アナタの知識が会社を救う! セキュリティ強化塾

2011/07/21


 企業システムのセキュリティを脅かす攻撃にどう対策するべきかをコンパクトに解説する「セキュリティ強化塾」。今回のテーマは「DDoS(分散型サービス不能)攻撃」だ。狙った組織のWebサーバやネットワークに大きな負荷をかけて、通常の通信を行えないようにするのが「DoS(サービス不能)攻撃」。このDoS攻撃をたくさんのPCを用いて一斉に行うのが「DDoS攻撃」だ。どんな手口があるのか、どんな被害が考えられるのか、そしてその対策は?記事末尾には関連知識を試す「理解度チェック」問題(情報セキュリティスペシャリスト試験対応)も用意しているので是非挑戦していただきたい。


「金を払わないと攻撃するぞ!」 脅迫にも使われるDDoS攻撃

 DDoS攻撃とは、たくさんの端末から特定のサーバに対して意味のない通信を大量に行って、サーバの処理能力やネットワーク容量を使い尽くしてしまう攻撃のことだ。攻撃者はまずは準備段階として、多数のPCをウイルスに感染させてDDoS機能をもつモジュールを埋め込む。そのモジュールは、攻撃者の指令を待って攻撃を行うボットである場合もあれば、指令にかかわりなく規定された期日に攻撃を開始するプログラムであることもある。攻撃トリガーが引かれれば、モジュールを埋め込まれたPCは一斉に特定のサーバにDoS攻撃を仕掛ける。これがDDoS攻撃に共通する手口だ。

図1 DDoS攻撃の準備段階(左)と攻撃段階(右)のイメージ
図1 DDoS攻撃の準備段階(左)と攻撃段階(右)のイメージ
資料提供:IPA

 近ごろでは、ソニーや任天堂などゲームサイト、あるいはアメリカ、ブラジル、ベトナムなどの政府機関のWebサイトを狙ったDDoS攻撃の報道が相次いでおり、ニュースによってDDoS攻撃という言葉を知った方もおられるだろう。しかし一般に報道はされないものの、比較的規模の小さいDDoS攻撃は以前から国内でも頻繁に行われていて、中には「お金を払わないとDDoS攻撃するぞ」と脅迫される事件まで起きている。


1

DDoS攻撃の脅威とは?

 インターネットに公開しているサービスが、急にレスポンス低下、ついにはまるで利用できないほどの状態になってしまう。自社Webサイトにアクセスが集中する特別な理由がないのに突然そんなことが起きたら、DDoS攻撃を疑ってみよう。

1-1

国内セキュリティ業界の「伝説」になった大規模DDoS攻撃

 DDoS攻撃の基本的な手口は古くからあまり変わっていない。日本で大規模なDDoS攻撃が公表された事例として、ここでは2004年のACCS(ソフトウェア著作権協会)のWebサーバへの攻撃の手口と対策を紹介しよう。これは現在の日本のキャリアやISP、セキュリティベンダなどのDDoS攻撃対策を作り上げる基礎になったといわれる伝説的な攻撃だ。

■たくさんのウイルス感染PCによる複数の手口での攻撃

 2004年に始まった攻撃には、Winnyを使った情報暴露で有名なウイルス「Antinny」のいくつかの亜種が使われた。これらの亜種は一斉にACCSのホームページにDoS攻撃を仕掛けるように作られていた。それぞれの亜種に仕込まれていたのは、次のようなDoS機能だった(各攻撃の手口は後述)。

SYN Flood攻撃

Connection Flood攻撃

HTTP GET Flood/HTTP POST Flood攻撃

 これらの複数の攻撃が、まったく異なるIPアドレスのPCからACCSのWebサーバに殺到した。攻撃は同年3月に始まり、毎月1日と第1月曜日、月と日の数字が一致する日(3月3日や4月4日など)に集中して行われた。ウイルスがこうした日付に一斉攻撃するように作られていたのだ。
 攻撃はときには1秒間に約5000回を数えたこともあった。観測された最大のトラフィックは700Mbpsにも及んだ。この攻撃により、ACCSのWebサーバは3月から11月までの間に合計約70日のサーバ停止を余儀なくされた。そのうえ、対策の過程で従来のURL(http://www.accsjp.or.jp)での運用を諦め、新しいURL(http://www2.accsjp.or.jp)での運用に切り替えざるを得なくなった。

