導入・選定ガイド

アノニマスも怖くない!「DDoS攻撃対策」徹底マスター(後編)

FWやIPSでは防げない「最新型DDoS攻撃」の傾向と対策

文◎太田智晴(編集部) 2012.11.08

  • bookmark
  • Teitter
  • 印刷

「アノニマス」などハクティビズムの嵐が吹き荒れるなか、Webサイトに大量のパケットを送信してサービス停止に追い込むDDoS攻撃による被害が急増している。後編では、大規模化と巧妙化が進む最新型DDoS攻撃の実態と、正しい対策手段について解説する。


ハクティビズムの隆盛やサイバー犯罪者によるボットネット貸出ビジネスの定着などを背景に、いつどの企業・団体がDDoS攻撃に狙われるのか、現在のインターネットはまったく予断を許さない状況になっていることを前編では見た。

では、ビジネス活動の生命線ともいえるWebサイトをDDoS攻撃から守るために、企業・団体はどのような対策をしなければならないのだろうか。後編では、最新のDDoS攻撃の傾向を押さえたうえで、正しい対策について解説する。

なぜDDoS攻撃は、主要な攻撃手法であり続けているのか?

DDoS攻撃が長きにわたりサイバー犯罪者たちの主要な攻撃方法であり続けている理由の1つは、DDoS攻撃を防御するのは難しく、今もって非常に有効な攻撃方法であるからに他ならない。

なぜ防御が難しいかといえば、それは一見したところ、正規のトラフィックとDDoS攻撃とは見分けが付かないためだ。図表1の通り、DDoS攻撃には様々なタイプが存在するが、分かりやすい例として、いわゆる「F5攻撃」(リロード攻撃)のケースで考えてみよう。


図表1 DDoS攻撃で用いられる手法の分類(出典:IPA)
DDoS攻撃で用いられる手法の分類


WebブラウザではF5ボタンを押すことでWebページの再読み込みが行えるが、このF5ボタンを連打することでWebサーバーに負荷をかけるのがF5攻撃である。最も素朴なDDoS攻撃のやり方だが、Webサーバー側から見た場合、一般のユーザーがWebページを最新の状態に更新するためF5ボタンを押していても、悪意を持ってF5ボタンを連打していても、それぞれのリクエスト自体に違いはない。

さらには、分散型の攻撃であることも対処を難しくしている。

1カ所からの攻撃であれば、その攻撃元を特定して遮断するというアプローチも採りやすい。しかし、DDoS攻撃は「分散型サービス拒否攻撃」の名の通り、サイバー犯罪者に操られた大量のコンピューターで構成されたボットネット、あるいは数多くの有志の攻撃参加者が主体となり、大量の場所から1つのWebサーバーをめがけて攻撃が実行される。攻撃元が広く分散しているため、攻撃元を1つずつ遮断していくのは容易ではないのだ。

このような特性を持つがゆえ、DDoS攻撃は長年にわたり脅威であり続けているわけだが、最近は攻撃の一層の大規模化と巧妙化も進展している。このため、「DDoS攻撃対策は一応やっています」というレベルでは、実際に攻撃に遭ったときに被害を食い止められない可能性が高い。

大規模DDoS攻撃は止められない!?

米アカマイ・テクノロジーズのジョン・エリス氏によれば、DDoS攻撃に関して、多くの企業・団体が見落としている点があるという。それは「回線」に関わるものだ。

DDoS攻撃の防ぎ方としては、Webサーバーの手前に置いたファイアウォールやIPSなどで堰き止めるという方法がある。しかし、これには実は大きな欠陥があるというのがエリス氏の考えだ。「どれほど強力なファイアウォールを導入したとしても、大規模なDDoS攻撃に遭ったら、その前に回線がパンクしてしまう」からである。

例えば、10GbpsのDDoS攻撃を防御できるファイアウォールをWebサーバーの前に設置していたとしよう。一方、インターネットとWebサーバーをつなぐ回線の帯域幅はどれくらいだろうか。10Gbpsを超える回線を契約している企業・団体はほとんどないはずだ。いくらWebサーバーの手前でしっかり守りを固めていても、契約している帯域幅を超えるDDoS攻撃を受けたら、何の役にも立たない。

アカマイがこれまでに検知した最大の攻撃は146Gbpsだったというが、現在では10Gbpsを超えるDDoS攻撃は決して珍しいものではない。エリス氏は「10万台規模のボットネットなら60Gbps規模のDDoS攻撃を仕掛けられる」と話す。

