サービス拒否(DoS)攻撃への準備と対応 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > サービス拒否(DoS)攻撃への準備と対応

Threat Report

Cyber Intelligence

DDoS攻撃

DoS攻撃

サービス拒否(DoS)攻撃への準備と対応

Yoshida

Yoshida

2024.02.19

本記事は、オーストラリアサイバーセキュリティセンターの資料Preparing for and Responding to Denial-of-Service Attacksを翻訳したものです。同センターのWebサイトに掲載されている資料は、クリエイティブ・コモンズ・ライセンス(表示4.0 国際)のもと、営利目的も含めて共有や翻案が許可されています(ロゴなど一部の資料や素材は除く)。なお、元の資料最下部の”Contact details”については訳出・掲載を省略しています。

序論

サービス拒否(DoS)攻撃は、Webサイト、Eメール、DNSサービスなどのオンラインサービスを中断または機能低下に陥れることを意図した攻撃です。この目標を達成するために、脅威アクターらは以下のようにさまざまなアプローチを駆使し、オンラインサービスの正規ユーザーのアクセスを妨害します。

 

  • 利用可能なすべてのネットワーク帯域幅を浪費させるために、複数のコンピューターを使い、オンラインサービスに不要なネットワークトラフィックを大量に送りつける。
  • オンラインサービスの処理リソースを浪費させるために、複数のコンピューターを使い、細工したトラフィックをオンラインサービスへ送りつける。
  • オンラインサービスを乗っ取り、正規ユーザーをそのサービスから他のサービスに誘導する。

 

DoS攻撃の標的にされることから逃れられる組織はありません。それでもターゲットにされた場合に備え、その影響を軽減できる可能性のある対策はいくつもあります。何よりも優れた戦略は、DoS攻撃が発生する前に準備をしておくこと。攻撃が始まれば対応は非常に困難になり、その段階で対策が実を結ぶことは期待できません。

組織としては、DoS攻撃の被害者にならないことばかりに意識が向いてしまうかもしれません。しかしどんな組織でも、自身のオンラインサービスを脅威アクターの悪用から守り、他者を標的にしたDoS攻撃を実行させないための対策を講じることができます。

DoS攻撃への準備

DoS攻撃に備える対策を導入する前に、各組織は自身のオンラインサービスにDoS攻撃への耐久性を求めるビジネス要件があるかどうか、またオンラインサービスへの一時的なアクセス拒否を組織として許容できるかどうかを判断する必要があります。

DoS攻撃への耐性を強化したい組織は、次に挙げる対策が自組織の現状に即しており現実的に実施が可能であれば、DoS攻撃が始まる前にこれらの対策に取り組む必要があります。

 

  • オンラインサービスの正規ユーザーが許容できるサービスの機能とクオリティ、その機能を維持する方法、DoS攻撃中に使用できなくても問題ない機能を判断する。
  • DoS攻撃の防止および被害を軽減する戦略の詳細について、サービスプロバイダーと話し合う。以下については特に確認しておきたい。
    1. DoS攻撃に対するサービスプロバイダーの耐久能力
    2. DoS攻撃によってサービスプロバイダーが顧客から請求される可能性のある費用
    3. DoS攻撃時にサービスプロバイダーが顧客へ通知またはオンラインサービスを停止する際の基準
    4. DoS攻撃が発生した際にサービスプロバイダーが講じる可能性のある、事前に承認された措置
    5. 可能な限り上流で不正なトラフィックをブロックするため、上流プロバイダー(Tier 2サービスプロバイダーなど)と締結しているDoS攻撃防止協定について
  • レジストラロックの使用、さらにドメイン登録の詳細(連絡先詳細など)が正しいことを確認して組織のドメイン名を保護する。
  • サービスプロバイダーの連絡先詳細を24時間常に管理された状態にし、サービスプロバイダーは顧客の連絡先詳細を常時管理する。
  • 通常の通信経路に障害が発生した場合でもサービスプロバイダーが連絡できるよう、追加で帯域外の連絡手段(携帯電話番号や組織以外のEメールなど)を確立する。
  • リアルタイムのアラートを備えた可用性監視を実装し、DoS攻撃を検出して影響を測定する。
  • 重要なオンラインサービス(Eメールサービスなど)を、標的にされる可能性が高いほかのオンラインサービス(Webホスティングサービスなど)から分離する。
  • DoS攻撃を受けた際にサービス継続を円滑に進めるため、最小限の処理と帯域幅しか必要としない静的なWebサイトを事前に準備する。
  • 広い帯域幅と動的でないWebサイトをキャッシュするコンテンツデリバリーネットワークを備えた大手クラウドサービスプロバイダー(冗長性を確保するため、複数利用することが望ましい)からクラウドベースのホスティングを行う。コンテンツデリバリーネットワークを使う場合は、組織の管理下にあるWebサーバーのIPアドレスを公開しないようにする。またファイアウォールを使って、コンテンツネットワークデリバリーのみがそのWebサーバーに確実にアクセスできるようにする。
  • DoS攻撃対応サービスを利用する。