■キャリア、ISP、セキュリティ専門機関の総力を挙げた対策

 DoS攻撃対策として真っ先に行うことはファイアウォールで攻撃元のIPアドレスをブロックすることだが、DDoS攻撃では攻撃元が多すぎ、しかも正当な通信と区別するのが難しいため、攻撃元をすべて特定することは事実上できない。そこでACCSではサーバのホスト名を変更する対策をとった。しかし、ホスト名変更には一定のルールがある。攻撃者はルールに従って変更されたあとのホスト名を推測し、それも含めて攻撃してきたため、効果は限定的だった。
 また、ISPのDNSサーバから当該サーバの名前を削除してもらう処置もとった。しかし、それは別のDNSサーバに名前解決のトラフィックを差し向ける結果になり、他のISPなど広い範囲に異常な負荷がかかることになった。インターネットから当該サーバがなくなっても攻撃は自動的に行われるので、その影響はインターネットの別の場所に波及してしまうのだ。
 この事態に危機感を覚えたISP、キャリア、セキュリティ専門機関などは、コストを度外視してもACCSに協力し、対策をとることにした。
 セキュリティ専門機関は、攻撃パケットを集中させてすべて廃棄するためのサーバを設置し、ACCSのサーバへの通信に対してISPのDNSサーバがパケット廃棄のために設けた対策用サーバへのIPアドレス(ブラックホールIPアドレス)を返すようにした。複数のISPがそれぞれの網内でフィルタリングを行って、過度に負荷が増大しないようにする協力体制も敷いた。
 また、このブラックホールIPアドレスに集中させた攻撃パケットから、攻撃元のIPアドレスを収集・分析してISPに渡す仕組みも作り込まれた。ISPではIPアドレス使用者の調査を行い、使用者に対してウイルス感染の注意喚起・対策実施をメールなどで呼びかけた。
 ウイルス対策ツールベンダでは、Antinny対策のツールと専用サイトを作成し、感染PCを簡単に駆除できるようにした。さらにはその対策の利用状況をISPに伝え、ISP側からユーザに向けて対策完了の連絡や再感染防止の実施をお願いする仕組みができ上がった。
 このような業界を挙げての取り組みにより、Antinnyの感染PCは次第に数を減らし、DDoS攻撃はやがて減少していった。しかし完全にゼロにすることは現在に至るもできておらず、特定の日に数十Mbps程度の攻撃は発生しているという。

1-2

ボットを使った「DDoS攻撃請負」ビジネスが登場

 現在日本ではDoS攻撃の95%以上がDDoS攻撃で、その多くはSYN Floodのように最初の接続手順を狙う攻撃(つまり接続を完了させないのでIPアドレスを詐称できる)が9割を占めると見られている。DDoS攻撃の特徴は、攻撃元が特定しにくく、しかも攻撃元が必ずしも意図的に攻撃を行っているとは限らないという点である。たとえ上例のように多数の組織が協力して対策したとしても、なかなか根絶することが難しい。
 現在ではさらに困ったことに、国際的に張り巡らされたボットのネットワーク(ボットネット)を利用したDDoS攻撃が盛んに行われるようになった。ボットはウイルスの一種で、多くのPCに密かに感染して、司令者(攻撃の首謀者)からの指示を待つ。ネットワーク経由で指示があり次第、多くのボットが一斉に攻撃パケットを送り始める。このボットネットによりボット自身のバージョンアップも行えるので、攻撃手口を変えたり、攻撃対象を変えたりすることができる。多数の感染PCを配下にしたボットネットを使えば、さまざまなDDoS攻撃が可能になる。攻撃のたびに新しいウイルスを作るよりずっと簡単だ。
 ボットネットを仕組んだグループは、現在では自分が攻撃を行うのではなく、ボットネットの「時間貸し」で利益を得るようになった。特定のサイトにDDoS攻撃を仕掛ける「攻撃代行」サービスも行っている。アンダーグラウンドマーケットでは、表1のような値段でDDoS攻撃の請負サービスが提供されている。

表1 ブラックマーケットに実際に提示された、DDoS攻撃の価格表(2009年前半時点)
表1 ブラックマーケットに実際に提示された、DDoS攻撃の価格表(2009年前半時点)
資料提供:IPA

IPA「サービス妨害攻撃の対策等調査報告書」2010年12月

 本格的なDDoS攻撃は数日間に及ぶものがあるが、実際にはおよそ9割の攻撃が30分未満で終わる。これはDDoS攻撃代行ビジネスの「無料お試しサービス」あるいは攻撃能力のデモのような活動のせいではないかとも言われている。この程度の時間内のサービス妨害なら、対策コストをかけずに我慢するという選択はありうる。しかし攻撃があまりに簡単に行えることがわかれば、次は格好の標的として本格的な攻撃が行われるかもしれない。
 また断続的に攻撃を行いながら、標的企業に「DDoS攻撃を止める方法がある」と持ちかけ、金銭を振り込ませるアンダーグラウンドビジネスもある。実のところは脅迫だ。標的企業が自前でDDoS対策をする場合のコストよりはだいぶ安い「身代金」が要求される。「その程度で済むのなら」と脅迫に屈すると、いったん攻撃が止んだとしても、アンダーグラウンド業者から交渉しやすい相手だと思われて、その後何度も狙われる可能性がある。脅迫者とは絶対交渉すべきでない。

このページの先頭へ

2

DDoS攻撃への対抗策は?

