DDoS攻撃とは何？　〜目的、トレンド、対策についても解説〜

近年、Webサービスを取り巻く環境はますます複雑化しており、セキュリティーの重要性はこれまで以上に高まっています。特に「DDoS攻撃」の増加とそのもたらす影響は、深刻な課題となっています。

この記事では、DDoS攻撃についての概要とともに、近年の傾向や対策方法などについても説明します。

DDoS攻撃とは何か〜基本定義〜

DDoS攻撃とは、Distributed Denial of Serviceの略で、分散型サービス拒否攻撃とも呼ばれます。

ターゲット(標的)となる特定のオンラインサービスやWebサイトに対して、複数のコンピューターやデバイスから過剰なトラフィックを送信することによって、正常な利用者にとってアクセスできなくする攻撃のことを指します。

DDoS攻撃を受けると、サーバーやネットワーク回線の不調や停止が発生し、サービスを提供する企業にとって様々な不利益・損害が生じることとなります。

売上機会の損失
ブランドの価値や信用の低下
サービス復旧にかかる工数やコスト
並行して異なるタイプのサイバー攻撃をされる

それぞれの詳細については、別途後述します。

攻撃に利用されるボットネットとは

DDoS攻撃の多くは、「ボットネット」と呼ばれるネットワークを通じておこなわれます。

ボットネットとは、攻撃者が悪意あるプログラムを用いて制御下に置いた、多数のコンピューターやデバイス類の集まりです。ここでいうデバイス類には、Wi-Fiルーターやネットワークカメラなどのようなネットワーク機器も含まれ、脆弱性対応のなされていない機器が悪用されやすい傾向にあります。

攻撃者がボットネットに指令を送ることで、制御下に置かれた多数のデバイス類から一斉に、ターゲットとなる特定のサービスに向けてトラフィック送信されます。DDoS攻撃にボットネットを利用することで、攻撃はより大規模かつ分散的になり、予防・対策が難しくなるという特徴があります。

単純なDoS攻撃との違い

DDoS攻撃は、その名の示すとおりDistributedされた(＝分散された)DoS攻撃です。

DoS攻撃が1台のデバイス類(1つのIPアドレス)が過剰なトラフィックの送信元となるのに対して、DDoS攻撃では、1台だけではなく分散された多数のデバイス類が送信元となります。

そのことから、DDoS攻撃は大規模化しやすく、数十から数百Gbpsクラスの規模となることも珍しくなくなっています。対策や防御についても、DoS攻撃は比較的容易にできる一方、DDoS攻撃は通常のセキュリティーソリューションでは難しいというのが現実です。

DDoS攻撃はなぜおこなわれるか〜理由と目的〜

なぜ、DDoS攻撃はおこなわれるのでしょうか。その理由として、いくつかの目的を達成するためだとされます。その目的について、主要なものをご説明します。

1. 金銭要求 (ランサムDDoS)

金銭を要求するためにおこなわれるものは、ランサムDDoS(RDoS)やDDoS脅迫などと呼ばれます。

この目的のための攻撃では、攻撃者からターゲット企業に対して「DDoS攻撃を止めてほしければ金銭(≒身代金)を支払え」という要求がおこなわれます。もちろん、支払えば攻撃が止まる保証はなく、攻撃者を助長するリスクもあります。

金銭の支払い手段として、攻撃者の足が付きにくい暗号通貨(ビットコインなど)を指定されるケースもあり、そのような場合にはDD4BC(DDos For BitCoin)とも呼ばれます。

2. サービス停止や混乱の誘発

ターゲットのサービスを停止させること自体が、目的となることもあります。

オンラインサービスやWebサイトが停止すれば、その間の売上機会が喪失し、顧客からの信用も失うこととなります。

この目的における攻撃者としては、ターゲットに対して恨みを持つ者や、競争相手などが挙げられます。

3. 社会的・政治的な主張 (ハクティビズム)

