分散型サービス拒否攻撃 (DDoS) は、ネットワークや Web サーバーなどのリソースを標的とし、大量のリクエストを送信してオフラインにするサイバー脅威の一種です。トラフィックがサーバーの容量を超えると、正当なユーザーからの正当なリクエストに応答できなくなり、「サービス拒否」状態になります。
DDoS 攻撃では、ネットワーク内で複数のマシンが連携して、サーバーの処理能力を超える大量のトラフィックをサーバーに送り込みます。DDoS 攻撃は悪意のある人物によって実行されることが多く、銀行、ニュース サイト、場合によっては発電所など、人々が生活に欠かせないサービスを利用している大企業を標的とします。最終目的は、システムの停止やダウンタイム中に窃盗や恐喝を行うことから、フィッシングやランサムウェアなどの追加攻撃を開始すること、評判を落とすこと、または単に無秩序を引き起こすことまでさまざまです。
DDoS攻撃の仕組み
DDoS 攻撃は、ボットネットと呼ばれる侵害されたデバイスのネットワークが攻撃者によってリモート制御され、ラップトップ、モバイル、サーバー、IoT デバイスなどのさまざまなデバイスを含む悪意のあるトラフィックでターゲット リソースを氾濫させたときに発生します。
ボットネットは、デバイスにマルウェアを注入することで作成されます。ボットネットが作成されると、各ボットにリモート命令が送信され、攻撃が実行されます。各ボットは正常に見えるトラフィックを送信し、正当なトラフィックと区別するのが難しいため、DDoS 攻撃の検出は困難です。これが、DDoS 攻撃からの保護が非常に重要である理由の 1 つです。
続きを読む: DDoS 攻撃のしくみ
DDoS 攻撃はどの程度の混乱を引き起こすのでしょうか?
DDoS 攻撃が危険である主な理由の 1 つは、そのシンプルさです。DDoS 攻撃を作成して開始するには、高度なテクニックは必要ありません。ハッカーはターゲット サーバーにコードをインストールする必要はありません。必要なのは、マシンを侵害して制御し、ターゲットの Web サーバーに何百万もの ping を同時に送信することだけです。実際、2016 年の Dyn 攻撃で使用された Mirai ボットネットはオープン ソースでした。つまり、将来、どのサイバー犯罪者もこれを使用して、同じ機能を持つ攻撃を開始できるということです。
DDoS 攻撃は、受信するインターネット トラフィックが分散しているため、防御も困難です。ボットネットの侵害された「ゾンビ」マシンは、さまざまなソース IP アドレスを持っています。疑わしい IP アドレスからのリクエストをブロックするフィルターを追加するのも対策の 1 つです。しかし、そのような IP アドレスが何百万もある場合、大量のリクエストが行われると、防御戦略としては持続不可能になります。
さらに悪いことに、DDoS 攻撃の潜在的な攻撃ベクトルは日々増加しています。より多くのデバイスが一般消費者の手に渡り、IoT 市場が拡大してより多くの種類のデバイスをカバーするようになるにつれて、これらのデバイスからの潜在的な DDoS 攻撃を防御することはより困難になります。これらのデバイスは、標準的なコンピュータやサーバーに比べて高度なセキュリティ ソフトウェアを備えていない可能性があり、そのためハッキングや侵害を受けやすく、ボットネットの一部となる可能性があります。
さまざまな種類の DDoS 攻撃
DDoS 攻撃にはさまざまな種類があり、ネットワーク インフラストラクチャをターゲットとするネットワーク層またはプロトコル攻撃、アプリケーションを直接機能停止させるアプリケーション層攻撃、ネットワーク帯域幅を超えて送信される膨大な量のトラフィックに依存するボリュームベースのトラフィック攻撃などがあります。これらの攻撃は、システムのフラッディングやクラッシュを目的としており、HTTP、DNS、ICMP などのさまざまな方法で実行できます。各攻撃の重大度は、使用されるタイプと方法に応じて、それぞれ異なる方法で測定されます。
続きを読む: DDoS 攻撃の種類
DDoS 攻撃を特定して防御する方法
前述のように、DDoS 攻撃は、たとえリモート制御されたボットネットの一部であっても、正当なデバイスからのトラフィックが関係するため、検出が困難です。そのため、このようなボットネット トラフィックと正当なリクエストを区別することは困難です。ただし、DDoS 攻撃を識別してビジネスを保護するために注意すべき症状がいくつかあります。
DDoS 攻撃から保護するには、突然のパフォーマンス低下を監視し、特定の IP アドレス、デバイスの種類、場所、またはブラウザからの攻撃トラフィックの兆候を探します。単一の Web ページに異常に送信されたトラフィックや、不規則な時間帯や定期的な短い間隔での急増を調査します。
パフォーマンスの低下を監視するだけでなく、DDoS 攻撃の兆候となる可能性のある異常な技術的問題を特定することも重要です。ネットワーク パフォーマンスの低下、ファイルを開く際の困難、Web サイトへのアクセスの困難は、攻撃の前兆である可能性があります。これらの問題を精査すると、DDoS の脅威に起因するかどうかを判断するのに役立ちます。
続きを読む:
ビジネスの DDoS 緩和
DDOS防御 は、今日の企業のサイバーセキュリティに不可欠な要素となっています。
DDoS 攻撃では、攻撃者はボットや侵害されたデバイスの数の強さに頼って、ターゲットのネットワーク リソースを圧倒します。使用される方法は単純ですが、DDoS 攻撃は、サーバーのダウンタイム、顧客へのサービスの中断、および他のより大規模な攻撃を開始するための経路など、企業に重大な損害を与える可能性があります。以下は、従うべき簡単なルールです。
即時対応と緩和
DDoS 攻撃が検出されると、まずその影響を軽減する必要があります。これは、有害なトラフィックを識別してフィルタリングできる特定のツールやサービスを導入することで実現でき、正当なトラフィックが問題なく宛先に到達できるようになります。
ただし、DDoS 保護戦略を効果的に実装するには、症状を特定して攻撃にリアルタイムで対応するだけでは不十分です。DDoS の脅威が検出される頃には、すでに被害の一部または大部分が発生している可能性があり、被害の範囲を最小限に抑えるために時間との戦いになる可能性があります。そのため、積極的に行動し、ビジネス向けの DDoS 緩和クラウド サービスを検討することが重要です。
評価と分析
攻撃が軽減されたら、被害を徹底的に評価することが重要です。これには、システム ログとネットワーク トラフィックを分析して攻撃の範囲を把握し、悪用された脆弱性を特定することが含まれます。
セキュリティポリシーの強化
セキュリティ ポリシーの強化は、DDoS 攻撃からの回復において重要なステップです。これには、将来の攻撃に対する保護を強化するために、より厳格なアクセス制御、ファイアウォール ルール、侵入検知/防止システムの実装が含まれる場合があります。
DNSやCDNetworksなどのサービスプロバイダーを含む専門サービスは、次のようなネットワーク監視ツールやテクノロジーを使用してネットワークとシステムを保護するのに役立ちます。 コンテンツ配信ネットワーク必要に応じて悪意のある攻撃トラフィックをルーティングします。