DoS攻撃への対処

DoS攻撃が発生してもこれに耐え凌げるようにしたいと考えつつ、前もって準備できていないという組織は、(先ほど同様、現状を踏まえて実施するのが適切かつ現実的に可能であれば)以下の対策を講じるといいでしょう。ただし事前に十分な備えができた場合と比べれば、その効果は大幅に低下します。

 

  • 対応措置を迅速に講じられるかどうかについて、サービスプロバイダーに相談する。この場合、サービスプロバイダーが迅速に対応できないか、その意思がない、あるいは契約にないサービスとして追加料金を請求する可能性があることに留意する。
  • 広い帯域幅と動的でないWebサイトをキャッシュするコンテンツデリバリーネットワークを備えた、大手クラウドサービスプロバイダーがホストするクラウドベースのホスティング環境にオンラインサービスを一時的に移行する。コンテンツデリバリーネットワークを使う場合は、組織の管理下にあるWebサーバーのIPアドレスを公開しないようにする。またファイアウォールを使って、そのWebサーバーにアクセスできるのがコンテンツネットワークデリバリーのみであるという状態を確保する。
  • 攻撃が続いている間はDoS攻撃対応サービスを使う。
  • 進行中のDoS攻撃の影響力を強めるオンラインサービスの機能を停止するか、コンテンツを削除する(例:あらかじめ用意していた低リソースバージョンのWebサイトを実装する、検索機能を削除する、あるいは動的なコンテンツや容量が非常に大きいファイルを削除する)。

DoS攻撃への加担を回避

組織は、気付かぬうちにほかの組織や個人に影響を及ぼす恐れのあるDoS攻撃に加担することがないようにしなければなりません。その過程で、設定ミスや保護の不十分なサービスが露出してしまうことは重大なリスクとなります。これらはトラフィックを増幅させる攻撃の一環として悪用される可能性があります。

ほかの組織や個人にもたらすリスクを最小限に抑えるために、組織は以下の対策を実施することをお勧めします。

 

  • 米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が公開したUDP-Based Amplification Attacksでまとめられたプロトコルの見直しを優先的に行う。
  • 増幅攻撃の新たなベクターを確認したらそれを注意深く観察し、状況に応じて調査する。
  • インバウンドとアウトバウンド双方のネットワークアクセス制御を設定し、許可されたサービスやエンティティへのアクセスを制限する。
  • 必要でない場合は、トラフィックが増幅しやすいサービスの匿名による公開アクセスをブロックする。
  • アクセス制御をブロックあるいは適用することが不可能または不適切である場合は、悪用による影響を軽減するために速度制限のメカニズムを導入することを検討する。
  • 可能な場合は露出したサービスの設定をアプリケーションレベルで保護し、悪用のリスクを抑える。

その他の情報

Information Security Manualは、組織がシステムやデータをサイバー脅威から守るために使用できるサイバーセキュリティフレームワークです。Strategies to Mitigate Cyber Security Incidentsに記載されたアドバイスとEssential Eightは、このフレームワークを補完するものです。

DoS攻撃のさまざまなタイプに関するその他の情報は、米CISAが公開したDDoS Quick GuideUnderstanding and Responding to Distributed Denial-of-Service Attacksでご覧いただけます。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