DDoS攻撃はWebサイトそのものをダウンさせてしまう非常に厄介なサイバー攻撃です。分散型の攻撃方法となるため、単純なDoS攻撃よりも対策が難しく、インターネットビジネスを展開する多くの企業を悩ませています。近年では、リフレクション攻撃やDNSリフレクション攻撃といった攻撃方法が主流のDDoS攻撃ですが、どのような対策を施せば良いのでしょうか。本稿では、DDoS攻撃の概要から対策方法を解説していきます。
DDoS攻撃とは
Webサービスにとって最大の脅威ともいわれるDDoS攻撃ですが、そもそもどのような攻撃方なのでしょうか。DDoS攻撃を理解するために、まずはDoS攻撃の仕組みについて把握することからスタートしましょう。
DoS攻撃とは
DoS攻撃とは、「Denial of Service attack」の略であり、ターゲットに対して大量にデータを送りつけて処理不能な状態にさせるなど、Webサイトやシステムをダウンさせることを目的とするサイバー攻撃の1つです。悪意ある第三者からの攻撃により、システムはサービスを提供できない状態に陥り、大きな被害を受けてしまいます。
原始的な手法としては、キーボードの「F5」キーを押し続けることで、リロードによる負荷をかけて相手側のサーバーをダウンさせる「F5攻撃(F5アタック)」があります。
DoS攻撃の対象となるのは、有名企業や官公庁はもちろん、中小企業も例外ではありません。インターネット上にあるサーバーやシステムであれば、個人・法人問わず全ての環境が被害を受ける可能性があるといえます。
DDoS攻撃とは
それでは、DDoS攻撃とは何でしょうか。DDoS攻撃とは、「Distributed Denial of Service attack」の略であり、その名の通り、Distributed=分散型のDoSとなります。何らかの手段によってマルウェアに感染させたコンピュータで、攻撃ネットワークを作るなど、複数の端末やIPから一斉にDoS攻撃を行います。
DoS攻撃とDDoS攻撃の大きな違いは、攻撃に関与するコンピュータの台数、つまり規模の違いがあります。1台のコンピュータから攻撃を仕掛けるのがDoS攻撃、複数のコンピュータから攻撃を仕掛けるのがDDoS攻撃です。分散型であるDDoS攻撃の方が、攻撃元やその規模を判別し難く、防御することが難しいことがイメージできたと思います。
自社サービスが加害者になってしまうことも
DDoS攻撃は、不特定多数のコンピュータを利用し、分散的な攻撃を行います。攻撃者は無関係なコンピュータを感染させ、被害を受けたコンピュータの集合体であるボットネットを利用し、さらなる攻撃を進めていきます。
不正アクセスや何らかの罠にかかり、端末やWebサービスが乗っ取られると、DDoS攻撃の踏み台とされ、いつの間にか加害者のようになってしまい、サイバー攻撃に加担してしまうという可能性もあります。自分自身にそのつもりはなくても、そのように見られてしまう事実もあると認識しておいた方が賢明です。
DDoS攻撃を受けないようにするため、そして自らの端末やシステムが踏み台として悪用されないようにするためにも、適切な対策を施すことが求められているのです。
【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
DDoS攻撃による被害と対策
現在、DDoS攻撃の被害状況は加速度的に拡大しており、さまざまな被害が報告されています。
DDoS攻撃を防ぐためには、被害状況を踏まえた上で対策を行うことが大切です。ここでは、DDoS攻撃による被害と具体的な対策方法について解説します。
代表的なDDoS攻撃被害
DDoS攻撃による被害の代表的な例としては、ハッカー集団「アノニマス」による攻撃が有名ではないでしょうか。
2015年、アノニマスは日本のイルカ漁や捕鯨に反対するため、農林水産省や観光庁などの政府機関や自治体を対象としたDDoS攻撃を予告しました。2016年にはさまざまな企業・団体のWebサイトが相次いでDDoS攻撃を受け、当初の目的に関係・無関係問わず、多くのWebサイトがダウンに追い込まれました。
近年では、マルウェア「Mirai」によるDDoS攻撃も話題となりました。インターネットに繋がるネットワークカメラやインターネットルーターといったIoT機器の脆弱性を狙い「Mirai」により作られたボットネットが攻撃を行いました。その結果、ボットネットが拡大されていったと同時に、被害も拡大していきました。
