コロナの外出自粛で需要の伸びたサービスがDDoS攻撃の標的にさらされているという調査レポートが先日セキュリティソフトベンダーのカスペルキーより公開されました。今回は急激に増加しているDDoS攻撃の背景や、被害事例、そしてその対策にWAFが有効なのかどうか検証していきたいと思います。
前年比300%超となったDDoS攻撃の背景
カスペルキーの調査によると、2020年第2四半期のDDoS攻撃に関する結果で、前年比約3倍に増加したことが明らかになりました。実は第1半期の調査からすでに、医療、デリバリーサービス、教育関連、行政機関やオンラインゲームなどのWebリソースへの増加傾向が指摘されてきましたが、この時点では180%の増加率で、そのあと引き続き行われた調査で302.08%への増加率へと伸びました。
引用:https://securelist.com/ddos-attacks-in-q1-2020/96837/
通常はDDoS攻撃の件数は、企業や組織の繁忙期となる1~3月にかけて増加しますが、4~6月には減少傾向にあります。しかし今年は4~6月になっても攻撃数が増加しました。その理由の一つは、新型コロナウイルスの世界的な大流行で夏の休暇の外出機会が減り、オンラインサービスを利用する時間が増えたためと分析されています。つまり自粛生活により人々のオンラインサービスへの依存度が増えたことが背景にあると伺えます。
インターネットを通じて商品やサービスを提供する企業にとって、DDoS攻撃を仕掛けられれば、自社リソースが利用できなくなることになり重大な被害をもたらします。ビジネスを継続する上でそれらのサービスの重要性が増すと、攻撃者の標的となってしまいます。
DDoS攻撃による被害
DDoS攻撃とは
1つのコンピュータから標的のサーバへ攻撃を仕掛けるDoS攻撃(Denial Of Service)は、攻撃者の特定が容易でした。それをさらに巧妙化させたDDoS攻撃(Distributed Denial of Service attack)は、不特定多数のコンピュータから標的のサーバへDoS攻撃を仕掛けるため、攻撃者の特定が難しくなります。さらには攻撃者が標的になりすまして大量のリクエストを送るDRDoS攻撃(Distributed Reflective Denial of Service attack)と呼ばれる攻撃も存在します。返事が標的に大量に送られることで過剰負荷を発生させ、大量のコンピュータを乗っ取らなくても実行できる効率的な手法です。
DoS攻撃またはDDoS攻撃は、標的となるWebサーバにリクエストを送りつける攻撃と、Webサーバの脆弱性を悪用する攻撃の2種類に分類されます。大量のリクエストを送りつける「フラッド(洪水)攻撃」や、ホームページがデータのやりとりをする仕組みを悪用する「スロー攻撃」などが行われます。いずれの手法にしても共通するのは、過剰に負荷をかけサーバダウンさせることを目的に行われます。最近はDDoS攻撃によってダウンしたサーバを攻撃して個人情報などを流出する事件も増えています。
DDoS攻撃自体は、単純にサーバをダウンさせる攻撃ですので、他のサイバー攻撃に比べて被害が少ないと考えがちですが、持続的なサービス運営が重要なECサイトや 官公庁のWebサイトはサーバが数時間ダウンするだけで致命的な被害があるかもしれません。まず、ECサイトの場合、顧客が商品を多く購入する曜日・時間帯にWebサイトがアクセスできなくなったら、他の競合他社に顧客を取られてしまって営業損失が発生します。また、官公庁の場合、重要なお知らせを発表出来なくて困ることになる可能性があります。
被害事例
人気ゲームにサイバー攻撃 FF14、障害相次ぐて 2018.11.1
インターネットに接続して多人数で楽しむ人気オンラインゲーム「ファイナルファンタジー(FF)14」のサーバに対し、大量のデータを送り付けて、接続障害を引き起こす「DDoS(ディードス)攻撃」が10月上旬以降、相次いで発生していることが1日までに分かった。