アーバーネットワークスの佐々木崇氏もまったくの同意見だ。Webサーバーの手前でDDoS攻撃を止めるという対策について、「そもそもコンセプトとして非常に無理がある。回線の帯域幅が1Gbpsだったとして、そこに1Gbps以上のDDoS攻撃が来たら、ファイアウォールやIPSがどんな機能を持っていても、すでに止めることはできない」と語る。

なお、DDoS攻撃が大規模化している要因だが、エリス氏は次の3点を挙げる。(1)DDoS攻撃ツールの入手が容易になり、誰でも攻撃に参加できるようになっていること、(2)ボットネットが大型化していること、そして(3)ユーザー側の帯域が拡大していることだ。

DDoS攻撃を実際に仕掛ける攻撃主体の規模が拡大していると同時に、1台のコンピューターが繰り出せる攻撃のボリュームも拡大しているのである。

 

>>この記事の読者におすすめのコンテンツ
アカマイ・テクノロジーズ アカマイレポート「インターネットの現状(SOTI:The State of the Internet)」

(提供:アカマイ・テクノロジーズ)
アーバーネットワークス SSL に対するDDoS 攻撃:新旧の攻撃手法が混在、SSLを使ったサイトもDDoS攻撃には無力

(提供:アーバーネットワークス)

スペシャルトピックスPR

paloalto1911
yamato1911
1912_webex

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】ネットワーク未来予想図2020
[Part1]3段階で進化する5G [Part2]ローカル5G急発進の可能性 [Part3]Wi-Fi 6の普及はハイペース [Part4]「飛び過ぎない」Li-Fiで通信 [Part5]LPWAは大規模導入期に [Part6]ドローンの携帯電波利用が解禁 [Part7]高まる有線IoTの存在感 [Part8]量子時代は暗号通信も進化

[インタビュー] NTT 取締役 研究企画部門長 川添雄彦氏「インターネットを超えるIOWN」 [ソリューション特集]学校ネットワーク/クラウド閉域接続 [ビジネス最前線]NTTコム、ローカル5G参入の狙い ほか

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

住友商事マシネックスついにオラクルがSD-WANに参入!
 クラウド接続に最適な高品質NW

Oracle Failsafe SD-WANは、ネットワーク品質を劇的に変化させる。

APRESIA Systemsローカル5G参入を強力サポート

APRESIA Systemsの「ローカル5Gシステム」はローカル5Gに必要な機能に絞り込み、導入を強力サポート

NECプラットフォームズ教育用ネットワークをトータル提案
IPv6活用でコスト削減・高速化

快適な校内無線LANには、VPNなど校外NWの整備も必要だ!

アット東京AWSやGCPなどメガクラウドに
直結する新時代のデータセンター

アット東京のデータセンターは“つなぐ”価値に磨きをかける!

ヤマハ仮想NWを始めるならヤマハで!

ヤマハの仮想ルーター「vRX」なら、これまでのノウハウをクラウドでも活かせる。

日本ソルテック学校ネットワークを簡単・安価に

日本ソルテックのクラウド管理型無線LANは、専門学校、介護施設を中心に豊富な導入実績!

シスコシステムズ世界で選ばれているオンライン会議
簡単にワンクリックで会議に参加!

Cisco Webexは社内外、誰とでも高品質なオンライン会議が行える。

エイチ・シー・ネットワークス株式会社ネットワークに迫る人手不足の危機
遠隔監視と予防保全で乗り越えろ!

光ファイバの保守現場の深刻な技術者不足。日立金属はどう対応した?

ハイ・アベイラビリティ・システムズ「全て」を一括認証できるSSO
簡単導入でパスワード管理から解放

AccessMatrix USOなら導入や運用も容易にシングルサインオンを実現!

ジェムアルト株式会社マルチクラウド時代の情シスを救う
認証プラットフォーム!

認証・特権ID管理をきめ細やかに! 自社サービスとしても展開可能。

ZscalerDX加速させるクラウドセキュリティ
「100ms以下」の遅延で快適利用

Zscalerの革新的アーキテクチャで働き方改革を強力推進!

パロアルトネットワークスパブリッククラウド基盤の
セキュリティ対策はどうする?

開発のライフサイクル全体でリソースを保護する「Prisma Cloud」

ヤマトロジスティクスキャッシュレス化に乗り遅れるな!
決済端末の導入・運用を一括代行

キャッシュレス決済の導入をヤマトロジスティクスがトータル支援!

アクセスランキング

dwpreport
kaden

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2019 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます