古くからあるサイバー攻撃の手法の1つであるDDoS攻撃は、その手法をデジタル技術の進化に応じて高度化・巧妙化させながら、今なお主要な攻撃手法として、大きな脅威であり続けている。この記事では、DDoS攻撃の概要をはじめ、その種類と代表的な被害事例、対策について解説する。
DDoS攻撃とは
DDoS攻撃(Distributed Denial of Service Attack)とは、古くからあるサイバー攻撃の一種であり、DoS攻撃(Denial of Service Attack)の進化系とみなされる。DoS攻撃とは、Webサイトや業務システムなどのサーバーに対して膨大なデータを送り付けるなどして、高い負荷を与えることで処理不能の状態に陥らせ、攻撃先のサービスを妨害することを目的とした攻撃である。
DoS攻撃とDDoS攻撃の違いは、前者は1台の端末にて行う攻撃であるのに対し、後者は複数の端末によって分散的かつ一斉に同じターゲットに対して攻撃を仕掛けるという点だ。そのため、DoS攻撃よりもDDoS攻撃の方がより高負荷の攻撃を行うことが可能で、ターゲットに与えるインパクトが大きくなりやすい。DDoS攻撃に加わる端末の数が増えれば増えるほど、より攻撃力が高まる。そのため、攻撃者はマルウェアなどを悪用してDDoS攻撃に加担する端末を増やすことを企むのだ。
DDoS攻撃の種類
先述したように、DDoS攻撃は大量のデータを攻撃先に送り付けることで高負荷をかけ、サービス停止に追い込む手法だ。その攻撃手法は大きく、「帯域幅消費型攻撃」、「プロトコル攻撃」、「アプリケーションレイヤー攻撃」の3種類に分けられる。
帯域幅消費型攻撃
最も基本的なDDoS攻撃で、正規の通信に偽装した膨大な量のデータを送り付けることでネットワークの帯域幅を消費させ、サービスを遅延させる、あるいはサーバーダウンに追い込む。攻撃のターゲットとして対象になるのはネットワーク層である。
プロトコル攻撃
サーバーやファイアウォール、ロードバランサーなどのネットワーク機器のリソースを過剰消費させて、サービス妨害を引き起こす攻撃。SYNフラッド攻撃やFINフラッド攻撃などがある。こちらもネットワーク層を狙う攻撃である。
アプリケーションレイヤー攻撃
Webアプリケーションの脆弱性を突くことで、アプリケーションの実行を妨害する攻撃。OSI参照モデルの第7層(L7)を対象にした攻撃であり、L7攻撃とも呼ばれる。ネットワークリソースだけでなく、サーバーリソースも消費するため、少ない帯域幅でより大きな損害を与えることができる。
DDoS攻撃の歴史と進化
インターネット黎明期の90年代、Webサイトを支えるサーバーの性能は現在と比較すると大幅に低かったため、サーバーの処理能力を低下させるDoS/DDoS攻撃は効果的であった。
最初のDDoS攻撃とされるのは諸説あるものの、2000年に米国で起こった「MafiaBoy」として知られる攻撃がある。以下に、過去に起こった代表的なDDoS攻撃の事例を挙げていく。
MafiaBoyによる攻撃
2000年2月に発生、当時カナダ在住の15歳の少年がいくつかの大学のネットワークをハッキングし、そのサーバーを利用してDDoS攻撃を行うことで、米国Yahoo!、CNN、Amazonなど著名なサイトを次々とダウンさせた。この攻撃は株式市場に混乱をもたらすほどの影響を与えた。
CodeRedを用いたホワイトハウスへの攻撃
2001年7月、CodeRedと呼ばれるワームを用いて、米国ホワイトハウスのWebサイトを狙うDDoS攻撃が企てられた。攻撃自体はホワイトハウス側がWebサイトを別のIPアドレスに移すという事前対処によって未遂に終わったものの、少なくとも22万5,000台のコンピューターがCodeRedに感染した。
動画サイトへのSYNフラッド攻撃
2007年、国内大手動画サイトへのSYNフラッド攻撃が行われた。最終的に攻撃を行った端末は3,000台以上、サービスが一時停止に陥る事態となったほか、同一ネットワーク上にある運営元企業のモバイルサイトにも影響が生じた。
エストニアの多数の重要なWebサイトを狙った攻撃
2007年4月、大規模に構成されたボットネットを用いて、エストニアの政府機関や金融機関、メディアなどを狙った大規模なDDoS攻撃が展開された。エストニア政府はオンライン政府を早期に実現していたことから、この攻撃は政府にとって大きな痛手となった。最終的に攻撃が収束したのが3週間後と、長期にわたって攻撃を受け続けた。
国内大手ゲーム会社へのアノニマスによる攻撃
2011年、アノニマスによってゲーム会社が運営するコミュニティサイトへDDoS攻撃が仕掛けられ、サービスが一時停止、7,700万人の個人情報が流出した可能性もあった。アノニマスは前年にも日本国内向けに大規模なDDoS攻撃を行っていた。
スパムフィルター提供組織への攻撃
2013年、スパムメール対策のためのリストを管理・提供する国際的組織「Spamhaus」を狙ったDDoS攻撃が行われた。この攻撃は当時としては最大級の規模で、トラフィックがピーク時には300Gbpsにも達した。
セキュリティWebメディアを狙った攻撃
2016年9月、IoT機器の脆弱性を悪用したMiraiボットネットによる過去最大規模の攻撃が行われた。38万台のIoT機器がMiraiに感染し、同Webメディアへの攻撃の規模は最大で620Gbpsにも達した。
CDN提供企業を狙った攻撃
2023年2月、CDN提供企業のネットワークを狙ったDDoS攻撃が発生。過去最大規模となる、1秒間7,100万以上のリクエストの攻撃を受けたことが判明している。この企業を狙った攻撃はそれ以前にも大規模なものが発生していた。
DDoS攻撃に対処するには
DDoS攻撃のターゲットとなるのは、基本的にWebサイトやWebサーバー、IoT機器などだ。このようなDDoS攻撃に対処するための方法として、以下のような対応が挙げられる。
DDoS対策のためのツール導入
WAFやIDS/IPS、UTMといったネットワークを保護する、DDoS対策用ツールを導入する。また、WAFを進化させたWAAP(Web Application and API Protection)と呼ばれる、新たなクラウド型セキュリティソリューションも登場している。
CDNの利用
世界中にキャッシュサーバーを配置・分散してのコンテンツ配信が可能なCDN(Content Delivery Network)を利用することで、仮にDDoS攻撃を受けた場合でも安定したサービスの提供が可能となる。特に、負荷集中を回避することから、帯域幅消費型の攻撃に有効である。
セキュリティリスクの軽減
DDoS攻撃の発端ともなり得るマルウェアに感染しないためには、基本的なセキュリティ対策が重要だ。例えば、アプリケーションやOSを常に最新版に更新する、加えてセキュリティソフトの導入など、基本的な対策を講じることでセキュリティリスクを軽減し、DDoS攻撃に加担してしまうリスクも抑えられるだろう。
自社のWebサイトや業務システムのサーバーにDDoS攻撃が行われた場合、どう対処すべきか。そして、並行して自らがDDoS攻撃に加担しないための対策も重要となる。そのためにも、自社のシステムやネットワークに侵入されないためのセキュリティ対策を強化しておくことがより一層求められている。
年々、DDoS攻撃の規模は拡大する傾向にあり、何も対策を講じなければ、こうした被害に巻き込まれてしまう、あるいは知らず知らずのうちにDDoS攻撃への加担者となる可能性が高まる。Webサイトやアプリケーションを通じたサービス提供の重要性が高まる昨今、適切な対策を講じておくことが経営判断として求められる時代になってきているのではないだろうか。