DDoS攻撃とは？仕組み、種類、影響、対策

Tamura

2023.01.06

多くの脅威アクターが好むツールである分散型サービス拒否（DDoS、読み：ディードス）攻撃は、過剰なトラフィック（受信メッセージ、接続リクエスト、異常なパケットなど）を使って、標的となるマシンやネットワークのリソースを利用不能にし、システムを大幅にスローダウン、またはクラッシュさせようとします。

本記事では、DDoS攻撃の仕組み、種類、組織に与えうる負の影響、そしてDDoS攻撃の備え・防止・対処にあたってのポイントを探ります。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2023年1月3日付）を翻訳したものです。

DDoS攻撃の仕組み

DDoS攻撃はボットネットを使います。ボットネットは、標的のIPアドレスにリクエストを送信するマルウェアに乗っ取られたコンピュータから成るネットワークです。DDoS攻撃はボットネットを使用するため、1台の攻撃マシンから過剰なトラフィックを送信するDoS（サービス拒否）攻撃とは区別されます。ボットネットは攻撃が複数のデバイスや場所から行われているかのように見せかけることができます。したがって、その防御は極めて困難です。

残念ながら、DDoS関連の活動は大幅に増加しており、2022年上半期には600万件を超えるDDoS攻撃が観測されたといわれています。そして、この傾向はおそらく続くでしょう。なぜならボットネットは、クライムウェア（犯罪用マルウェア）のおかげで、誰でも利用できるようになってきているためです。クライムウェアにより、DDoSを行う能力を、個人が不法マーケットプレイスで対価を払って借りることが可能です。このため、熟練度の低い個人やグループでも複雑な攻撃を実行できるようになっています。

DDoS攻撃の種類

一般的に、DDoS攻撃には「アプリケーション層攻撃」「ネットワーク層攻撃」「ボリュメトリック攻撃」の3種類が存在します。ただし、組織のITリソースに影響を及ぼす脆弱性を悪用することによっても、DDoS攻撃を成功させることは可能です。最近の攻撃は、ブーターやストレッサーといった、さまざまなDDoSツールを使用します。また、戦術は単独で使用されることもあれば、より複雑な、複数手段による攻撃のために併用されることもあります。

アプリケーション層攻撃

ネットワーク接続のアプリケーション層では、サーバーがリクエストに対するレスポンスを作成します。例えばサーバーは、ユーザーがブラウザにHTTPリクエストを入力したらWebページをロードします。アプリケーション層攻撃は、リクエストを繰り返し行うことでサーバーに過大な負荷をかけます。

ネットワーク層攻撃

ネットワーク層攻撃は、ネットワーク接続の初期段階に焦点を当て、ファイアウォールやルーティングエンジンなどのサーバーリソースを使い果たします。例えば攻撃者は、2台のコンピューター間で安全な接続を開始するために使用されるSYNパケットによって、標的サーバーに過大な負荷をかけることができます。

ボリュメトリック攻撃（Volumetric attack）

ボリュメトリック攻撃は、標的サーバーの帯域幅を飽和させます。通常、標的のIPアドレスを使用してオープンリゾルバに繰り返し問い合わせを行うという手段が用いられます。つまり、攻撃者はDNSリゾルバに、標的サーバーからのリクエストを装った複数のリクエストを行うのです。

DDoS攻撃による影響

DDoS攻撃のリスクに絶対にさらされない企業や業界は存在しません。インターネットに接続されたWebサイトや資産を保有しない組織は、ほぼ皆無だからです。さらに、DDoS攻撃が原因で発生し得る長時間の操業停止や稼働中断は、大きな経済的損失や、顧客の不満、イメージダウンにつながる恐れがあります。Imperva社によれば、通常のDDoS攻撃は、被害者に合計で約50万ドル、1時間の稼働中断ごとに約4万ドルの損害を与え得るとのことです。

またDDoS攻撃は、データ損失を引き起こしたり、標的のセキュリティを侵害する可能性のある他のサイバー犯罪行為を隠したりする場合があります。もっと深刻な攻撃、例えばAPTグループが行う攻撃は、政情不安を引き起こしたり、攻撃の一種とみなされたりする場合があります。その一例であるロシア・ウクライナ戦争では、侵攻の数日前にロシアのハッカーがウクライナの政府ポータルサイトや銀行WebサイトにDDoS攻撃を行いました。カスペルスキー社によると、今般の紛争が始まって以来、DDoS攻撃の件数は4.5倍に増加しています。

2022年第1四半期に、過去最高のDDoS攻撃件数を観測しました。この増加傾向は、地政学的な状況に大きく影響されました…私たちが観測した攻撃の一部は数日や数週間にわたって続いたことから、イデオロギー的な動機を持つサイバーアクターによるものである可能性がうかがい知れます。また、このような脅威に対抗する準備ができていない組織が多いことも確認しました。
カスペルスキー社、ALEXANDER GUTNIKOV氏

さらに、今般の戦争のために開発された精巧かつ強力なDDoSツールは、世界中の他の脅威アクターたちに採り入れられていると報告されています。

DDoS攻撃を防止するための方法

従業員50人以上の企業の5社に1社は、少なくとも1回、DDoS攻撃の被害を受けています。DDoSが急増しているということは、ご自身の組織もDDoS攻撃を仕掛けられるかもしれないということです。とはいえ、DDoS攻撃を積極的に発見、防止し、被害を最小限に抑えるために活用できる戦略は、複数存在します。

1.ネットワークトラフィックに異常がないかを監視する。異常の例としては、予期せぬトラフィックの流入、不審な場所から発信されるトラフィック、遅いサーバー、スパムメールの増加などがあります。これらは攻撃が差し迫っているかもしれないというサインです。

2.事前に攻撃への対処計画を練る。例えば、DDoSのシミュレーションテストを実施したり、IT担当者やその他影響を受ける関係者の攻撃時の対応手順を決めておいたりします。

3.DDoSトラフィックと正規のトラフィックを区別する。ブラックホールルーティング、レート制限、Webアプリケーションファイアウォールなどの緩和戦略を活用して行います。

4.悪用可能な脆弱性を特定する。FlashpointのVulnDBなどのツールを活用して特定します。DDoS攻撃は、トラフィックを妨害するだけでなく、組織のアプリケーションに存在する脆弱性を利用することがあります。包括的な脆弱性インテリジェンスを持つことで、脆弱性が悪用される前にパッチを適用することができます。

5.一般に公開されているWebサイトの動向を注視する。Pastebin（ペーストビン）、ソーシャルメディア、フォーラムといったサイトで、攻撃の可能性を示唆する会話がないかを確認します。Echosecのような専用のオープンソース・インテリジェンスツールを使用すると、ダークウェブのようなさまざまな情報ソースに潜む脅威を発見することができます。

DDoS攻撃への備えはFlashpointで

業界の調査からは、DDoS攻撃が増加傾向にあるだけでなく、その手法がますます巧妙になってきていることが分かります。その主な原因がロシア・ウクライナ戦争であるとはいえ、DDoS攻撃は今後も組織を苦しめ続けるでしょう。一方で、DDoS攻撃がもたらすリスクを組織が軽減する上で役立つツールや戦略は確かに存在します。無料トライアルに登録し、脅威アクターたちのコミュニケーションや活動を可視化してみませんか。