【DDoS攻撃の実態とは】 「DNSアンプ」で接続不能に
9月2日から3日にかけて、断続的につながらない状態となっていたヨドバシカメラの通販サイト。サーバーに対し、複数のマシーンが大量のデータを送りつけることで過剰な負荷をかける「DDoS攻撃」が行われたのがその原因だ。
DDoS攻撃対策ソリューションを手掛ける、アーバーネットワークスの佐々木崇SEマネージャーは「DDoS攻撃にはさまざまな手法があり、攻撃者は組み合わせて攻撃してくることが多い」と話す。今回のヨドバシカメラのケースで使われたとみられるのが「DNSアンプ攻撃」と呼ばれる手法だ。
DNSとは「ドメイン・ネーム・システム」の略で、インターネット上のホスト名(例えばyodobashi.com)」とIPアドレスとの結びつきを管理するためのものだ。ウェブブラウザーなどからホスト名を入力すると、DNSサーバーに問い合わせ、対応するIPアドレスを引き出しブラウザーに渡す。ブラウザーではそのIPアドレスで当該サイトのウェブサーバーと通信するという仕組み。
DNSアンプ攻撃はこの仕組みを悪用したものだ。攻撃者はパソコンなど複数端末からDNSサーバーにリクエストを送る。この際、自分のIPアドレスを攻撃したいサイトのものに偽装する。例えば今回のケースでいえば、攻撃する端末のIPアドレスをヨドバシカメラのそれに偽装。端末から発したリクエストはヨドバシカメラのサーバーへと戻ってくるわけだ。
DNSのリクエストは、問い合わせする時より応答時の方がデータ量は数十倍に膨れ上がるため、回線の帯域幅を越えて一般ユーザーは接続不能となる。つまり、威力が増幅されるため「アンプ攻撃」と呼ばれている。「例えていうなら、往復はがきの返信先を無関係な人に偽装するようなもの。身に覚えがないはがきが大量に届き、さらに重い荷物まで付加されている」(佐々木氏)。通販サイトとは無関係な、世界中のDNSサーバーから大量のパケットが送りつけられるため「ネットワークの上流に対策用のデバイスがない限り、ウェブサイト側はどうしようもない」(同)。
DNSアンプ攻撃は、大量のデータを送りつけることで回線をパンクさせてしまうというものだが、「アプリケーションレイヤーへの攻撃」の場合は、普通の通信とデータ量としては変わらないのに、サーバーに負荷をかけることができる。サーバーに対してゆっくりと、分割してサーバーに問い合わせをすることで負荷が増す。「例えるなら『あ』『い』『う』『え』『お』と1つの文章を分割してはがきで送りつけるようなもの」(同)。
こうしたDDoS攻撃は、「ボットネット」を利用して行われることが多い。ボットネットとは、マルウエア(ウイルス)に感染し、犯罪者に乗っ取られたパソコンなどの端末によるネットワークのこと。外部から司令を受けてさまざまな攻撃を行う。悪意あるサイトにアクセスしたり、マルウエアが仕込まれた文書を起動したりすることで、OSやソフトウエアのぜい弱性を突かれてマルウエアに感染し、乗っ取られる。こうした端末が「踏み台」として犯罪者に利用されるわけだ。
最近ボットネットの端末として多くみられるのがIoT関連。「パソコン以外のデバイスはネットにつながっていてもセキュリティー対策が施されていないことが多く、攻撃者にとってはやりたい放題」(佐々木氏)。例えば、監視カメラがマルウエアに感染し、DDoS攻撃に加担するケースなどもある。セキュリティー対策が施されていないだけではなく、リモートログインする際に入力するID・パスワードが初期設定のまま使っているユーザーも多く、そこを突かれて乗っ取られ、マルウエアを仕込まれるのだという。
そもそも、ボットネットは攻撃者が構築したとは限らない。誰かが作ったボットネットを活用し、攻撃するケースもあるわけだ。佐々木氏によれば、ロシアや中国、アメリカなどには「DDoS攻撃代行サービス」を提供するサイトもあるという。つまり、金さえ払えば誰でもボットネットを借り、DDoS攻撃ができるわけだ。
