導入・選定ガイド

アノニマスも怖くない!「DDoS攻撃対策」徹底マスター(後編)

FWやIPSでは防げない「最新型DDoS攻撃」の傾向と対策

文◎太田智晴(編集部) 2012.11.08

  • bookmark
  • Teitter
  • 印刷

「アノニマス」などハクティビズムの嵐が吹き荒れるなか、Webサイトに大量のパケットを送信してサービス停止に追い込むDDoS攻撃による被害が急増している。後編では、大規模化と巧妙化が進む最新型DDoS攻撃の実態と、正しい対策手段について解説する。


ハクティビズムの隆盛やサイバー犯罪者によるボットネット貸出ビジネスの定着などを背景に、いつどの企業・団体がDDoS攻撃に狙われるのか、現在のインターネットはまったく予断を許さない状況になっていることを前編では見た。

では、ビジネス活動の生命線ともいえるWebサイトをDDoS攻撃から守るために、企業・団体はどのような対策をしなければならないのだろうか。後編では、最新のDDoS攻撃の傾向を押さえたうえで、正しい対策について解説する。

なぜDDoS攻撃は、主要な攻撃手法であり続けているのか?

DDoS攻撃が長きにわたりサイバー犯罪者たちの主要な攻撃方法であり続けている理由の1つは、DDoS攻撃を防御するのは難しく、今もって非常に有効な攻撃方法であるからに他ならない。

なぜ防御が難しいかといえば、それは一見したところ、正規のトラフィックとDDoS攻撃とは見分けが付かないためだ。図表1の通り、DDoS攻撃には様々なタイプが存在するが、分かりやすい例として、いわゆる「F5攻撃」(リロード攻撃)のケースで考えてみよう。


図表1 DDoS攻撃で用いられる手法の分類(出典:IPA)
DDoS攻撃で用いられる手法の分類


WebブラウザではF5ボタンを押すことでWebページの再読み込みが行えるが、このF5ボタンを連打することでWebサーバーに負荷をかけるのがF5攻撃である。最も素朴なDDoS攻撃のやり方だが、Webサーバー側から見た場合、一般のユーザーがWebページを最新の状態に更新するためF5ボタンを押していても、悪意を持ってF5ボタンを連打していても、それぞれのリクエスト自体に違いはない。

さらには、分散型の攻撃であることも対処を難しくしている。

1カ所からの攻撃であれば、その攻撃元を特定して遮断するというアプローチも採りやすい。しかし、DDoS攻撃は「分散型サービス拒否攻撃」の名の通り、サイバー犯罪者に操られた大量のコンピューターで構成されたボットネット、あるいは数多くの有志の攻撃参加者が主体となり、大量の場所から1つのWebサーバーをめがけて攻撃が実行される。攻撃元が広く分散しているため、攻撃元を1つずつ遮断していくのは容易ではないのだ。

このような特性を持つがゆえ、DDoS攻撃は長年にわたり脅威であり続けているわけだが、最近は攻撃の一層の大規模化と巧妙化も進展している。このため、「DDoS攻撃対策は一応やっています」というレベルでは、実際に攻撃に遭ったときに被害を食い止められない可能性が高い。

大規模DDoS攻撃は止められない!?

米アカマイ・テクノロジーズのジョン・エリス氏によれば、DDoS攻撃に関して、多くの企業・団体が見落としている点があるという。それは「回線」に関わるものだ。

DDoS攻撃の防ぎ方としては、Webサーバーの手前に置いたファイアウォールやIPSなどで堰き止めるという方法がある。しかし、これには実は大きな欠陥があるというのがエリス氏の考えだ。「どれほど強力なファイアウォールを導入したとしても、大規模なDDoS攻撃に遭ったら、その前に回線がパンクしてしまう」からである。

例えば、10GbpsのDDoS攻撃を防御できるファイアウォールをWebサーバーの前に設置していたとしよう。一方、インターネットとWebサーバーをつなぐ回線の帯域幅はどれくらいだろうか。10Gbpsを超える回線を契約している企業・団体はほとんどないはずだ。いくらWebサーバーの手前でしっかり守りを固めていても、契約している帯域幅を超えるDDoS攻撃を受けたら、何の役にも立たない。

アカマイがこれまでに検知した最大の攻撃は146Gbpsだったというが、現在では10Gbpsを超えるDDoS攻撃は決して珍しいものではない。エリス氏は「10万台規模のボットネットなら60Gbps規模のDDoS攻撃を仕掛けられる」と話す。

アーバーネットワークスの佐々木崇氏もまったくの同意見だ。Webサーバーの手前でDDoS攻撃を止めるという対策について、「そもそもコンセプトとして非常に無理がある。回線の帯域幅が1Gbpsだったとして、そこに1Gbps以上のDDoS攻撃が来たら、ファイアウォールやIPSがどんな機能を持っていても、すでに止めることはできない」と語る。

なお、DDoS攻撃が大規模化している要因だが、エリス氏は次の3点を挙げる。(1)DDoS攻撃ツールの入手が容易になり、誰でも攻撃に参加できるようになっていること、(2)ボットネットが大型化していること、そして(3)ユーザー側の帯域が拡大していることだ。

DDoS攻撃を実際に仕掛ける攻撃主体の規模が拡大していると同時に、1台のコンピューターが繰り出せる攻撃のボリュームも拡大しているのである。

 

>>この記事の読者におすすめのコンテンツ
アカマイ・テクノロジーズ アカマイレポート「インターネットの現状(SOTI:The State of the Internet)」