運営元のスクウェア・エニックスによると、日本、北米、欧州にあるデータセンターが「かつてない規模」の攻撃を受け、一部でログインできなくなったり、接続が切断されたりする障害が断続的に発生した。10月の上旬と下旬に大きな攻撃があり、障害は最大で20時間続いたという。
引用:https://www.nikkei.com/article/DGXMZO3721144001112018CR0000/
カブドットコム証券にDDoS攻撃、検知から約38分後にブロック 2017.06.29
ネット証券会社のカブドットコム証券は2017年6月29日、DDoS(分散型サービス拒否)攻撃を受け、取引サイトなどがアクセスしづらい状況になったと発表した。ただ、同社はセキュリティインシデントへの対応を担う「CSIRT」を設置し、DDoS攻撃の対策も導入済みだった。このため、アクセスしづらい状況が続いたのは午前9時2分頃から午前9時38分頃までの36分間程度にとどまり、既に復旧しているという。
DDoS攻撃は人々がよく利用する需要の高いサービスを狙って頻繁に仕掛けられています。DDoS攻撃を安価で請け負うサービスがネット上に存在していることも背景にあげられています。こうした攻撃に無防備にさらされると、サービスが長時間停止し、その間顧客に迷惑をかけ自社の利益も損ないます。
有効なDDoS攻撃対策
DDoS攻撃に対し、同一IPアドレスからのアクセス回数を制限する、また、ユーザが国内のみのWebサイトは海外からのアクセスを制限する、といった対策も考えられます。しかしこれだけでは巧妙化した攻撃に対応しきれません。Webサーバの脆弱性を悪用しようとするDDoS攻撃には、WAF(Web Application Firewall)のみが効果的な対策となります。WAFは、脆弱性を悪用しようとする攻撃を事前に検知してブロックするため、たとえ脆弱性が存在したままでもDDoS攻撃を防ぐことができます。
WAFのメリット
IPSやファイアウォールで防げない部分をカバー
ネットワークやサーバを外部から守る攻撃手段の代表的なものとして、F/W(ファイアウォール)、IPS(IDS)、Webアプリケーションファイアウォール(WAF)があります。F/Wが防御するのはインフラ/ネットワークのみですが、WAFならばWebアプリケーションとソフトウェア/OSの脆弱性の両方を防御することが可能です。どちらの方が優れているということではなく、それぞれのセキュリティの防御可能な通信レイヤーの違いを理解し、多角的に取り入れていくことが大切です。
過去の攻撃を分析・パターン化する
WAFには、過去のサイバー攻撃を分析し、そのパターンを定義・ファイル化した「シグネチャ」という機能が備わっています。過去に認識された攻撃リクエストのパターン(シグネチャ)をデータベース化し、リクエストの内容をシグネチャと比較することで攻撃検知を行います。それにより防御性能を高めていきます。ただし全てのシグネチャは誤検知の可能性があるため、適切なチューニングと監視を行う必要があります。
導入や運用がしやすい
クラウド上にある仮想アプライアンスとしてのクラウド型WAFは、導入時には申し込みを行ってネットワーク設定を一部変更することで利用できます。また、運用はサービス提供側が行うため、脆弱性への対応や上記のシグネチャ等のチューニングといった作業も不要です。サーバの構築や機器の購入が不要なため初期費用を抑え、安価な月額料金で利用できます。
さいごに
Dos攻撃・DDos攻撃は古典的ながら防御が難しい攻撃とされてきました。しかしF/Wと組み合わせWAFを導入することで、万一攻撃されても速やかに遮断します。日頃から対策しているかどうかでその後のサービス復旧までの時間や被害を最小限に抑えることが可能です。
またこれまでのDDos攻撃は企業が一般に公開しているリソースに対して行われてきましたが、現在では、社内のインフラストラクチャを構成するもの、例えば企業のVPNゲートウェイやメールサーバーがDDoS攻撃の標的となっていることも指摘されています。一般に公開していないサービスについても、DDoS攻撃に対する保護を検討すべきかもしれません。
