F5 GLOSSARY

DDoS攻撃

DDoS攻撃とはDoS攻撃の一種です。ネットワーク帯域やサーバー資源を枯渇させることで、攻撃対象のサイトが正常なサービスを行えないようにする攻撃を、DoS(Denial of Service)攻撃と言います。大量のパケットを送り出すために大量のマシンを使用し、分散型で行われる場合に「DDoS(Distributed DoS)攻撃」と呼ばれます。

攻撃のパターンは、大きく2種類に分類できます。

第1は大量のパケットを集中的に送信し、ネットワーク帯域を枯渇させる方法です。UDPパケットを大量に送信する「UDPフラッド攻撃」が古くから知られていますが、最近ではUPnP(ユニバーサル プラグ アンド プレイ)機能に対応した機器や、DNSサーバー、NTP(時刻合わせに使用するサーバー)の特性を利用し、攻撃者から送ったパケットの容量を増幅して攻撃する「リフレクション攻撃」も増えています。

第2は、TCPやHTTPの特性を利用し、サーバー資源を枯渇させる方法です。送信元IPアドレスを偽装したTCPセッションリクエスト(SYNパケット)を大量に送りつける「SYNフラッド攻撃」が古くから使われていますが、最近ではHTTPでゆっくりと時間をかけて通信を行い大量のコネクションを張ることでWebサーバーをダウンさせる「スローHTTP攻撃」も増えています。

サーバー資源の枯渇を狙うDoS攻撃への対応は「F5 BIG-IP Advanced WAF」で容易になります。またオンプレミスでなくサービスとしてDoS攻撃に対応したり、ネットワーク帯域の枯渇を狙うDoS攻撃にも対応するには「F5 Silverline DDoS Protection」の活用が効果的です。

関連情報

>DDoS攻撃対策の基本とは?【漫画】で分かりやすく解説

>DDoS攻撃と対策方法~最新の攻撃種類から対策まで徹底解説

>L3およびL7 DDoS攻撃の抑制|F5 Distributed Cloud DDoS Mitigation

>DDoS対策製品:DDoS Hybrid Defender

20種類以上にわたる
ITセキュリティお役立ち資料

ダウンロードはこちら
F5

分散型サービス拒否(DDoS)攻撃は、システムを機能しない状態にし、合法的なユーザーが利用できなくします。

DDoSとは何ですか?DDoSは、システムが劣化し、合法的なユーザーが使用できなくなる悪意のある攻撃です。多くの場合、DDoSは複数の侵害されたデバイスが使用され、目標となるシステムに大量のトラフィックを送り込む調整されたキャンペーンであり、その結果としてそのサービスが意図したユーザーに利用できなくなります。

DDoSはどのように機能しますか?

DDoS攻撃は、目標となるリソースにトラフィックを氾濫させてインフラを劣化させたり、アプリケーションのパフォーマンスを損なう特別に作成されたメッセージを送信することにより、それを操作不能にするまで過負荷にします。DDoS攻撃は、ファイアウォールのステートテーブルなどのネットワークインフラストラクチャや、サーバーやCPUなどのアプリケーションリソースを対象とすることができます。DDoS攻撃は重大な結果をもたらし、オンラインサービスの可用性と完全性を危険にさらし、大幅な混乱を引き起こし、金融的な損失や評判の損傷の可能性をもたらします。これらの攻撃は、データの外部への転送からセキュリティやリスクチームの注意をそらすためのスクリーンとしても使用されます。

DDoS攻撃は、何千人もの人々が同時にドア口を押し合って進もうとする様子に似ています。その結果、誰もドア口を通り抜けることができず、他方へ正当な理由で通り抜ける必要がある人々も含まれます。また、攻撃は、一人の人がキーを持って通り抜けた後にドアをロックし、他の誰も入ることができないようにするようなものかもしれません。

このような攻撃は通常、多数のクライアントコンピュータや他のネットワーク接続デバイスを通じて調整されます。これらの攻撃者が制御するリソースは、この特定の目的のために設定されたものであるか、またはより可能性が高いのは、攻撃者がデバイスを遠隔で制御し、攻撃に参加させるマルウェアに感染しているかもしれません。

攻撃が多数の異なるソースから来るため、ブロックするのは非常に困難です。再度、ドア口を押し合っている人々の群れを想像してみてください。一人の不正な人(または悪意のあるトラフィックソース)をブロックするだけでは、その場を取って代わる他の何千人もの人々がいるため、助けにはなりません。自動化フレームワークの進歩により、攻撃者はIPアドレス、自律システム番号(ASN)、ブラウザのユーザーエージェント、および他のテレメトリーを偽装して、従来のセキュリティ制御をバイパスすることが可能です。

分散型サービス拒否(DDoS) 攻撃とサービス拒否(DoS)攻撃の違いを理解することが重要です。両方とも、目標となるシステムやネットワークの利用可能性を妨げることを目指したサイバー攻撃のタイプですが、攻撃の実行方法が異なります。

DoS攻撃は通常、単一のソースまたは少数のソースから発射され、攻撃者はターゲットシステムやネットワークを過剰なトラフィックやリクエストの洪水で圧倒し、それらを処理する能力を超えます。

一方、DDoS攻撃は、複数のソースまたはボットネットを含みます。ボットネットとは、攻撃者の制御下にあるコンプロミスしたコンピューターやデバイスのネットワークです。攻撃者はこれら複数のソースを調整して、目標に対して同時に攻撃を開始します。DDoS攻撃は、複数のソースから来るため、正当なトラフィックと悪意のあるトラフィックを区別するのが困難であるため、通常、DoS攻撃よりも緩和するのが難しいです。

一般的なDDoS攻撃のタイプ

DDoSの脅威の風景は常に進化していますが、F5は、ほとんどの攻撃が次の広範なカテゴリに分類されることを発見しました。

ボリューメトリック攻撃は、DDoS攻撃の最も一般的なタイプの一つです。これらの攻撃は、大量のデータやトラフィックでターゲットのネットワーク帯域幅を圧倒することを目指しています。このような手法には、UDP(ユーザー・データグラム・プロトコル)フラッド、ICMP(インターネット制御メッセージプロトコル)フラッド、そしてNTP(ネットワーク時間プロトコル)、Memcached、DNSなどのプロトコルを利用したリフレクション攻撃が含まれ、これらはターゲットが受信するトラフィックの量を増幅します。トラフィックの絶大な量がターゲットのネットワークインフラを飽和させ、正当なユーザーから利用できなくなる原因となります。フラッドベースの攻撃は、しばしばレイヤー3、4、または7を対象とし、SYNフラッドという非常に一般的な攻撃は、ネットワークのファイアウォールや他の重要なネットワークインフラを圧倒する可能性があります。

  • ボリューメトリックDDoS攻撃の例として、2018年にソフトウェア開発プラットフォームであるGitHubが、そのサービスを混乱させる大量のボリューメトリックDDoS攻撃を経験しました。攻撃は、前例のない1.35 TBpsのレートでピークに達し、それは当時記録された最大のDDoS攻撃の一つとなりました。その結果、GitHubのウェブサイトとサービスは断続的なダウンタイムとパフォーマンスの劣化を経験しました。
  • プロトコル攻撃、たとえば、インターネット通信の基礎であるTCP/IPプロトコルスタックの弱点を狙うものなどです。これらの攻撃は、ネットワークインフラがトラフィックを追跡し、処理する能力を特に狙っています。例えば、SYNフラッド攻撃では、ターゲットに対して大量のTCP SYNパケットの弾幕を浴びせ、正当な接続を確立する能力を圧倒します。これらは「計算」攻撃とも呼ばれ、しばしばルーターやファイアウォールなどのネットワークデバイスの計算能力をオーバーロードします。
  • 2021年11月、F5は会社がこれまでに見た最大のプロトコル攻撃を観察し、軽減しました。この攻撃は金融サービスの顧客を狙い、わずか4分間続き、最大攻撃帯域幅のほぼ1.4 TBpsには1.5分しかかかりませんでした。

アプリケーションの脆弱性攻撃、別名レイヤー7攻撃は、ネットワークスタックのアプリケーション層を特に狙っています。これらの攻撃は、ターゲットサーバー上で実行されているアプリケーションやサービスのソフトウェアの脆弱性を悪用し、CPU、メモリ、データベース接続などのサーバーのリソースを使い果たすことに焦点を当てています。アプリケーション層攻撃の例には、HTTP GET フラッド(大量のHTTPリクエストを送信)、slowloris攻撃(部分的なリクエストで接続を開放状態に保つ)、HTTP POSTフラッド、TLS再交渉、DNSクエリなどがあります。

  • 2023年2月、ロシアのプロハッキング集団であるキルネットは、大規模なヨーロッパの組織に対して洗練されたL7 DDoS攻撃を開始しました。この攻撃は、大量のトラフィックを使って会社のサーバーを圧倒し、攻撃トラフィックが1秒あたり12万件に達することで、ユーザーがウェブサイトにアクセスすることが困難になるように狙いました。この特定のDDoS攻撃は、35の異なるIPアドレスと19の国に分散され、アプリケーションレイヤーに焦点を当てていました。

非対称攻撃、またはリフレクティブあるいは増幅攻撃とも呼ばれる攻撃は、特定のネットワークプロトコルの機能を利用して攻撃トラフィックのボリュームを増幅させます。非対称DDoS攻撃では、攻撃者は特別に作成された少量のネットワークパケットを脆弱なネットワークやサービスに送信します。通常、送信元IPアドレスを偽装して行われます。これらのパケットは、ターゲットとなるシステムやネットワークからはるかに大きな応答の生成を引き起こし、著しい増幅効果をもたらします。  

  • 2021年2月、脅威となる攻撃者たちが、ゲーミングやギャンブル組織向けの情報セキュリティサービスを提供しているテクノロジー企業に対して、身代金を支払わない場合はDDoS攻撃を仕掛けると脅迫しました。攻撃者たちは即座に4 GbpsのSYNフラッド攻撃を警告として行いました。その後5日後、DDoS攻撃が開始されました。攻撃はほぼ1か月にわたり続き、攻撃者たちはますます多くの攻撃手法を追加していきました。最終的には攻撃は500 Gbpsに達し、ボリューメトリックUDP、LDAPリフレクション、DNSリフレク。

上記の複数の方法を活用するマルチベクトル攻撃は、ますます一般的になっています。複数の攻撃手法を使用することで、攻撃者は影響を増幅させ、同時に複数の攻撃ベクトルに対する防御の難易度を高めることができます。

  • 2016年10月、インターネットのトラフィックを管理・誘導するDNSプロバイダであるDynは、Twitter、Reddit、Netflix、Spotifyなどの多くの人気ウェブサイトやサービスが停止する巨大なDDoS攻撃に見舞われました。攻撃者はDNSリフレクションや増幅攻撃、さらにはボットネットなどさまざまなDDoS攻撃手法を組み合わせて使用しました。この攻撃は、弱いセキュリティ対策やデフォルトのログイン資格情報を持つウェブカメラやルータなどの脆弱なIoTデバイスを悪用しました。これらのデバイスを乗っ取ることで、攻撃者は膨大なトラフィックを生成することがで。
DDoSのキーポイント

以下は、DDoS攻撃、軽減、予防に関連するいくつかのキーポイントと定義です。

  • ボットネットは、攻撃者の制御下にある、侵害されたコンピュータ、サーバー、またはデバイスのネットワークです。これらの侵害されたデバイスはしばしばボットまたはゾンビと呼ばれ、集団でDDoS攻撃を開始するために使用されます。攻撃者は遠隔でボットネットに指示を送り、ターゲットにトラフィックやリクエストを大量に送信することで、攻撃の影響を増幅させることができます。
  • スプーフィングは、ネットワークパケットや通信の真の送信元やアイデンティティを偽装または隠すことを意味します。DDoS攻撃では、スプーフィングはしばしば攻撃トラフィックの発信元を隠すために使用されます。
  • SYNフラッディングは、TCPの3ウェイハンドシェイクプロセスを悪用して、ターゲットのリソースを圧倒するDDoS攻撃です。攻撃者は大量のSYNパケットをターゲットに送信しますが、SYN-ACKパケットに対して応答しないか、送信元IPアドレスを偽装します。これにより、ターゲットシステムは到着しないACKパケットを待ち続け、そのリソースが追いつかなくなり、正当な接続が確立されるのを防ぎます。
  • UDP(ユーザーデータグラムプロトコル)フラッディングは、ハンドシェイクを必要とせず、コネクションレスなUDPプロトコルを標的としたDDoS攻撃の一種です。この攻撃では、攻撃者は大量のUDPパケットをターゲットのネットワークやサービスに送信し、そのリソースを圧倒します。
  • DNS(Domain Name System)増幅攻撃は、DNSサーバーの脆弱性を悪用して、大量の攻撃トラフィックを生成するDDoS攻撃の一種です。攻撃者は脆弱なオープンDNSリゾルバに偽装された送信元IPアドレスを持つ小さなDNSクエリを送信します。これらのリゾルバは、スプーフィングを知らずに、より大きなDNS応答を返します。これにより、ターゲットに向けられるトラフィックのボリュームが増大し、ターゲットのリソースが圧倒され、サービスの中断が発生する可能性があります。
  • DDoS軽減は、DDoS攻撃に対抗し、その影響を最小限に抑えるために使用される戦略や技術を指します。軽減策には、ネットワークインフラのアップグレード、トラフィックのフィルタリング、速度制限、異常検知、攻撃トラフィックを吸収・軽減するためのトラフィック転送など、さまざまな手法が組み合わせられることがあります。クラウドを利用したDDoS軽減ソリューションは、攻撃がネットワークインフラやアプリケーションに到達する前に攻撃を検出し、軽減するのに特に効果的です。しかし、最近のアプリケーション/L7 DoSの増加を考慮すると、セキュリティコントロールも保護されたリソースに近く配備される必要があります。 
  • インシデント対応とは、DDoS攻撃の検出、分析、対応のプロセスを指します。これには、進行中の攻撃の兆候を識別し、攻撃の源泉と性質を調査し、緩和策を実施し、通常の運用を回復することが含まれます。インシデント対応計画は、組織がDDoS攻撃を効果的に処理し、その影響を最小限に抑えるのに役立ちます。
図1. クラウドで提供されるDDoS緩和ソリューションは、今日の最大かつ最も複雑なDDoS攻撃、含むレイヤー3-4と高度なレイヤー7攻撃を処理することができます。
DDoS攻撃の影響

DDoS攻撃は、ビジネス、組織、個人に対して深刻な影響を及ぼす可能性があります。

DDoS攻撃は大きな財政的損失を引き起こす可能性があります。サービスが中断またはアクセス不能になると、取引の中断、顧客エンゲージメントの減少、または逃した機会により、ビジネスは収益に影響を受ける可能性があります。さらに、組織は攻撃の緩和、インシデント対応と復旧活動の実施、および潜在的な規制違反に関連するコストを負担する可能性があります。

成功したDDoS攻撃は、組織の評判を損ない、顧客の信頼を侵食する可能性があります。企業のサービスが繰り返し中断されたり利用できなくなったりすると、顧客は組織が信頼性のあるサービスを提供する能力に対する信頼を失う可能性があります。信頼を再構築し、損傷した評判を回復することは、困難で時間がかかるプロセスとなることがあります。

DDoS攻撃は重大な運用上の混乱を引き起こす可能性があります。オンラインサービスに大きく依存している組織は、従業員が重要なシステムにアクセスできなかったり、効果的に協力できなかったりするため、生産性の損失を経験する可能性があります。サービスの中断は、供給チェーン、カスタマーサポート、全体のビジネス運用に影響を与え、遅延、非効率、および増加した運用コストを引き起こす可能性があります。

堅牢なDDoS緩和戦略に投資し、サイバーセキュリティの専門家にセキュリティ対策の設計と実装を依頼することで、組織は成功したDDoS攻撃のリスクと影響を大幅に減らし、財政的安定と評判を保護し、運用の継続性を確保することができます。

DDoSの緩和と予防

以下は、攻撃に対抗するために使用される一般的なDDoS緩和手法です。組織はしばしば、これらの方法論の組み合わせを使用して、DDoS攻撃の影響を効果的に緩和することができる層状の防御戦略を作成します。また、早期の検出はインシデント対応と緩和策の迅速な開始にも重要であり、組織はそれがエスカレートする前に影響を制御することができます。

トラフィックフィルタリングは、着信ネットワークトラフィックを調べ、ブロックまたは特定のタイプのトラフィックを許可するためのフィルタを適用することを意味します。この技術は、ネットワークエッジルータ、ファイアウォール、または専用のDDoS対策アプライアンスなど、さまざまなレベルで利用できます。悪意のあるまたは不要なトラフィックをフィルタリングすることにより、組織はDDoS攻撃の影響を軽減し、正規のトラフィックが意図した宛先に到達することを保証するのに役立ちます。

レート制限は、特定の送信元または指定された時間枠内の着信リクエストまたはパケットの数を制限することを意味します。レート制限を強制することにより、組織はトラフィックの過剰な集中を防ぐことで、DDoS攻撃の影響を緩和することができます。

異常検知は、通常のパターンからの逸脱を特定するためにネットワークトラフィックのパターンや振る舞いを監視することを意味します。統計的分析と機械学習アルゴリズムを利用して基準となる振る舞いを確立し、DDoS攻撃を示唆する可能性のある異常な活動を検出します。異常検知システムは、攻撃が行われていることを示すトラフィックの異常なスパイク、パケットの過剰な送信、または他のパターンを特定することができます。

行動分析は、ユーザー、システム、またはネットワークエンティティの振る舞いを監視し、疑わしいまたは悪意のある活動を検出および特定することに焦点を当てています。行動分析技術は、正規のトラフィックと攻撃トラフィックを区別するのに役立ち、誤検知を最小限に抑えながら組織が効果的にDDoS攻撃に対応するのに役立ちます。この分析は、サーバーサイドだけでなく、システムの負荷を検出するインテリジェントプロキシを介してクライアントサイドでも実行することができ、これはDoS攻撃の兆候となる。

コンテンツ配信ネットワーク(CDN)を展開することは、容量攻撃の影響を軽減し、利用可能性とパフォーマンスを向上させるのに役立ちます。CDNは分散ネットワークインフラストラクチャを利用して悪意のあるトラフィックを特定しブロックし、正当なリクエストが目的地に到達することを保証します。

ロードバランサーアプリケーション配信コントローラー(ADC)も、トラフィックを知的に分散管理することによって、DDoS攻撃に対する防御メカニズムとして機能することがあります。ロードバランサーは、レート制限、トラフィック整形、またはトラフィックを専門のDDoS保護ソリューションにリダイレクトするなど、さまざまな技術を適用してDDoS攻撃を検出および軽減することができます。

クラウドベースのDDoS保護サービスを導入することで、DDoS攻撃に対する専用かつスケーラブルな対策能力を提供することができます。これらのサービスを通じてトラフィックをリダイレクトすることで、組織は高度な軽減技術、リアルタイムの脅威情報、専門プロバイダの専門知識を活用することができます。

DDoSの事例研究

DDoS攻撃が規模と複雑さを増している中、組織はエンタープライズネットワークに攻撃が到達する前にこれらの攻撃を停止するために複数の防御手段が必要です。これらの攻撃はしばしば高容量トラフィックと、自動化されたボットネットまたは人間によるツールを駆使した、潜在的で低速なアプリケーションをターゲットとした攻撃技術を組み合わせています。これらの攻撃の頻度と停止のコストが増加するにつれ、これらの攻撃を軽減するために包括的で層状の防御手法の重要性は極めて重要になっています

以下の事例研究を視聴または読解することで、実際のDDoS攻撃とその軽減方法について学びましょう。

DDoSの新興トレンド
  • DDoS攻撃が進化し続ける中、組織は最新のトレンドと展開について常に最新情報を把握する必要があります。
  • 最近の傾向として、インターネットオブシングス(IoT)ボットネットの増加が挙げられます。スマートカメラ、ルーター、接続された家電などのIoTデバイスは、しばしばセキュリティ対策が弱く、侵害の危険性があります。攻撃者はこれらのデバイスの脆弱性を悪用してマルウェアで感染させ、ボットネットの一部として動かします。数千もの侵害されたIoTデバイスの組み合わせされた計算能力は、膨大な量のDDoS攻撃トラフィックを生成することができます。
  • アプリケーション層攻撃は、サーバーリソースを枯渇させるか、特定のアプリケーションの脆弱性を悪用することを目的としており、しばしば正規のユーザーの振る舞いを模倣するため、検出と軽減が困難となります。アプリケーション層攻撃は特に防御が困難であり、アプリケーションの振る舞いをより深く理解し、専門の保護メカニズムが必要です。
  • DDoS-as-a-Serviceプラットフォームの出現により、技術的に熟練していない個人でも簡単にDDoS攻撃を起動できるようになりました。これらのプラットフォームはダークウェブ上に存在し、使いやすいインターフェースを提供しており、ユーザーがDDoS攻撃リソースを借りて展開することができるようになっています。しばしばボットネットを利用してレンタルされることがあります。
F5の支援方法

高度なDDoS脅威に対しては、高度なDDoS保護が必要です。F5のサービスとソリューションは、ここにあります。DDoS攻撃への対処方法の一番の策は、事前に防ぐことです。F5のソリューションは、重要なインフラを圧倒し、重要なプロトコルを標的にし、アプリケーションやサービスの脆弱性を悪用するマルチベクター型のDoS攻撃を軽減します。F5ソリューションは、クエリリクエストを検証し、悪意のある通信を緩和し、DNSおよびアプリケーションの可視性を提供することにより、DNS増幅攻撃および他のフラッディングエクスプロイトに対する保護も提供します。これにより、その健康状態、最適化、および保護が最大化できます。F5 DDoS ミティゲーションソリューションは、混合型ネットワーク攻撃や高度なアプリケーションのエクスプロイトに対して、より深い防御を提供する多層防御を提供し、ほぼリアルタイムで脅威を検出して排除することができます。 F5 DDoS緩和ソリューションは、混合ネットワーク攻撃と洗練されたアプリケーションの脆弱性に対するより深い防御を提供する多層防御を提供し、ほぼリアルタイムで脅威を検出し排除することができます。