これにより、インターネット上でドメイン名を管理するシステムである「DNS(Domain Name System)」がDDoS攻撃の被害を受け、2016年10月21日以降、米国ではTwitter・Netflix・PayPal・PlayStation Networkなどの著名なインターネットサービスが、断続的にアクセスができなくなるという事態に発展しました。
IPAの情報セキュリティ10大脅威 2020では、「サービス妨害攻撃によるサービスの停止」が10位になっており、毎年のようにランクインしている状況からも、その脅威が身近であることを感じられると思います。
DDoS攻撃への対策
DDoS攻撃による被害を受けないための対策の一つとして、同一IPアドレスからの高頻度アクセスを制限することや、国外IP・プロキシからのアクセス制御を行う方法があります。
DDoS攻撃はインターネットを経由して行うため、アクセス自体を制御するのが効果的といえます。ただし、善意のユーザが海外を経由してアクセスすることもあれば、悪意あるユーザがIPを変更して攻撃を仕掛けてくることもあります。そのため、アクセス制限を行うことで不都合が生じるケースや、いたちごっこになるなど、DDoS攻撃の被害を防ぎきれなかったり、有効な対策にならないケースがあります。
また、DDoS攻撃をはじめとしたサイバー攻撃は複合的に行われることもあるため、DDoS攻撃への対策を含めたより万全なセキュリティ対策を行う必要があるでしょう。クラウドサービスを利用したシステムを構築するとき、レンタルサーバーでWebサイトを構築するときなど、DDoS対策の機能が提供されているか、インフラの仕様やオプションサービスなどを確認し、必要に応じたソリューションを検討、導入することも一つの手です。
WAFによるDDoS対策
日に日に攻撃の手口が複雑化しているWebサイトのセキュリティ対策は、単一の対策では攻撃者に対抗しきれないのが現状です。巧妙化する不正アクセスによる機密情報の漏洩やWebサイト改ざんのほか、DDoS攻撃を防ぐツールとして、WAFが導入されることが増えています。ここからは、WAFの仕組みやDDoS対策としての活用メリットを解説します。
WAFとは
WAFとは、「Web Application Firewall」の略で、ネットワークやOSなどのソフトウェアではなく、Webアプリケーションを保護するためのセキュリティ製品です。外部からデータベースを不正操作するSQLインジェクションなど、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することができます。
近年、インターネットをビジネスに活用する企業が増えました。というよりは、それが当たり前の時代となっていますが、それぞれの企業が適切なセキュリティ対策が施せているとはかぎらず、Webアプリケーションの脆弱性が放置されているケースも少なくありません。このようなWebアプリケーションの脆弱性を狙った攻撃に対して、WAFは有効なソリューションとなります。
WAFがDDoS攻撃対策に有効な理由
DDoS攻撃は、分散型の攻撃方法である上、その手口も多様化しています。WAFと比較されたり、併用されるセキュリティ製品として、ファイアウォールやIPSなどがありますが、いずれも多様化するサイバー攻撃を網羅的に対処できないのが実情です。これは製品や機能の優劣ということではなく、それぞれが持つ役割が異なっていることを意味します。
WAFは、Webアプリケーションを悪用する攻撃を防ぐという説明をしました。Webサイトの保護という点では、DDoS対策にも注意する必要があり、包括的なセキュリティ対策として、Webサイトに対する不正アクセス、サイト停止やサービス妨害を防ぐために、DDoS攻撃に対応したWAFも増えています。このようなソリューションを検討、導入することは、安心・安全なWebサイトの運営にとって大きな助けとなります。
WAFを導入するメリット
Webサイトを取り巻く脅威としては、DDoS対策以外にも、SQLインジェクションやクロスサイトスクリプティング(XSS)・OSコマンドインジェクション・ディレクトリトラバーサル・ブルートフォースアタックなど、さまざまなサイバー攻撃があります。
WAFを導入することで、これらの攻撃への対策を同時に行うことができ、Webサイトのセキュリティ対策を強化することができます。
※対応する脅威は、WAF製品によって異なります。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
