ついにはまるで利用できないほどの状態になってしまう。自社Webサイトにアクセスが集中する特別な理由がないのに突然そんなことが起きたら、DDoS攻撃を疑ってみよう。
| 1-1 | |
国内セキュリティ業界の「伝説」になった大規模DDoS攻撃 |
|---|
DDoS攻撃の基本的な手口は古くからあまり変わっていない。日本で大規模なDDoS攻撃が公表された事例として、ここでは2004年のACCS(ソフトウェア著作権協会)のWebサーバへの攻撃の手口と対策を紹介しよう。これは現在の日本のキャリアやISP、セキュリティベンダなどのDDoS攻撃対策を作り上げる基礎になったといわれる伝説的な攻撃だ。
2004年に始まった攻撃には、Winnyを使った情報暴露で有名なウイルス「Antinny」のいくつかの亜種が使われた。これらの亜種は一斉にACCSのホームページにDoS攻撃を仕掛けるように作られていた。それぞれの亜種に仕込まれていたのは、次のようなDoS機能だった(各攻撃の手口は後述)。
|
これらの複数の攻撃が、まったく異なるIPアドレスのPCからACCSのWebサーバに殺到した。攻撃は同年3月に始まり、毎月1日と第1月曜日、月と日の数字が一致する日(3月3日や4月4日など)に集中して行われた。ウイルスがこうした日付に一斉攻撃するように作られていたのだ。
攻撃はときには1秒間に約5000回を数えたこともあった。観測された最大のトラフィックは700Mbpsにも及んだ。この攻撃により、ACCSのWebサーバは3月から11月までの間に合計約70日のサーバ停止を余儀なくされた。そのうえ、対策の過程で従来のURL(http://www.accsjp.or.jp)での運用を諦め、新しいURL(http://www2.accsjp.or.jp)での運用に切り替えざるを得なくなった。
DoS攻撃対策として真っ先に行うことはファイアウォールで攻撃元のIPアドレスをブロックすることだが、DDoS攻撃では攻撃元が多すぎ、しかも正当な通信と区別するのが難しいため、攻撃元をすべて特定することは事実上できない。そこでACCSではサーバのホスト名を変更する対策をとった。しかし、ホスト名変更には一定のルールがある。攻撃者はルールに従って変更されたあとのホスト名を推測し、それも含めて攻撃してきたため、効果は限定的だった。
また、ISPのDNSサーバから当該サーバの名前を削除してもらう処置もとった。しかし、それは別のDNSサーバに名前解決のトラフィックを差し向ける結果になり、他のISPなど広い範囲に異常な負荷がかかることになった。インターネットから当該サーバがなくなっても攻撃は自動的に行われるので、その影響はインターネットの別の場所に波及してしまうのだ。
この事態に危機感を覚えたISP、キャリア、セキュリティ専門機関などは、コストを度外視してもACCSに協力し、対策をとることにした。
セキュリティ専門機関は、攻撃パケットを集中させてすべて廃棄するためのサーバを設置し、ACCSのサーバへの通信に対してISPのDNSサーバがパケット廃棄のために設けた対策用サーバへのIPアドレス(ブラックホールIPアドレス)を返すようにした。複数のISPがそれぞれの網内でフィルタリングを行って、過度に負荷が増大しないようにする協力体制も敷いた。
また、このブラックホールIPアドレスに集中させた攻撃パケットから、攻撃元のIPアドレスを収集・分析してISPに渡す仕組みも作り込まれた。ISPではIPアドレス使用者の調査を行い、使用者に対してウイルス感染の注意喚起・対策実施をメールなどで呼びかけた。
ウイルス対策ツールベンダでは、Antinny対策のツールと専用サイトを作成し、感染PCを簡単に駆除できるようにした。さらにはその対策の利用状況をISPに伝え、ISP側からユーザに向けて対策完了の連絡や再感染防止の実施をお願いする仕組みができ上がった。
このような業界を挙げての取り組みにより、Antinnyの感染PCは次第に数を減らし、DDoS攻撃はやがて減少していった。しかし完全にゼロにすることは現在に至るもできておらず、特定の日に数十Mbps程度の攻撃は発生しているという。
| 1-2 | |
ボットを使った「DDoS攻撃請負」ビジネスが登場 |
|---|
