マクニカネットワークス
営業統括部
サイバーセキュリティ
第2営業部 第2課
原口正太郎氏

　DDoS攻撃は、サイバー犯罪者によって利用されてきた代表的な攻撃手法だ。以前は単なる嫌がらせ目的の攻撃が大半だったが、昨今は金銭目的や政治的な主義主張など攻撃者の目的は多岐にわたり、攻撃自体も大規模化する傾向にある。

　また、ルーターや監視カメラなどのIoT機器をマルウェア感染させ、ボットネットを形成して引き起こすDDoS攻撃も注目を浴びている。その代表的なマルウェアが「Mirai」だ。

　Miraiによって被害を受けた事例は昨年末、数多く公表されており、IoT機器ベンダーがリコールを迫られたり、標的となったDNSサーバーを利用していたインターネットサービスが数時間にわたって接続しにくくなったりする被害が発生した。

　このような大規模型の攻撃が増えているのは、DDoS攻撃の実行が以前にも増して容易になってきていることも要因の1つだろう。

　「DDoS攻撃を仕掛けるボットネットが時間単位で利用できるサービスとして貸し出されることもあり、攻撃に関する技術や知見がない人でも、コストをかけずに大規模な攻撃を行える状況になっている」。マクニカネットワークス 営業統括部 サイバーセキュリティ第2営業部 第2課の原口正太郎氏はこう警鐘を鳴らす。

猛威を振るうDDoS攻撃　対抗するための3つの手段

　DDoS攻撃対策としては、次の3つが考えられる。

　（1）オンプレミスでDDoS攻撃対策装置を設置する、（2）回線業者が提供するDDoS攻撃対策サービスを利用する、（3）クラウド型のDDoS攻撃対策サービスを利用する──の3つだ。

　（1）オンプレミスによる対策では、ユーザー企業の環境に合わせ、対策機器の設定を詳細に行うことができるというメリットがある。だが、数百Gbpsの大規模なDDoS攻撃を受けた場合、機器の性能以前にネットワークの帯域が不正な通信によって埋め尽くされてしまい、対策が困難になるという弱点がある。

　（2）回線業者が提供するサービスを利用する場合、管理を回線業者に一任することで運用コストを低減させることができるが、1つの拠点に数百Gbps規模の大規模な攻撃を受けてしまうと、（1）のユーザー企業がオンプレミスで対策装置を設置する場合と同様に限界が生じる。

　（3）クラウド型のサービスによる対策は、オンプレミスのような詳細な設定は困難だが、クラウドベンダーが所有する拠点に通信を分散処理させることによって、大規模なDDoS攻撃が発生した場合でも、攻撃の発生源に近いところで不正なトラフィックを排除することができる。攻撃の大規模化が顕著になっている昨今の状況を鑑みると、クラウドによる対策はとても有効だと言える。

世界中に拠点を持つImperva社　「Incapsula」がDDoS攻撃を防御

　Imperva社が提供するのが、クラウド型WAF/DDoS攻撃対策サービス「Incapsula」だ。その特長として、DDoSプロテクション機能のほか、WAF（Webアプリケーションファイアウォール）とCDN（コンテンツデリバリーネットワーク）、ロードバランサーといった機能を備えていることが挙げられる。これによってDDoS攻撃だけでなく、Webサーバーへの不正アクセスも防御できる。

　「クラウド型のDDoS攻撃対策サービスの中には、オプションとしてWAFやCDN、ロードバランサー機能を用意するものもあるが、Incapsulaは標準機能としてすべて備えている」と原口氏は説明する。

　一口にDDoS攻撃と言っても、レイヤーごとにさまざまな攻撃手法が存在する（図表1）。

図表1　多種多様なDDoS攻撃に対応する

　Volumetric DDoS攻撃は、主にネットワーク層を狙うもの。ネットワークで処理不可能なほど大量のパケットを送信してネットワークをパンクさせる。この攻撃に対し、Incapsulaはエニーキャスト方式を用いて防御する。東京と大阪を含める世界約30拠点に負荷を分散し、大規模攻撃を根元から断つという手法だ。

　「しかも、Incapsulaは最大3Tbpsまでのトラフィックに対応できる。2016年に1Tbpsの大規模なDDoS攻撃があったと報道されたが、その3倍は耐えられるインフラを整えている」と原口氏は説明する。

　Protocol DDoS攻撃は、主にトランスポート層を狙い、ファイアウォールやロードバランサーなどのシステムリソースを消費させる。TCPのコネクション開始要求に当たるSynパケットだけを大量に送る攻撃「Syn Flood」や、大量のTCPコネクションを確立させるだけで後は何もしない攻撃「Connection Flood」などがある。Floodとは“洪水”を意味する英語だ。

　Incapsulaはリバースプロキシ構成を取っており、Webサーバーから応答がないような通信はIncapsulaで処理できるため、Protocol DDoS攻撃を防御できる。

　Application DDoS攻撃はアプリケーションの脆弱性を狙い、通常のアクセスのように装ってアプリケーションリソースを消費させるもの。適切なトラフィック量でゆっくりと繰り返し送るだけでWebサーバーのリソースを枯渇させる「スローレート攻撃」や、パスワード取得のために文字の組み合わせで総当たりを試みる「ブルートフォース」、「不正ログイン」などがある。

　Incapsulaは、主にWAFの機能によってこれらの攻撃を防御できる。Imperva社が長年にわたるWAF製品開発で蓄積してきたノウハウをベースに、高度な方法でアクセス内容を判断できることもIncapsulaの大きな特長の1つだ。

　「IncapsulaはWAFのテクノロジーを活用し、クッキーやキャプチャによって通信が悪意あるボットネットによるものなのか、それとも正規ユーザーによるものなのかを見極めるなど、さまざまな方法で攻撃を防御するインテリジェンスを備えている」と原口氏は話す。

2週間無償トライアルも可能　短期間で簡単に導入できる

　Incapsulaはクラウドベースのサービスであることから、対策機器の調達などを待たずに速やかに導入することができる（図表2）。導入にあたってはDNS（Domain Name System）の設定を変更するだけであり、IT担当者の負荷は少ない。

図表2　「Incapsula」はDNS設定の変更だけで導入できる

　また、マクニカネットワークスは2週間の無償トライアルサービスを用意しており、気軽にIncapsulaを試すことも可能だ。運用負荷も少なく、「お客様企業の9割は自社でIncapsulaを運用している」（原口氏）という。

　DDoS攻撃は、これまで世界的なイベントに便乗して実行されることが多く、将来、IoTデバイスの増加に伴ってますます攻撃が増えていくことが予想される。DDoS攻撃を実際に受けてから対策を考えるのではなく、攻撃を受ける前に事前に対策を行うことが重要であり、Incapsulaはそれを実現できるサービスだ。

ホワイトペーパーダウンロード

グローバルなDDoS攻撃脅威の状況_2016年第3四半期 国内外で多発しているDDoS攻撃。その手法は多岐にわたります。本レポートでは、ネットワーク層、アプリケーション層におけるDDoS攻撃の傾向と分析、およびDDoSボットネットの実態を解説します。