DoS攻撃とは、Denial of Serviceのことで、攻撃対象のサーバに通信により負荷を与え、サービスを停止させる攻撃を言います。DoS攻撃は、高度な技術を必要としないため、いやがらせ・愉快犯などがDoS攻撃を仕掛けることがあります。
特定のIPからの攻撃を突き止めて、コンピュータや、通信機器などの動きを止めることは比較的に容易に行えます。ところが、踏み台となる、コンピュータを利用してIPを偽装することが一般的であると同時に、BOTといわれるコンピュータが複数あり、攻撃は、分散して行われている例も多くあります。
こうした分散型の攻撃をDDoS攻撃といい、多発しているサイバー攻撃の一種です。
踏み台となるコンピュータの台数が多いなど、巧妙化し、制圧が難しくなっているDDoS攻撃などを含むDoS攻撃の仕組みの説明、DoS攻撃の種類をご紹介するとともに、予防策・対応策についてお伝えします。
DoS攻撃とは
DoSとは、Denial of Serviceの略です。自分のコンピューターから様々な手段で攻撃対象のサーバーに負荷を与えてサービスを停止させることを目的として実施される攻撃です。
攻撃されたサーバは、大量のアクセス処理のためにCPUやメモリを浪費し、サービスが正常に動作しなくなります。
DoS攻撃よりも強力なDDoS攻撃とは
DDoSとは、Distributed Denial of Serviceの略で、多数のコンピューターを踏み台にして大量のDoS攻撃を分散(Distributed)的に行います。DoS攻撃よりも攻撃規模は大きく、踏み台となるコンピューターは一般的に不特定多数であるため、制圧の難しい攻撃です。
しかも、踏み台となるコンピュータの所有者は踏み台にされていることに気づいていないことが多いことも特徴です。
マルウェアの感染があったPCなどのクライアントコンピュータが踏み台にされることが多いのですが、現在のマルウェアも巧妙にできており、攻撃していることを誰も気が付かない間に実行されてしまいます。
踏み台があることにより、IPが偽装されるので、攻撃者の特定は困難です。
近年では無数のIoTデバイスを利用したDDoS攻撃も発生しており、IoTデバイスに対する一層のセキュリティ対策の必要性も意識されています。
DoS攻撃をする理由
DoS攻撃は、いやがらせ、金銭の窃取、個人的なトラブルなど様々な動機により行われています。
ダークウェブなどで、攻撃の請負をする者が現れたり、あるいはDoS攻撃を仕掛けるキットなどが販売されたりしていることでもDoS攻撃は知られています。高い技術力を必要としていないことから攻撃を行うのが個人であることも多く、中には「そんなことで攻撃を仕掛けるのか?」と驚くような事例もあります。
嫌がらせ
DoS攻撃は、サービスや業務の停止を招きます。そのため、特定の企業・団体に対して、個人的な妬みなどで攻撃が実行されることがあります。
攻撃者の政治的な主張のため、嫌がらせが政府機関に対して行われることもあり、こうしたものは被害や影響が出る規模も大きくなりがちです。
金銭の窃取
DoS攻撃は、業務の停止による金銭的損害が生じたり、競合他社が反射的に利益を得ることがあります。ところが攻撃者の中には、競合企業が金銭的に不利に追い込まれること、自社を利することを目的としてDoS攻撃を仕掛ける者がいます。
さらに、DoS攻撃の予告で企業を脅迫し、金銭を支払わせる手口も知られています。金額を少額にすれば、企業としてもサービスの停止を避けることができるインセンティブも働き、応諾してしまう企業もあります。
金銭の窃取を目的としている場合は、他のサイバー攻撃であるマルウェア感染や、サイトの書き換えなど他の手法と併用されることも多く見られます。踏み台になったコンピュータからの個人情報の窃取などとも組み合わせられ、被害がより深刻になることがあります。
個人的なトラブル
インターネット掲示板での口論など、単純に個人同士のけんかなどで嫌がらせのためにDoS攻撃が実施されることもあります。
DoS攻撃を行うことは、比較的に技術レベルが高くはないのですので、取るに足らないような口論がDoS攻撃に発展してしまうことが散見されます。
個人的なトラブルの場合も、小規模なDoS攻撃から、エスカレートした結果より深刻なサイバー攻撃に発展してしまうことさえあります。
DoS攻撃の種類
DoS攻撃には、ネットワークの負荷を増大させるものと、CPUやディスクのようなリソースを枯渇させる形の攻撃があります。
さらに、手法及び用いるプロトコルによって、以下のとおり、個々に攻撃が分類されています。
UDP Flood
コネクションレス型でシンプルな通信プロトコルである UDP の特徴を悪用して攻撃を行います。
サイズの大きな UDP パケットを攻撃先アドレス宛に大量に送信するので、攻撃先のコンピュータを止めてしまう被害が生じます。
Smurf
Smurf はICMPというプロトコルを使う攻撃です。
ICMPプロトコルにのっとり、サイズの大きなパケットを送りますが、攻撃先のアドレスを送信元アドレスとして利用し、ICMP Echo Reply を送る結果、ドメイン全体に対して大量のパケットが送られることとなります。その結果としてサービスが停止します。
UDP Flood の場合と同様、プロトコルは違いますが、サイズの大きなパケット(ICMP)を大量に送り、攻撃先のコンピュータを止める可能性があります。
Ping Flood
UDP Flood の場合と同様、プロトコルは違いますが、サイズの大きなパケット(ICMP)を大量に送り、攻撃先のコンピュータを止める可能性があります。
SYN Flood