社会的、政治的、宗教的なメッセージを広めるための手段として、DDoS攻撃が用いられることもあります。

このような攻撃は「ハクティビズム」(activism＋hackを組み合わせた造語)とも呼ばれ、特定の政策や団体への抗議と併せてDDoS攻撃やその予告がおこなわれます。

ハクティビズムをおこなう活動家のことは「ハクティビスト」と呼び、代表的な例として「アノニマス」や「ウィキリークス」などがよく知られています。

4. テストや示威行為 (愉快犯を含む)

攻撃者自身のスキルや手法をテストしたり、能力を誇示したりするために、DDoS攻撃がおこなわれることもあります。

DDoS攻撃の傾向・トレンド

DDoS攻撃は近年、ネットワーク形態の変化やクラウド普及などに伴い、その規模や手法などが変化しつつあります。主要な傾向について、3つのポイントにまとめてご説明します。

1. 攻撃規模の拡大と多様化

DDoS攻撃の規模は、ネットワークインフラの発展とともに拡大し続けており、影響力も増しています。

攻撃トラフィックの規模は数十から数百Gbpsクラスに達することが一般的となり、ときには数Tbpsにも及びます。そのことから、大規模なインフラやクラウドサービスでさえも影響を受けるケースが増えています。

また、異なる種類の攻撃を組み合わせる「マルチベクトル攻撃」と呼ばれる手法も増加しています。従来のようなトラフィック規模による攻撃だけでなく、アプリケーション層やプロトコルの脆弱性を狙う攻撃を組み合わせた攻撃を伴うことから、これまで以上に検知や防御が難しくなっています。

2. クラウドサービスへの影響拡大

クラウド普及が進むにつれて、DDoS攻撃の対象もオンプレミスからクラウドへとシフトしてきています。

企業システムのクラウド移行に伴って、それまで分散されていたシステムが集約されるケースも多くなっています。そのため、例えばWebサイトがDDoS攻撃を受けることで、他の業務システムも「道連れ」で利用できなくるような被害も増えています。

また、クラウドのリソースを自動的に増減する「オートスケール」を悪用する攻撃では、従量課金のリソース消費が爆発的に増大し、高額なクラウド利用料金を負担せざるを得なくなるような事例も多く発生しています。

3. ボットネットの高度化

先述したように、ボットネットはDDoS攻撃を実現するための役割を果たしており、構造や仕組みも変化してきています。

ボットネットは従来、パソコンやサーバーを中心に構築されるのが一般的でした。しかし近年では、Wi-Fiルーターなどのネットワーク機器に加え、監視カメラやスマートホーム機器のようなIoTデバイスにも広がりを見せています。これにより、ボットネットを構成するデバイス類も増大し続け、攻撃規模が拡大する一因ともなっています。

またボットネットは、自己修復やステルス(検出回避)などの機能を備えるようになってきており、セキュリティーソリューションをすり抜ける能力も向上しています。これにより、攻撃者にとって安定的にボットネットを運用できる(＝いつでもDDoS攻撃できる)環境が整ってきているのです。

DDoS攻撃が企業に与える影響・損害

ここまででも述べてきたようにDDoS攻撃は、単なるサービス停止に留まらず、企業や組織にとって多大な影響と損害をもたらします。中でも代表的な4つについて、ご説明していきます。

1. 売上機会の損失

DDoS攻撃によってサービスが停止すると、直接的に売上機会が失われることとなります。

特にECサイトやオンラインサービスを主軸とする企業では、攻撃が数時間に及ぶだけでも数億円単位の損失を生じることもあります。その間に顧客が競合他社のサービスに流れてしまうと、その影響はもはや一時的なものではなくなります。