 DDoS攻撃の被害は、サービスが止まる、あるいは滞ることによって生じる逸失利益と、システム復旧コストという一次被害に加え、サービスユーザからのクレームなどへの対応も含めた対応コスト、再発防止などの対策をとるためのコスト、取引先への補償、さらには風評被害ともいうべきブランド失墜の可能性といった二次被害の両方を合算して考えなければならない。
 こうしたコストを最小限にするためには、ユーザ企業側で攻撃を少しでも食い止めるための装備をするべきだ。また攻撃を完全に防ぐのはほぼ不可能なので、もしも攻撃を受けたときにどうするべきかの手順を決め、素早く対応できるようにしておく必要があるだろう。

2-1

DDoS攻撃の種類

 対策のために、まずはDDoS攻撃の手口を知っておこう。上述の事例で使われた攻撃法を含め、表2のようにまとめられる。

表2 DDoS攻撃で用いられる手法の分類
表2 DDoS攻撃で用いられる手法の分類
資料提供:IPA

出典:IPA「サービス妨害攻撃の対策等調査報告書」2010年12月

 基本的にはネットワーク帯域とリソース消費を狙った攻撃と、サーバCPUやメモリなどのシステムリソースの消費を狙った攻撃とがある。その特徴は次のとおりだ。

■ネットワーク帯域とリソース消費を狙う攻撃
UDP Flood攻撃

  UDPを悪用し、サイズの大きなUDPパケットを攻撃先アドレス宛に大量に送信する。

Ping Flood攻撃

  ICMPを悪用し、サイズの大きなICMPパケット(ICMP echo request)を大量に送信する。

Smurf攻撃

 Ping Floodと同様だが、攻撃者は標的サーバのIPアドレスを詐称してネットワーク上の適当なブロードキャストドメインに攻撃パケットを送信する。するとそのドメインから攻撃先に向けて膨大な数のICMP Echo Replyが送られ、攻撃先の通信回線の帯域が占有される。

■システムリソースの消費を狙う攻撃
SYN Flood攻撃

 サーバへの接続要求(SYNパケット)をひたすら送り続ける。SYNパケットを受け取ったサーバは、送信元へSYN/ACKパケットを送り、それへの返答としてのACKパケットを一定時間待ち、ACKパケットを受け取り次第接続を確立するのが通常の動きだが、送信元からACKパケットが返されないので、サーバはタイムアウトするまで待ち続け、他の正常な通信が影響を受ける。TCP接続前に攻撃でき、攻撃元を特定しにくい。

Connection Flood攻撃

 TCP接続を繰り返し行ってサーバのコネクションを大量に作り出す。その後はデータ転送を何もしない。サーバがコネクション数の制限を設けていない場合、メモリ不足になり、クラッシュする場合がある。正常な通信と見分けるのが難しい。

HTTP GET Flood攻撃

 TCP接続確立後、HTTPのGETコマンドを大量に送り、サーバのメモリや処理能力を無駄に消費させる。同様にPOSTコマンドを使用するHTTP POST Flood攻撃もある。1つひとつの通信は正常なものなので、さらに見分けるのが難しい。

リロード(F5)攻撃

 サーバに大量のアクセスを行う。Webブラウザで「F5」キーを押すとコンテンツがリロードされるので、連続押下でサーバの負荷を高めることができる。

2-2

ユーザ組織で可能な対策

 このようなDDoS攻撃に対してユーザ組織のネットワークやシステムで行える対策は、次のようにおよそ12通りある。

■サイト側ネットワークでできる対策
ファイアウォールでのフィルタリング

 不要なUDP・ICMPパケットや、詐称されているIPアドレスからのパケット、攻撃元であるとわかっているIPアドレスからのパケットをブロックする。

帯域制御装置の導入

 通信トラフィックを通信内容のIPアドレスやプロトコル、タイプ、コネクションスピード、URLなどをもとに最適化し、必要な通信を優先して流すようにする。

SYN cookiesの利用

 SYN Flood攻撃に対応し、SYNパケット送信元が正当なIPアドレスの場合だけ接続できるようにする。

■サーバ周辺の設備増強
サーバリソースの増強

 負荷分散装置を導入してサーバ台数を増強する。

サーバ台数を増やす

 メモリやCPUを強化して処理能力を増す。

コンテンツキャッシュサーバの利用

 要求に従ってサーバのローカルストレージやネットワークストレージからコンテンツを取り出すのでなく、コンテンツキャッシュサーバのキャッシュを利用してWebサーバ側に負担をかけない。

