1セキュリティ対策が十分に施されていない脆弱性のあるシステムは、さまざまなDDoS攻撃に悪用されるリスクがあります。DDoS攻撃の一種である「リフレクション攻撃」の被害も多く、自社のサーバーが踏み台にされ、気づかないうちにDDoS攻撃に加担してしまう可能性もあります。本稿では、リフレクション攻撃とはどのようなものかを解説します。
リフレクション攻撃とは
リフレクション攻撃とはどのような攻撃なのでしょうか。まずは、リフレクション攻撃の仕組みについて説明します。
リフレクション攻撃の意味と仕組み
リフレクション攻撃は、DDoS攻撃の1種です。偽装したIPアドレスから脆弱なサーバーにリクエストを送り、偽装された送信元のIPに大量のパケットを送信させるように仕向けて、対象者に間接的な攻撃を行います。アンプ攻撃やリフレクター攻撃という名前でも呼ばれています。
攻撃者がボットネットに指令を出し、ボットネット内にある大量のコンピュータから、インターネット上で簡単にアクセスできるサーバーに対して、大量のリクエストを送信します。リクエストには、偽造された送信元であるIPアドレスが含まれているため、リクエストを受け取ったサーバーは、増幅されたレスポンスを偽造されたIPアドレスに返すことになります。
このようにボットネットからサーバーにリクエストを送信し、サーバから攻撃対象者にレスポンスを送るのが、リフレクション攻撃の仕組みです。
リフレクションによる強力なDDoS攻撃
サービスを妨害・停止させることを目的とした「DoS攻撃(Denial of Service attack)」は以前から存在する攻撃手法であり、主にサーバーに過負荷をかけるものと例外処理できないものを発生させるという2つの手法に分かれます。
このDoS攻撃にDistributed=分散型という意味が付属したのが、DDoS攻撃です。2000年頃になると、インターネットの規模、帯域が大きくなっていたこともあり、単一のDoS攻撃ではなく、攻撃者はボットネットを活用するようになり、DDoS攻撃が急速に拡大していきました。
DDoS攻撃における「分散型」の意味は、1つのIPによる攻撃ではなく、複数のIPから分散的にDoS攻撃を使うことを意味します。DDoS攻撃は、マルウェアに感染させた複数のコンピュータを悪用し、インターネット上の複数のサーバーを経由して間接的に攻撃を仕掛けるなど、攻撃元を特定するのが困難です。その結果、IoT機器が踏み台にされ、「知らないうちに攻撃者に加担していた」というケースも増えています。
DNSリフレクション攻撃とは
DNSリフレクション攻撃とは、DNSの仕組みを悪用したリフレクション攻撃のことです。
DNSリフレクション攻撃では、攻撃者はボットネットを遠隔操作し、指令を受けたボットネットがDNSサーバーに対しDNSリクエストを送信します。DNSサーバーは、増幅されたDNSパケットを攻撃の対象となるサーバーに送ります。DNSリフレクション攻撃は、アクセス制限を行わず、どこからの問い合わせであっても応答してしまう「オープンリゾルバ」になっているキャッシュDNSサーバーが悪用されるケースが多くなっています。
DNSリフレクション攻撃は詐称が容易であり、増幅率の高さやサーバーの数が多いなど、攻撃者にとっての利点があります。そのため、リフレクション攻撃を行う際に特に用いられやすい攻撃方法と考えられています。
【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
リフレクション攻撃への対策
リフレクション攻撃は、攻撃者を特定し難いという性質があるため、適切な対策が行えていないケースがあります。実際にはどのように対策を取っていけば良いのでしょうか。ここからは、リフレクション攻撃への対策方法について解説します。
不要なポートを塞ぐ
まずは、リフレクション攻撃の入り口となるポートに注目してみましょう。はじめに、インターネットに対して開いているポートを確認します。
ポートの数だけ、攻撃者の攻撃範囲が広がることになります。そのため、外部に向けて公開する必要のないポートなど不要と判断されるポートを防ぐことが大切です。ただし、正当なトラフィックと攻撃者のトラフィックの両者が共通に使用するポートは塞がないようにしましょう。
例えば、DNSの「TCP/UDP53番ポート」は、一般的に攻撃を受けやすいポートではありますが、インターネット上でサービスを提供するには必要なポートです。
レートリミットの設定
レートリミットの設定は、リフレクション攻撃をはじめとしたDDoS攻撃を防ぐために有効な方法といえます。
レートリミットを設定するためには、レートベースルールの作成が必要です。レートベースルールとは、大量のリクエストを送ってくる送信元をブロックするために用いるものです。送信元の各IPアドレスのリクエストに対してレートを追跡し、時間内のリクエスト数が上限レートを超えると、ルールアクションが実行される仕組みになります。
過剰なリクエストを送信してくるIPアドレスによるリクエストを一時的にブロックでき、特定の送信元や送信先のトラフィックを制限できるため、リフレクション攻撃による被害を低減することが可能です。
ただし、レートリミットはルールにしたがって無差別で作用するため、システムダウンを防止するための最終手段として活用するなど、その性質を理解することも必要です。
IPレピュテーション
リフレクション攻撃を行う際は、インターネット上にある脆弱なサーバーを悪用します。この攻撃方法を逆手に取り、リフレクション攻撃に使われる恐れのある脆弱なサーバーを、IPレピュテーションなどに基づきあらかじめブロックするというのも有効です。
IPレピュテーションとは、IPアドレスにおける評判を評価し、通信を制限する仕組みのことです。判定基準として、IPアドレスがブラックリストに載っていないか、過去に迷惑メールを送信した経歴や他者から申告された経歴はないかなどがチェックされます。
上記の判定基準をもとに脆弱なサーバーのIPアドレスを把握し、ブロックすることは、リフレクション攻撃の予防に効果があります。
オープンリゾルバを停止する
オープンリゾルバとは、前述のとおりDNSの名前解決を行うサーバーやネットワーク機器で、 不特定のクライアントからのリクエストに対して応答するようになっているDNSサーバーを指します。リフレクション攻撃は、攻撃者がボットネットを経由してサーバーにリクエストを送信し、攻撃対象者にレスポンスを送るという手順を踏みます。そのため、オープンリゾルバを停止することで、リフレクション攻撃を防ぐことができます。
オープンリゾルバは、サーバーの設定変更によって機能を停止できます。自社のサーバがリフレクション攻撃の踏み台とならないためにも、オープンリゾルバは停止させましょう。
まとめ
本稿では、DDoS攻撃の一種であるリフレクション攻撃について解説しました。DDoS攻撃は、その性質から攻撃元を特定することが難しく、対策が困難なサイバー攻撃の1つです。インターネットを活用する上では、リフレクション攻撃に限らず、さまざまなサイバー攻撃の脅威が身近に潜んでいると考え、対策を怠らないようにしましょう。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