現在日本ではDoS攻撃の95%以上がDDoS攻撃で、その多くはSYN Floodのように最初の接続手順を狙う攻撃(つまり接続を完了させないのでIPアドレスを詐称できる)が9割を占めると見られている。DDoS攻撃の特徴は、攻撃元が特定しにくく、しかも攻撃元が必ずしも意図的に攻撃を行っているとは限らないという点である。たとえ上例のように多数の組織が協力して対策したとしても、なかなか根絶することが難しい。
現在ではさらに困ったことに、国際的に張り巡らされたボットのネットワーク(ボットネット)を利用したDDoS攻撃が盛んに行われるようになった。ボットはウイルスの一種で、多くのPCに密かに感染して、司令者(攻撃の首謀者)からの指示を待つ。ネットワーク経由で指示があり次第、多くのボットが一斉に攻撃パケットを送り始める。このボットネットによりボット自身のバージョンアップも行えるので、攻撃手口を変えたり、攻撃対象を変えたりすることができる。多数の感染PCを配下にしたボットネットを使えば、さまざまなDDoS攻撃が可能になる。攻撃のたびに新しいウイルスを作るよりずっと簡単だ。
ボットネットを仕組んだグループは、現在では自分が攻撃を行うのではなく、ボットネットの「時間貸し」で利益を得るようになった。特定のサイトにDDoS攻撃を仕掛ける「攻撃代行」サービスも行っている。アンダーグラウンドマーケットでは、表1のような値段でDDoS攻撃の請負サービスが提供されている。
IPA「サービス妨害攻撃の対策等調査報告書」2010年12月 |
||||||||
本格的なDDoS攻撃は数日間に及ぶものがあるが、実際にはおよそ9割の攻撃が30分未満で終わる。これはDDoS攻撃代行ビジネスの「無料お試しサービス」あるいは攻撃能力のデモのような活動のせいではないかとも言われている。この程度の時間内のサービス妨害なら、対策コストをかけずに我慢するという選択はありうる。しかし攻撃があまりに簡単に行えることがわかれば、次は格好の標的として本格的な攻撃が行われるかもしれない。
また断続的に攻撃を行いながら、標的企業に「DDoS攻撃を止める方法がある」と持ちかけ、金銭を振り込ませるアンダーグラウンドビジネスもある。実のところは脅迫だ。標的企業が自前でDDoS対策をする場合のコストよりはだいぶ安い「身代金」が要求される。「その程度で済むのなら」と脅迫に屈すると、いったん攻撃が止んだとしても、アンダーグラウンド業者から交渉しやすい相手だと思われて、その後何度も狙われる可能性がある。脅迫者とは絶対交渉すべきでない。
DDoS攻撃の被害は、サービスが止まる、あるいは滞ることによって生じる逸失利益と、システム復旧コストという一次被害に加え、サービスユーザからのクレームなどへの対応も含めた対応コスト、再発防止などの対策をとるためのコスト、取引先への補償、さらには風評被害ともいうべきブランド失墜の可能性といった二次被害の両方を合算して考えなければならない。
こうしたコストを最小限にするためには、ユーザ企業側で攻撃を少しでも食い止めるための装備をするべきだ。また攻撃を完全に防ぐのはほぼ不可能なので、もしも攻撃を受けたときにどうするべきかの手順を決め、素早く対応できるようにしておく必要があるだろう。
| 2-1 | |
DDoS攻撃の種類 |
|---|
対策のために、まずはDDoS攻撃の手口を知っておこう。上述の事例で使われた攻撃法を含め、表2のようにまとめられる。
出典:IPA「サービス妨害攻撃の対策等調査報告書」2010年12月 |
||||||||
基本的にはネットワーク帯域とリソース消費を狙った攻撃と、サーバCPUやメモリなどのシステムリソースの消費を狙った攻撃とがある。その特徴は次のとおりだ。
| UDP Flood攻撃 | ||
| ||
| Ping Flood攻撃 | ||
| ||
| Smurf攻撃 | ||
|
| SYN Flood攻撃 | ||
| ||
| Connection Flood攻撃 | ||
| ||
| HTTP GET Flood攻撃 | ||
| ||
| リロード(F5)攻撃 | ||
|
| 2-2 | |
ユーザ組織で可能な対策 |
|---|
このようなDDoS攻撃に対してユーザ組織のネットワークやシステムで行える対策は、次のようにおよそ12通りある。
| ファイアウォールでのフィルタリング | ||
| ||
| 帯域制御装置の導入 | ||
| ||