■サーバOSやアプリケーションの調整
TCP/IPパラメータの調整

 接続時のタイムアウト時間を調整するなどのOSでの設定調整。

HTTPサーバのパフォーマンスチューニング
■サーバの負荷低減
静的なコンテンツの利用

 動的なコンテンツを減らすとCPU負荷が減らせる。

コンテンツ保存のローカルディスク化

 ネットワークI/O負荷を減らすようにNASなどからローカルディスクにコンテンツを移動する。

DNS参照の抑制

 ログ書き込みなどにDNS参照プロセスを設けていたら取りやめる。

プログラムモジュールの精査

 余計なプログラムモジュールを読み込まないようにする。

 このような対策が、どんな攻撃に有効なのかについては、表3を見ていただくとよい。

表3 サイト側の対策とDoS攻撃手法の対応
表3 サイト側の対策とDoS攻撃手法の対応
※表中の○印は、攻撃に対して効果が期待できる対策
資料提供:IPA

出典:IPA「サービス妨害攻撃の対策等調査報告書」2010年12月

 なお、DDoS攻撃を受けていても攻撃と気づかず、単純なアクセス増加だと思って無駄な設備投資をしてしまうこともありうる。普段から表4のようなサービス性能指標に気をつけて監視することで、サービスレベルの平常値がわかり、DDoS攻撃の早期発見や適切な対策法の選択につながる。

表4 性能把握のためのチェックシート例
表4 性能把握のためのチェックシート例
資料提供:IPA

出典:IPA「サービス妨害攻撃の対策等調査報告書」2010年12月

2-3

ISPなどのDDoS対策サービスを利用する

 さらに積極的に対策したい場合には、自社組織内ではなく、ISPやセキュリティ専門会社の行っているDDoS攻撃対策サービスを利用するとよい。
 自社でどれだけコストをかけても、インターネットからゲートウェイまでの通信を制限することはほとんどできない。数Gbpsの攻撃も行われる現在、これに対策するにはISP側で攻撃の検知と遮断を行ってもらうしかない。対策サービスを提供しているISPなどではアクセス制限や帯域制御をバックボーンに近いところで行ってくれるため、ユーザ組織側ではそれを通過してくる少数の攻撃に対応すればよくなる。DDoS攻撃の被害低減のためには有効なので攻撃対象となる可能性やサイトの重要性を考慮して、攻撃される前に契約しておくことをおすすめする。

2-4

DDoS攻撃に遭遇した場合の行動

 DDoS攻撃に見舞われた場合、自社だけでは対処できないことがほとんどだろう。まずは攻撃の発信元を突き止めて止めさせることを考えなければならない。それには契約ISPに相談し、攻撃元のISPに交渉してもらうことだ。それだけでは難しい場合は、JPCERT/CCに相談してみよう。JPCERT/CCはセキュリティインシデントの解決支援などをしてくれる公的機関だ。海外の同様の組織(CERT)との連携で解決を図ってもらえる。また、十分に関連する知識がないという場合であっても、IPAセキュリティセンターなら相談を受け付けているので、アドバイスを求めることができる。
 こうした公的機関に相談するとともに、セキュリティ専門会社にも相談するとよい。システムやネットワーク面での対策、再発防止策なども含め、解決を図ってくれる。もちろんこの場合は有償だ。

 以上、今回はDDoS攻撃の実際と対策法について紹介した。今ではDDoS攻撃用のツールが簡単に入手できるようになっているため、これからDDoS攻撃が増えていく可能性がある。サービス停止に追い込まれないよう、できるだけの予防措置を講じておくべきだ。

このページの先頭へ

3

セキュリティに関する国家資格セキュリティスペシャリスト試験問題にチャレンジ!

Question 1

 DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるとき、“通過禁止”に設定するものはどれか。

Answer

[解答] ア

[解説] 
 DMZは外部ネットワークからも内部ネットワークからもファイアウォール越しに接続するネットワークの1区画。pingは、IPネットワークの運用管理のために使われる通信プロトコル(ICMP)のコマンドの1つで、通信相手先とネットワークが通じているかどうかを確認するもの。pingは相手先の機器からの応答を要求するので、大量に相手先にpingコマンドを送信すれば、相手先のネットワーク帯域やシステムリソースを無駄に消費させることになる。つまりDoS攻撃だ。
 このような攻撃ではpingをファイアウォールで通過させないことが有効な対策になる。したがって、ICMPを通過禁止にするのが正解だ。ちなみにイはDNS、ウはFTP、エはNTPに使われるポート番号だ。

解答を表示する

取材協力

独立行政法人 情報処理推進機構(IPA)企業サイトへ

このページの先頭へ
セキュリティ情報局へ登録する

セキュリティ情報局へ登録するにはキーマンズネットへの会員登録が必要です。

会員登録(無料)・ログイン

この記事を読んだアナタにおすすめします。



このページの先頭へ

キーマンズネットとは

ページトップへ