こうした攻撃者は何を目的にしているのだろうか。主義主張を示したり、技術力を誇示したりするケースもあれば、「DDoS攻撃をやめてほしければ金を振り込め」といったケースもある。中には「何らかの理由でそのサイトに腹を立てた」ことで仕掛ける攻撃者もいる。例え通販サイトは身に覚えがなくても攻撃を受けるリスクは常にあるといえるだろう。
では、DDoS攻撃への対応策はあるのか。まずはネットワークの上流である、インターネットサービスプロバイダー(ISP)が提供する対策サービスを利用するのが一般的。アーバーネットワークスはISP向けに対策ソリューションを提供しており、ISPのサービスとしては月額数十万円が一般的なライン。ただ、小規模なISPの場合、対策サービスを提供していない場合もあるので、注意が必要だ。
ただ、アプリケーションレイヤーへの攻撃については「ISPからすると回線の帯域を消費しないので、ISPには影響がなく対策してもコストばかりかさんでしまう。そのため、自前での防御を考える必要がある。サーバーの手前にDDoS攻撃への防御装置を導入しないと、さまざまな手法のDDoS攻撃を防ぐことは難しい」(佐々木氏)。
消費者にも大きなインパクトを与えた、今回のヨドバシへのDDoS攻撃だが、ヨドバシ以外にも8月末から9月初めにかけて、出版社の技術評論社のサイトや、画像掲示板「ふたば★ちゃんねる」など、さまざまなサイトがDDoS攻撃を受けたことが分かっている。これらサイトへの攻撃に関連性があるのかは不明だが、「著名な通販サイトのサーバーダウン」はインパクトが大きいだけに、今後も注意が必要だ。
今回のヨドバシのケースでいえば、昨年度の売上高は1000億円近いため、1日サイトが止まるだけでも、単純計算では2億7000万円以上の売り上げが消えることになる。佐々木氏は「今はどの通販サイトでもファイヤーウォールを入れているだろうが、同様にDDoS攻撃への対策も必須だ」と説く。
そのほかの注目記事FEATURED ARTICLE OTHER
DDoS攻撃対策ソリューションを手掛ける、アーバーネットワークスの佐々木崇SEマネージャーは「DDoS攻撃にはさまざまな手法があり、攻撃者は組み合わせて攻撃してくることが多い」と話す。今回のヨドバシカメラのケースで使われたとみられるのが「DNSアンプ攻撃」と呼ばれる手法だ。
DNSとは「ドメイン・ネーム・システム」の略で、インターネット上のホスト名(例えばyodobashi.com)」とIPアドレスとの結びつきを管理するためのものだ。ウェブブラウザーなどからホスト名を入力すると、DNSサーバーに問い合わせ、対応するIPアドレスを引き出しブラウザーに渡す。ブラウザーではそのIPアドレスで当該サイトのウェブサーバーと通信するという仕組み。
DNSアンプ攻撃はこの仕組みを悪用したものだ。攻撃者はパソコンなど複数端末からDNSサーバーにリクエストを送る。この際、自分のIPアドレスを攻撃したいサイトのものに偽装する。例えば今回のケースでいえば、攻撃する端末のIPアドレスをヨドバシカメラのそれに偽装。端末から発したリクエストはヨドバシカメラのサーバーへと戻ってくるわけだ。
DNSのリクエストは、問い合わせする時より応答時の方がデータ量は数十倍に膨れ上がるため、回線の帯域幅を越えて一般ユーザーは接続不能となる。つまり、威力が増幅されるため「アンプ攻撃」と呼ばれている。「例えていうなら、往復はがきの返信先を無関係な人に偽装するようなもの。身に覚えがないはがきが大量に届き、さらに重い荷物まで付加されている」(佐々木氏)。通販サイトとは無関係な、世界中のDNSサーバーから大量のパケットが送りつけられるため「ネットワークの上流に対策用のデバイスがない限り、ウェブサイト側はどうしようもない」(同)。