TCPプロトコルの、SYN(通信確率要求)のみを大量に送付、ACK要求を待つ間に生じるタイムアウトにより、メモリの消費とポートなどのリソースの枯渇が生じます。結果としてサービスが停止されます。
Connection Flood
接続そのものの数が飽和してしまうことを招く攻撃です。オープンされた接続が長く続き、ソケットが占拠されてしまうことにより、サーバでクラッシュが生じてしまいます。
HTTP GET Flood
サーバにTCP接続を確立した後、事前に不正にインストールしたBotを用いて、HTTP GET コマンドを大量に送付します。ターゲットとなったWebサーバは処理しきれなくなり、ダウンしてしまいます。
リロード攻撃
攻撃者が何度もブラウザのリロード要求を連続して行う攻撃のことです。F5ボタンを押し続けることから
F5攻撃と呼ばれることもあります。これにより、Webサーバが高負荷の状態となり、サービスが停止する事態に陥ります。
DoS攻撃の被害事例
DoS・DDoS攻撃の被害事例としては、次のような事件が著名です。
パレスチナ爆撃抗議事件(2012年)
世界的に有名なハッカー集団Anonymousによる、イスラエルによるパレスチナの爆撃に抗議するための攻撃で、主要なものがDoS攻撃でした。650のイスラエル系のサイトがターゲットとされ、Anonymousによる犯行声明が行われました。
英国政府機関のサーバ停止事件(1994年)
ある法案に反対する勢力からのいやがらせで、法案成立を、政府機関のサーバをDoS攻撃で停止させた事件です。
尖閣諸島灯台接収事件(2005年)
尖閣諸島の灯台接収問題が生じた際に、中国鉄血連盟と呼ばれるグループがこれに抗議するとして、DDoS攻撃を仕掛けました。日本の首相官邸と内閣のWebサイトがこれにより一時的にアクセス不可になりました。
DoS攻撃の対策
DoS・DDoS攻撃は、通信プロトコルや、リロードのような通常の正常な機能を使っているため、100%防ぐことは難しいといえます。
特に、インターネットを利用するサービスを提供する際、DoS攻撃のリスクを完全に排除することは非常に困難とされるのです。
ただし、被害の防止に有効とされる対策、あるいは、攻撃にあっても、できるだけ被害を少なくする対策はあります。
企業内でセキュリティ対策の体制を組む
Webサービスを提供する場合は、企業内のリスク管理のため、セキュリティ体制を構築することは必須です。
最低限、次のような責任分担を明確に定め、なおかつ、ルールとして他のセキュリティ取り扱い規則と共に文書化することが必要です。
- 経営者の責任:サービスに関する設備投資の判断、体制の整備
- 情報セキュリティ担当者の責任:異常の検知、情報収集
- サービス提供担当者の責任:予め定められた手順等に従った対応(代替措置の利用等)
海外からの通信を拒否
DoS攻撃をはじめとしたサイバー攻撃は日本国外から実施されることが多いので、IPアドレスを制限し、国外からのアクセスを拒否することにより、Webサービスのリスクを小さくすることができます。
国外に対してもサービスを提供している場合には利用できない手段ですが、国内にのみサービスを提供している場合は有効といえます。
海外も含めたサービスを提供している場合には、IPアドレスごとにアクセスを許可するホワイトリストと、アクセスを拒否するブラックリストによる管理が必要です。
クラウドサービスの利用
サーバのリソース枯渇に対しては、クラウドサービスの利用、特にSaaSの利用が有効です。クラウドサービスは自動でスケールするため、多少のDoS攻撃を受けてもサービスが停止する可能性を少なくできるためです。
特に中小企業の予算規模・ITインフラの規模からは、リソースのスケールを広げることには限界があります。ただし、コストの問題やインターネット回線への依存度の増大など、別なリスクが発生するので注意が必要です。
また、異常を検知し、遮断する機能付きのWebアプリケーションファイアーウォール=WAFは、クラウドサービスでも提供されています。
サービスに利用するサーバと、セキュリティ技術の双方でクラウドの利用を検討してみましょう。
DoS攻撃を受けてしまったら
ひとたびDoS攻撃を受けてしまったら、バックアップサーバに切り替える、攻撃を受けたサーバ・クライアントについては通信を遮断し、必要な復旧策をとる、そして事前に決めておいた手順に基づき組織内で報告を実施するなどといった手順を踏みます。
事前に手順を決めておかないと、サービスを継続・復旧させるためにかかる時間が長くなるほか、場当たり的な解決になってしまい、再発防止・セキュリティ体制の強化がしにくいことも考えられますので、事前に決めて、ルール・マニュアル・手順書により文書化することが必要です。
自社で対応がしにくい場合、専門家による外注サービスを受けること・IPAの相談窓口などへ相談を行うことも有効な手段です。専門家・IPAでは最新情報を入手して、サービス復旧・再発防止策の検討などの相談に対応してくれます。
まとめ
DoS攻撃は、通信プロトコルの悪用・コマンドの悪用、そして反復される大量の通信により、リソースの枯渇・Webサーバの使用不能などの事態に陥らせます。
インターネット通信を利用している限りは、100%の防止ができないこと、技術力をそれほど必要とせずに攻撃ができてしまうこと、また、特に分散型のDDoS攻撃では、コントロールが難しいことが特徴です。
特にWebサービスを運営する企業では、適切なリソースの用意、技術的・組織的なセキュリティ施策などを重畳的に適用すべきこと、また経営問題としてしっかり取り組むべきことなど、総合的に対策することが必要と考えられます。
