DDoS攻撃

DDoS攻撃とは?~DoS攻撃との違い~

DDoS(ディードス)攻撃とは、Distributed Denial of Service(分散型サービス拒否)攻撃の略称です。Webサーバなどに対して、大量の通信を発生させることで正常なサービス提供を妨げることをDoS(Denial of Service)攻撃と呼び、複数の場所から大量の通信を発生させる攻撃を「DDoS攻撃」と呼びます。

図1:DoS攻撃のイメージ

図2:DDoS攻撃のイメージ

例として、人気アーティストのコンサートやスポーツ観戦などのチケット販売サイトにアクセスが集中することでサーバに負荷がかかり、Webサイトが反応しなくなったり画面が表示されなくなったりしてチケットが取れなかった、そんな経験はありませんか? DDoS攻撃はこのアクセス過多によるWebサイトのダウンを意図的に発生させるサイバー攻撃です。

DDoS攻撃の特徴

DDoS攻撃では他人の複数のコンピュータを乗っ取って大量の通信を発生させることにより、標的のサーバに負荷をかけます。そのため攻撃者の特定が難しいという特徴があります。また、攻撃のトラフィックが複数の場所から送信されるため、攻撃元のIPアドレスを特定してアクセスを遮断するといった手法だけでは対策が難しい攻撃であるという特徴もあります。

DDoS攻撃の目的

DDoS攻撃の目的はさまざまで、愉快犯や企業や組織への私怨もあれば、DDoS攻撃を脅迫に使った金銭目的の犯罪行為、社会的注目を集めるための抗議活動(ハクティビストなど)として用いられることもあります。これらの目的のために、日本の政府機関や企業がDDoS攻撃の標的になることが近年頻出しており、警戒すべきサイバー攻撃の1つとなっています。DDoS攻撃のためのツールやDDoS攻撃代行サービスを販売している犯罪者もアンダーグラウンド市場に存在しています。このように以前よりもDDoS攻撃を行うためのハードルが下がってきている状況となっており、今後もDDoS攻撃の脅威は拡大していくと考えられます。

DDoS攻撃に用いられるマルウェア「ボットネット」

サイバー攻撃者はDDoS攻撃を行う「インフラ」として、いわゆる「ボットネット」を使用します。ボットネットとは、PCなどの機器に感染したマルウェア(ボット)が構成するネットワークのことです。攻撃者はボットネットに指令を送ることで、容易に複数の感染機器を操り、DDoS攻撃を行うことができます。

ボットネットの代表格として、PCに感染するEMOTETなどがあります。ただし、近年ではより大きな規模のボットネットを構築するため、セキュリティ対策が不十分な IoT機器にボットを感染させてボットネットを構築することもあります。IoT機器に感染する代表的なボット型マルウェアとして「Mirai」が挙げられます。米ジョージア工科大学などの学術機関やAkamai、Googleなどの研究者がまとめた報告書によると、このMiraiに感染したIoT機器はピーク時に60万台に達していました。

DDoS攻撃を受けた際の被害

インターネットサービスを展開する全ての事業者は、DDoS攻撃の標的になりえます。WebサイトがDDoS攻撃の被害を受けると、オンラインサービスの提供が困難になることから、例えばWebサイトで商品を販売している場合は一時的に販売できなくなることが想定されます。攻撃の規模や継続時間によっては、被害が深刻になることもあり、アクセス障害が長期間続けば、企業イメージやブランドの毀損につながるおそれもあります。

DoS攻撃/DDoS攻撃による障害発生事例

DDoS攻撃は従来から存在するサイバー攻撃でありながら、日々進化を続け、近年も複数の被害が発生しています。

業種/業界 被害種別 アタックサーフェス(侵入口)
情報サービス・通信プロバイダ
障害発生(ネットワーク障害) Webサーバ
市区町村役所
障害発生(Webサイト一時停止) クラウドサーバ
医療
障害発生(Web閲覧障害) Webサーバ
情報サービス・通信プロバイダ 障害発生(Web閲覧障害) Webサーバ
市区町村役所 障害発生(Web閲覧障害) Webサーバ
運輸・交通・インフラ 障害発生(システム停止) Webサーバ

表:2023~2024年のDos/DDoS攻撃と推測される攻撃による障害発生事例
(公表・報道内容をもとにトレンドマイクロが整理)

DDoS攻撃の被害を抑える対策と予防は?

DDoS攻撃への対策と予防の例としては以下のようなことが挙げられます。

IPアドレスによるアクセス制限

攻撃元のIPアドレスを特定し、アクセス制限を行うことで、DDoS攻撃の影響を緩和することができます。ただし、DDoS攻撃は複数のIPアドレスから攻撃が来るものであり、複数の攻撃元を特定する必要があります。攻撃元の特定が困難かつ特定の国のみにサービスを提供している場合は、サービスの該当国以外からのアクセスを制限する方法も考えられます。また、同一IPアドレスからのアクセス回数を制限することによっても、DDoS攻撃の影響を緩和することができますが、これについても攻撃者はIPアドレスの偽装により制限を回避する場合があります。いずれにせよ、複数個所から攻撃可能なDDoSに対しての効果は限定的なため、後述の他の対策と併用すべきでしょう。

CDNの利用

CDN(コンテンツデリバリーネットワーク)とは、世界各地に分散配置されたキャッシュサーバ群からコンテンツを配信することで、ユーザに高速かつ安定したコンテンツ配信を提供する技術です。DDoS攻撃に対しては、CDNが攻撃トラフィックを分散し、攻撃対象サーバに到達する前に遮断できます。これにより、攻撃トラフィックがサーバに到達する前に分散され、攻撃を緩和できるという利点があります。

DDoS攻撃対策サービスの活用

インターネットサービスプロバイダやクラウドサービスを提供している企業はDDoS対策を合わせて提供している場合があります。主に、DDoS攻撃の検知やトラフィックの緩和といった機能が提供されています。自社で対策を検討することが難しい組織は、これらのDDoS対策サービスを取り入れることを検討してもよいでしょう。

攻撃トラフィックの量や種類によっては、DDoS攻撃を完全に防ぎ切ることは困難ですが、適切な対策を講じることで被害を抑えることができます。事前の対策を取り入れるとともに、もしDDoS攻撃が来た際の対応方針なども確認しておくと、攻撃に対してスムーズに対応することができ、結果的に被害の軽減に繋がります。

今後もDDoS攻撃は拡大する

DDoS攻撃は、今後も警戒が必要な脅威と言えます。攻撃の踏み台となるIoT機器やモバイルデバイスなどの増加により、ボットネットの拡大が進んでいることから、より大規模で複雑なDDoS攻撃が予想されます。さらにトレンドマイクロでは、アンダーグラウンド市場でのDDoS攻撃の代行サービスも確認しており、DDoS攻撃が犯罪者の中ですでにビジネス化している状況です。DDoS攻撃に対する備えは、インターネットを介してサービスを提供している事業者にとって重要であり、検討しておくべき事項となっています。また、自組織内で利用しているルータやIoT機器が攻撃のDDoS攻撃の踏み台にならないように、定期的な脆弱性スキャンや修正プログラム適用などの対策を講じていくことを推奨します。

関連記事