DNSアンプ攻撃は、大量のデータを送りつけることで回線をパンクさせてしまうというものだが、「アプリケーションレイヤーへの攻撃」の場合は、普通の通信とデータ量としては変わらないのに、サーバーに負荷をかけることができる。サーバーに対してゆっくりと、分割してサーバーに問い合わせをすることで負荷が増す。「例えるなら『あ』『い』『う』『え』『お』と1つの文章を分割してはがきで送りつけるようなもの」(同)。
こうしたDDoS攻撃は、「ボットネット」を利用して行われることが多い。ボットネットとは、マルウエア(ウイルス)に感染し、犯罪者に乗っ取られたパソコンなどの端末によるネットワークのこと。外部から司令を受けてさまざまな攻撃を行う。悪意あるサイトにアクセスしたり、マルウエアが仕込まれた文書を起動したりすることで、OSやソフトウエアのぜい弱性を突かれてマルウエアに感染し、乗っ取られる。こうした端末が「踏み台」として犯罪者に利用されるわけだ。
最近ボットネットの端末として多くみられるのがIoT関連。「パソコン以外のデバイスはネットにつながっていてもセキュリティー対策が施されていないことが多く、攻撃者にとってはやりたい放題」(佐々木氏)。例えば、監視カメラがマルウエアに感染し、DDoS攻撃に加担するケースなどもある。セキュリティー対策が施されていないだけではなく、リモートログインする際に入力するID・パスワードが初期設定のまま使っているユーザーも多く、そこを突かれて乗っ取られ、マルウエアを仕込まれるのだという。
そもそも、ボットネットは攻撃者が構築したとは限らない。誰かが作ったボットネットを活用し、攻撃するケースもあるわけだ。佐々木氏によれば、ロシアや中国、アメリカなどには「DDoS攻撃代行サービス」を提供するサイトもあるという。つまり、金さえ払えば誰でもボットネットを借り、DDoS攻撃ができるわけだ。
こうした攻撃者は何を目的にしているのだろうか。主義主張を示したり、技術力を誇示したりするケースもあれば、「DDoS攻撃をやめてほしければ金を振り込め」といったケースもある。中には「何らかの理由でそのサイトに腹を立てた」ことで仕掛ける攻撃者もいる。例え通販サイトは身に覚えがなくても攻撃を受けるリスクは常にあるといえるだろう。
では、DDoS攻撃への対応策はあるのか。まずはネットワークの上流である、インターネットサービスプロバイダー(ISP)が提供する対策サービスを利用するのが一般的。アーバーネットワークスはISP向けに対策ソリューションを提供しており、ISPのサービスとしては月額数十万円が一般的なライン。ただ、小規模なISPの場合、対策サービスを提供していない場合もあるので、注意が必要だ。
ただ、アプリケーションレイヤーへの攻撃については「ISPからすると回線の帯域を消費しないので、ISPには影響がなく対策してもコストばかりかさんでしまう。そのため、自前での防御を考える必要がある。サーバーの手前にDDoS攻撃への防御装置を導入しないと、さまざまな手法のDDoS攻撃を防ぐことは難しい」(佐々木氏)。
消費者にも大きなインパクトを与えた、今回のヨドバシへのDDoS攻撃だが、ヨドバシ以外にも8月末から9月初めにかけて、出版社の技術評論社のサイトや、画像掲示板「ふたば★ちゃんねる」など、さまざまなサイトがDDoS攻撃を受けたことが分かっている。これらサイトへの攻撃に関連性があるのかは不明だが、「著名な通販サイトのサーバーダウン」はインパクトが大きいだけに、今後も注意が必要だ。
今回のヨドバシのケースでいえば、昨年度の売上高は1000億円近いため、1日サイトが止まるだけでも、単純計算では2億7000万円以上の売り上げが消えることになる。佐々木氏は「今はどの通販サイトでもファイヤーウォールを入れているだろうが、同様にDDoS攻撃への対策も必須だ」と説く。