2. ブランドの価値や信用の低下

サービスの停止は、ブランド価値や信用・信頼性にも大きな影を落とします。

金融機関や通信事業者などのように絶対的な可用性が求められる業界では、「セキュリティーが脆弱」という印象を持たれたり、信頼性の低下にも繋がったりします。

また個人情報流出のような連鎖的被害を生むケースもあり、毀損した信用を回復するためには多大な時間と費用の負担を余儀なくされます。

3. サービス復旧にかかる工数やコスト

DDoS攻撃によるサービス停止が生じると、復旧のために膨大な工数とコストを費やす必要が出てきます。

単純にサーバーやネットワークを復旧するだけでなく、ほとんどのケースではセキュリティー対策の追加導入が求められることから、コスト負担が増大することとなります。

加えて、攻撃が長時間に及ぶ場合には、復旧までの間に顧客対応・カスタマーサポートにも追加のリソースを割く必要が出てきます。このような対応にかかる間接的なコストも、セキュリティー対策向けとは別に負担する必要があります。

4. 並行して異なるタイプのサイバー攻撃をされる

DDoS攻撃はそれ単独でだけでなく、他のサイバー攻撃と組み合わせておこなわれるケースが増えています。

例えば、DDoS攻撃によってターゲットを混乱させている間に、マルウェアの感染やデータ流出を試みる「複合型攻撃」がその典型例です。この場合、DDoS攻撃は注意を逸らすための「序章」に過ぎず、管理者が対応に追われている間にランサムウェアが展開されるようなこともあります。

DDoS攻撃への対策

DDoS攻撃は、規模の増大などにより、完全に防ぐことが難しいサイバー攻撃の一つです。しかし、適切な対策を講じることで、被害やリスクを最小限に抑えることが可能です。

1. トラフィックの監視と早期検知

ネットワーク監視を徹底し、異常を早期に検知することが、DDoS攻撃対策の第一歩です。

通常のトラフィックパターンを把握することで、異常なアクセス増加・過剰リクエストを迅速に認識できます。リアルタイムな状況把握をおこなうことで、攻撃がエスカレートする前に対応を開始でき、被害の拡大防止に繋がります。

2. CDNやWAFの活用

CDN(Content Delivery Network)やWAF(Web Application Firewall)は、DDoS対策の有効な手段です。

CDNは、トラフィックを分散させて処理することで、ターゲットのサーバーに負荷が直接集中することを防ぎます。そしてWAFは、DDoS攻撃の一環でおこなわれやすいアプリケーション層への攻撃をブロックします。

CDNとWAFの組み合わせは、DDoS攻撃による異常トラフィックの処理に適しており、ソリューションによっては導入や設定が容易であることから、幅広い企業や組織において活用が進んでいます。

3. インシデント対応計画の策定

DDoS攻撃を完全に防ぐことは容易でありませんが、攻撃を受けた際の対応計画を事前に策定しておくことは重要です。

攻撃発生時に、どの部門がどのように対応するかを具体的に記載しておくことで、役割分担を明確化します。また、ISPやセキュリティーサービス提供事業者と事前に連携しておくことで、万一の際にも迅速な対応が可能となります。

また、定期的に訓練を実施し、計画の有効性を検証することも重要です。

4. 社内セキュリティー教育の強化

DDoS攻撃への対策を効果的に実施するためには、全社員が基本的なサイバーセキュリティーの知識を持つことが欠かせません。

社員全員がセキュリティー意識を高めることで、攻撃の初期段階から適切かつ迅速に対応できる体制づくりに大いに役立ちます。教育内容として、攻撃の兆候や報告手順、実施している対策についての基礎知識を含めると良いでしょう。

まとめ

DDoS攻撃の脅威は年々増大し続けており、その影響は、企業に存続にまで及ぶ可能性があります。しかし、適切な対策を講じることで、被害やリスクを最小化することが可能です。

未来のWebサービス環境を安全に保つため、常に最新の情報を取り入れながら、進化し続ける脅威に対応していきましょう。

当社では、クラウドやセキュリティーのパイオニアであるAkamai社が開発・提供する各種サービスを、長年にわたって取り扱っており、数多くのお客様へご提供しております。

Akamai社では、DDoS攻撃を効果的に緩和できる世界最大のプラットフォームを有しており、CDNとWAFの機能もオールインワンで利用できます。ご興味いただけましたら、是非お気軽にお問い合わせください。