| SYN cookiesの利用 | ||
|
| サーバリソースの増強 | ||
| ||
| サーバ台数を増やす | ||
| ||
| コンテンツキャッシュサーバの利用 | ||
|
| TCP/IPパラメータの調整 | ||
| ||
| HTTPサーバのパフォーマンスチューニング |
| 静的なコンテンツの利用 | ||
| ||
| コンテンツ保存のローカルディスク化 | ||
| ||
| DNS参照の抑制 | ||
| ||
| プログラムモジュールの精査 | ||
|
このような対策が、どんな攻撃に有効なのかについては、表3を見ていただくとよい。
出典:IPA「サービス妨害攻撃の対策等調査報告書」2010年12月 |
||||||||||||||
なお、DDoS攻撃を受けていても攻撃と気づかず、単純なアクセス増加だと思って無駄な設備投資をしてしまうこともありうる。普段から表4のようなサービス性能指標に気をつけて監視することで、サービスレベルの平常値がわかり、DDoS攻撃の早期発見や適切な対策法の選択につながる。
出典:IPA「サービス妨害攻撃の対策等調査報告書」2010年12月 |
||||||||
| 2-3 | |
ISPなどのDDoS対策サービスを利用する |
|---|
さらに積極的に対策したい場合には、自社組織内ではなく、ISPやセキュリティ専門会社の行っているDDoS攻撃対策サービスを利用するとよい。
自社でどれだけコストをかけても、インターネットからゲートウェイまでの通信を制限することはほとんどできない。数Gbpsの攻撃も行われる現在、これに対策するにはISP側で攻撃の検知と遮断を行ってもらうしかない。対策サービスを提供しているISPなどではアクセス制限や帯域制御をバックボーンに近いところで行ってくれるため、ユーザ組織側ではそれを通過してくる少数の攻撃に対応すればよくなる。DDoS攻撃の被害低減のためには有効なので攻撃対象となる可能性やサイトの重要性を考慮して、攻撃される前に契約しておくことをおすすめする。
| 2-4 | |
DDoS攻撃に遭遇した場合の行動 |
|---|
DDoS攻撃に見舞われた場合、自社だけでは対処できないことがほとんどだろう。まずは攻撃の発信元を突き止めて止めさせることを考えなければならない。それには契約ISPに相談し、攻撃元のISPに交渉してもらうことだ。それだけでは難しい場合は、JPCERT/CCに相談してみよう。JPCERT/CCはセキュリティインシデントの解決支援などをしてくれる公的機関だ。海外の同様の組織(CERT)との連携で解決を図ってもらえる。また、十分に関連する知識がないという場合であっても、IPAセキュリティセンターなら相談を受け付けているので、アドバイスを求めることができる。
こうした公的機関に相談するとともに、セキュリティ専門会社にも相談するとよい。システムやネットワーク面での対策、再発防止策なども含め、解決を図ってくれる。もちろんこの場合は有償だ。
以上、今回はDDoS攻撃の実際と対策法について紹介した。今ではDDoS攻撃用のツールが簡単に入手できるようになっているため、これからDDoS攻撃が増えていく可能性がある。サービス停止に追い込まれないよう、できるだけの予防措置を講じておくべきだ。
DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるとき、“通過禁止”に設定するものはどれか。
[解答] ア
[解説]
DMZは外部ネットワークからも内部ネットワークからもファイアウォール越しに接続するネットワークの1区画。pingは、IPネットワークの運用管理のために使われる通信プロトコル(ICMP)のコマンドの1つで、通信相手先とネットワークが通じているかどうかを確認するもの。pingは相手先の機器からの応答を要求するので、大量に相手先にpingコマンドを送信すれば、相手先のネットワーク帯域やシステムリソースを無駄に消費させることになる。つまりDoS攻撃だ。
このような攻撃ではpingをファイアウォールで通過させないことが有効な対策になる。したがって、ICMPを通過禁止にするのが正解だ。ちなみにイはDNS、ウはFTP、エはNTPに使われるポート番号だ。
取材協力
独立行政法人 情報処理推進機構(IPA)
|
サイトマップ:
|
|