(提供:アカマイ・テクノロジーズ)
アーバーネットワークス SSL に対するDDoS 攻撃:新旧の攻撃手法が混在、SSLを使ったサイトもDDoS攻撃には無力

(提供:アーバーネットワークス)

スペシャルトピックスPR

dit2005
iij2005
juniper2005

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】2030年のネットワーク
     IOWNから脳情報通信まで

<Part1>IOWNが目指す知覚超え <Part2>モバイルとWi-Fiの高速化の行方 <Part3>O-RANで変わる携帯網 <Part4>データ中心NWへの道筋 <Part5>衛星通信はBtoBから <Part6>脳情報通信が現実に

[インタビュー]NEC 河村厚男常務<NTT、楽天と大きな筋道作れた 世界RAN市場の20%を狙う>/ソフトバンク 藤長国浩常務<5G共創は「実用化」にこだわる プライベート5Gにかなりの反響> [ソリューション特集]withコロナで変わる企業コミュニケーション ほか

>>詳しい目次を見る

スペシャルトピックス

KDDIどうする? テレワーク移行時の意外な盲点「固定電話」の取り次ぎ

「固定電話の番のためだけに出社」から脱却するには、何が必要だろうか。

Tocaro仕事を終わらせるビジネスチャット

CTCのビジネスチャット「Tocaro」は、豊富な機能により、プロセス管理や生産性向上も実現できる。

Cisco Meraki Z3全社員が在宅勤務可能な環境をCisco Meraki Z3でシンプルに即実現

<導入事例>検証から実導入までを驚くほどのスピードで!

キーサイト・テクノロジー光集積デバイスに必要なスピーディ
かつ高確度の測定を実現

1Tbpsの次世代光の確立へ、光集積デバイスに最適な光測定製品!

マイクロフォーカス岐路に立つ通信事業者の運用管理
属人・サイロ化から脱却するには?

通信事業者の運用管理に、マイクロフォーカスが"特効薬"を提供する!

ディアイティOffice 365が遅い、
情報漏洩が心配…を解決する方法

実はCASB×DLPで全部解決できた! Forcepointが全てを叶える。

シスコシステムズいま知るべき5Gのセキュリティ脅威
大変革時代を「シスコはこう守る」

5G網は様々なサイバーリスクを内包する。シスコはどう対抗するのか。

パロアルトネットワークスSASE実現するクラウドセキュリティ
従業員は意識せず安全なテレワーク

GWの逼迫解消、ローカルブレイクアウト、ユーザーの快適さを一挙に!

Microsoft Teams会議から1万人の仮想イベントまで
コラボの場はリアルからTeamsへ

Microsoft Teamsの利用が急増中だ。
4月時点の利用者数は1日7500万人!

丸文ローカル5G“実用化”へ万全の備えを
試験・置局、セキュリティまで網羅

ローカル5Gには何が必要か。長年キャリアを支援する丸文に尋ねた。

インテルネットワーク変革をインテルが牽引
仮想化技術でローカル5Gにも貢献

インテルの5Gビジネスが加速してきた。ローカル5Gにも取り組む。

ライムライト・ネットワークス・ジャパン8K対応/安定性/超低遅延
選べる3つのライブ配信サービス

自社だけでは困難な高品質ライブ配信をライムライトが強力サポート!

クラウド&サービスプロバイダ向けのオンラインイベント「新たな時代に向けたネットワーク」通信事業者の新たな時代に向けた
ネットワーク「Telcoクラウド」

ジュニパーのクラウド&サービスプロバイダ向けバーチャルサミット!

e-Janネットワークス「明日からテレワーク」。そんな急なニーズにも安心・安全に応える

テレワークをすばやく全社展開できる「Splashtop for CACHATTO」

都築電気テレワークと健康経営の実践4年目
その知見をワンストップで提供

働き方改革を推進する都築電気がテレワークに最適なグループウェア!

アライドテレシスNWベンダーならではの脆弱性診断
セキュリティの第一歩はここから!

アライドテレシスなら簡単かつ安価に脆弱性診断ができる!

NTTコミュニケーションズ「ゼロトラストセキュリティ」へ
移行するための5つのポイント

脱・境界型セキュリティを図るための要点をNTT Comに聞いた。

IIJVPN逼迫やSaaSが遅い問題を解消!テレワーク環境整備を手軽に実現

Office 365等のSaaSが迫る企業NWの再設計にIIJのクラウドプロキシ!

ジュニパーネットワークスAIがUXを最大化するネットワーク
トラブル解決を自動運転で!

AIが自律的に障害対応するNWを
ジュニパーはすでに商用で安定稼働

レッドハット5G×コンテナ基盤×アプリを
エッジで自律運用

5G時代のNWインフラはエッジも自律運用できるクラウドネイティブへ

ゼットスケーラーゼットスケーラーだからできる!
セキュリティとNWの脱・レガシー

オンプレミス非依存のセキュリティと、場所に囚われないNWアクセスを

NetskopeなぜNetskopeならテレワークが進むのか? 秘訣は一元制御にあり!

セキュリティが不安でテレワークが進まない。そんな悩みを簡単解消!

ジュニパーネットワークス“ただのSD-WAN”はもう要らない!
LANもWi-Fiもすべてクラウド管理へ

今必要とされているのは、“SD-WAN+α”のソリューションだ。

ホワイトペーパー

アクセスランキング

tc_banner191122

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2020 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます