分散型サービス拒否 (DDoS) 攻撃とは何ですか?

DDoS 攻撃は、ターゲット リソースに大量のトラフィックを流し、動作不能になるほど過負荷にしたり、アプリケーションのパフォーマンスを低下させる特別に細工されたメッセージを送信したりして、インフラストラクチャを劣化させます。 DDoS 攻撃は、ファイアウォールの状態テーブルなどのネットワーク インフラストラクチャや、サーバーや CPU などのアプリケーション リソースをターゲットにする可能性があります。 DDoS 攻撃は深刻な結果をもたらす可能性があり、オンライン サービスの可用性と整合性が損なわれ、大きな混乱が生じ、金銭的損失や評判の失墜につながる可能性があります。 これらの攻撃は、セキュリティチームやリスクチームの注意をデータ流出からそらすための煙幕としても使用される可能性があります。 

DDoS 攻撃は、何千人もの人が同時にドアから押し寄せようとしているようなものです。 その結果、反対側へ通る正当な理由がある人を含め、誰も出入り口を通過できなくなります。 あるいは、攻撃は、鍵を持った一人の人間が通り抜けた後にドアをロックし、他の人が入れないようにするようなものになることもあります。 

このような攻撃は通常、多数のクライアント コンピューターやその他のネットワーク接続デバイス間で調整されます。 これらの攻撃者が制御するリソースは、この明確な目的のために設定されている可能性がありますが、攻撃者がデバイスをリモート制御して攻撃に参加させることができるマルウェアに感染している可能性の方が高いです。

攻撃はさまざまなソースから行われるため、ブロックするのは非常に困難です。 もう一度、大勢の人が玄関に押し寄せている様子を想像してみてください。 不正な人物（または悪意のあるトラフィック ソース）の 1 人の通過をブロックするだけでは、その代わりとなるものが何千もあるため役に立ちません。 自動化フレームワークの進歩により、攻撃者は IP アドレス、自律システム番号 (ASN)、ブラウザ ユーザー エージェント、その他のテレメトリを偽装して、従来のセキュリティ制御を回避できるようになります。 

分散型サービス拒否 (DDoS) 攻撃とサービス拒否 (DoS) 攻撃を区別することが重要です。 どちらも標的のシステムまたはネットワークの可用性を妨害することを目的としたサイバー攻撃の一種ですが、攻撃の実行方法が異なります。 

DoS 攻撃は通常、単一のソースまたは少数のソースから開始され、攻撃者は大量のトラフィックやリクエストを送信してターゲット システムまたはネットワークを圧倒し、処理能力を超えてしまいます。

一方、DDoS 攻撃には、複数のソースまたはボットネット (攻撃者の制御下にある侵害されたコンピューターまたはデバイスのネットワーク) が関与します。 攻撃者はこれらの複数のソースを調整して、ターゲットに対して同時に攻撃を開始します。 DDoS 攻撃は複数のソースから発生するため、正当なトラフィックと悪意のあるトラフィックを区別することが困難であり、通常、DoS 攻撃よりも軽減が困難です。

DDoS の脅威の状況は常に進化していますが、F5 はほとんどの攻撃が次の大まかなカテゴリに分類されることを発見しました。 

ボリューム型攻撃は、最も一般的なタイプの DDoS 攻撃の 1 つです。 これらの攻撃は、大量のデータやトラフィックを大量に送りつけて、標的のネットワーク帯域幅を圧倒することを目的としています。 このような手法には、UDP (ユーザー データグラム プロトコル) フラッド、ICMP (インターネット制御メッセージ プロトコル) フラッド、NTP (ネットワーク タイム プロトコル)、Memcached、DNS などのプロトコルを活用してターゲットが受信するトラフィックの量を増幅するリフレクション攻撃などがあります。 トラフィックの量が膨大になると、ターゲットのネットワーク インフラストラクチャが飽和状態になり、正当なユーザーが利用できなくなります。 フラッドベースの攻撃は、多くの場合、レイヤー 3、4、または 7 をターゲットにしており、SYN フラッドは、ネットワーク ファイアウォールやその他の重要なネットワーク インフラストラクチャを圧倒する可能性のある非常に一般的な攻撃です。 

• ボリューム型 DDoS 攻撃の一例として、2018 年にソフトウェア開発プラットフォームの GitHub が大規模なボリューム型 DDoS 攻撃を受け、サービスが中断されました。 この攻撃はピーク時に前例のない 1.35 TBps の速度に達し、当時記録された最大の DDoS 攻撃の 1 つとなりました。 その結果、GitHub の Web サイトとサービスでは断続的な停止とパフォーマンスの低下が発生しました。  

プロトコル攻撃。インターネット通信の基盤となる TCP/IP プロトコル スタックの弱点を狙った攻撃など。 これらの攻撃は、ネットワーク インフラストラクチャがトラフィックを追跡および処理する能力を特に標的としています。 たとえば、SYN フラッド攻撃は、大量の TCP SYN パケットをターゲットに送りつけ、ターゲットが正当な接続を確立する能力を圧倒します。 これらは、ルーターやファイアウォールなどのネットワーク デバイスの計算能力に過負荷をかけることが多いため、「計算」攻撃とも呼ばれます。

• 2021 年 11 月、F5 は同社史上最大のプロトコル攻撃を観測し、その被害を軽減しました。 金融サービス顧客を標的としたこの攻撃はわずか4分間続き、わずか1.5分で最大攻撃帯域幅の約1.4 TBpsに達しました。 

アプリケーション脆弱性攻撃(レイヤー 7 攻撃とも呼ばれる) は、特にネットワーク スタックのアプリケーション層をターゲットにします。 これらの攻撃は、ターゲット サーバーで実行されているアプリケーションまたはサービスのソフトウェアの脆弱性を悪用して、CPU、メモリ、データベース接続などのサーバーのリソースを使い果たすことに重点を置いています。 アプリケーション層攻撃の例には、HTTP GET フラッド (大量の HTTP 要求を送信する)、slowloris 攻撃 (部分的な要求で接続を開いたままにする)、HTTP POST フラッド、TLS 再ネゴシエーション、DNS クエリなどがあります。

• キルネットとして知られる著名な親ロシア派ハクティビスト集団が、2023年2月に大規模なヨーロッパの組織に対して高度なL7 DDoS攻撃を開始しました。 この攻撃は、大量のトラフィックで同社のサーバーを圧倒し、攻撃トラフィックがピーク時に毎秒12万件のリクエストに達してユーザーがウェブサイトにアクセスしにくくなることを目的としていた。 この特定の DDoS 攻撃は、35 の異なる IP アドレスと 19 か国に分散され、アプリケーション層に重点を置いていました。 

非対称攻撃は、反射攻撃または増幅攻撃とも呼ばれ、特定のネットワーク プロトコルの機能を悪用して攻撃トラフィックの量を増幅します。 非対称 DDoS 攻撃では、攻撃者は通常、偽造された送信元 IP アドレスを使用して、特別に細工した少量のネットワーク パケットを脆弱なネットワークまたはサービスに送信します。 これらのパケットは、標的のシステムまたはネットワークから非常に大きな応答の生成をトリガーし、大きな増幅効果をもたらします。  

• 2021年2月、脅威アクターらは、ゲームやギャンブル組織に情報セキュリティサービスを提供するテクノロジー企業に対し、身代金を支払わない場合はDDoS攻撃を行うと脅迫した。 攻撃者は警告としてすぐに 4 Gbps の SYN フラッド攻撃を開始し、その 5 日以内に DDoS 攻撃が始まりました。 ほぼ 1 か月間にわたって攻撃が続き、脅威の攻撃者は攻撃ベクトルをどんどん追加しました。 最終的に、攻撃は 500 Gbps でピークに達し、ボリューム UDP、LDAP リフレクション、DNS リフレクション、NTP リフレクション、および UDP フラグメンテーション攻撃のマルチベクトル集中攻撃が含まれました。

上記の方法の複数を活用するマルチベクトル攻撃がますます一般的になりつつあります。 攻撃者は複数の攻撃手法を採用することで、その影響を増幅し、複数の攻撃ベクトルから同時に防御することを困難にすることができます。

• 2016 年 10 月、インターネット トラフィックを管理および誘導する DNS プロバイダーである Dyn は、Twitter、Reddit、Netflix、Spotify など、多数の人気 Web サイトやサービスに混乱をもたらす大規模な DDoS 攻撃を受けました。 攻撃者は、DNS リフレクション攻撃や増幅攻撃、ボットネットなど、さまざまな DDoS 手法を組み合わせて使用しました。 この攻撃は、セキュリティ対策が弱かったり、ログイン認証情報がデフォルトであったりする、ウェブカメラやルーターなどの脆弱な IoT デバイスを悪用しました。 攻撃者はこれらのデバイスを侵害することで、膨大な量のトラフィックを生成できる大規模なボットネット ネットワークを作成しました。

以下は、DDoS 攻撃、軽減、および防止に関連するいくつかの重要な概念と定義です。

• ボットネットは、攻撃者の制御下にある侵害されたコンピューター、サーバー、またはデバイスのネットワークです。 これらの侵害されたデバイスは、ボットやゾンビと呼ばれることが多く、集団で DDoS 攻撃を開始するために使用されます。 攻撃者はボットネットにリモートで指示を与え、ターゲットに大量のトラフィックやリクエストを送りつけ、攻撃の影響を増幅させることができます。
• スプーフィングとは、ネットワーク パケットまたは通信の実際のソースまたは ID を偽造または偽装することです。 DDoS 攻撃では、攻撃トラフィックの発信元を隠すためにスプーフィングがよく使用されます。 
• SYN フラッディングは、 TCP の 3 ウェイ ハンドシェイク プロセスを悪用してターゲットのリソースを圧倒する DDoS 攻撃です。 攻撃者は大量の SYN パケットをターゲットに送信しますが、SYN-ACK パケットに応答しないか、送信元 IP アドレスを偽装します。 これにより、ターゲット システムは到着しない ACK パケットを待機することになり、リソースが拘束され、正当な接続が確立されなくなります。
• UDP (User Datagram Protocol) フラッディングは、コネクションレスでハンドシェイクを必要としない UDP プロトコルをターゲットとする DDoS 攻撃の一種です。 この攻撃では、攻撃者は大量の UDP パケットをターゲットのネットワークまたはサービスに送信し、そのリソースを圧倒します。 
• DNS (ドメイン ネーム システム) 増幅は、 DNS サーバーの脆弱性を悪用して大量の攻撃トラフィックを生成する DDoS 攻撃の一種です。 攻撃者は、偽装した送信元 IP アドレスを含む小さな DNS クエリを、脆弱なオープン DNS リゾルバに送信します。 これらのリゾルバは、スプーフィングに気付かず、より大きな DNS 応答で応答し、ターゲットに向けられたトラフィックの量を増幅し、ターゲットのリソースを圧倒して、サービスの中断を引き起こす可能性があります。 
• DDoS 緩和とは、 DDoS 攻撃を防御し、その影響を最小限に抑えるために採用される戦略と技術を指します。 緩和ソリューションには、ネットワーク インフラストラクチャのアップグレード、トラフィック フィルタリング、レート制限、異常検出、トラフィックの迂回を組み合わせて、攻撃トラフィックを吸収して緩和することが含まれます。 クラウド配信の DDoS 緩和ソリューションは、攻撃がネットワーク インフラストラクチャやアプリケーションに到達する前に検出して緩和するのに特に効果的です。 ただし、最近のアプリケーション/L7 DoS の増加を考慮すると、保護されたリソースの近くにセキュリティ制御を展開する必要もあります。 
• インシデント対応とは、DDoS 攻撃を検出し、分析し、対応するプロセスを指します。 進行中の攻撃の兆候を特定し、攻撃のソースと性質を調査し、軽減策を実施し、通常の運用を回復することが含まれます。 インシデント対応計画は、組織が DDoS 攻撃を効果的に処理し、その影響を最小限に抑えるのに役立ちます。

DDoS 攻撃は、企業、組織、個人に深刻な影響を及ぼす可能性があります。 

DDoS 攻撃は重大な経済的損失につながる可能性があります。 サービスが中断したり、アクセスできなくなったりすると、取引の中断、顧客エンゲージメントの低下、機会の損失などにより、企業の収益に影響が出る可能性があります。 さらに、組織は、攻撃の緩和、インシデント対応および回復活動の実施、および潜在的な規制上の罰則に関連するコストを負担する可能性があります。

DDoS 攻撃が成功すると、組織の評判が損なわれ、顧客の信頼が損なわれる可能性があります。 企業のサービスが繰り返し中断されたり利用できなくなったりすると、顧客は企業が信頼できるサービスを提供できる能力に信頼を失ってしまう可能性があります。 信頼を再構築し、傷ついた評判を回復することは、困難で時間のかかるプロセスになる可能性があります。

DDoS 攻撃は深刻な業務中断を引き起こす可能性があります。 オンライン サービスに大きく依存している組織では、従業員が重要なシステムにアクセスできなかったり、効果的に共同作業できなかったりするため、生産性の低下に直面する可能性があります。 サービスの中断は、サプライ チェーン、顧客サポート、およびビジネス運営全体に影響を与え、遅延、非効率、運用コストの増加につながる可能性があります。

堅牢な DDoS 緩和戦略に投資し、サイバーセキュリティの専門家にセキュリティ対策の設計と実装を依頼することで、組織は DDoS 攻撃が成功した場合のリスクと影響を大幅に軽減し、財務の安定性と評判を守り、業務の継続性を確保できます。

以下は、攻撃を防御するために使用される一般的な DDoS 緩和技術です。 組織では、これらの方法論を組み合わせて、DDoS 攻撃の影響を効果的に軽減できる階層化された防御戦略を作成することがよくあります。 早期検出は、迅速なインシデント対応と緩和策を開始するための鍵でもあり、組織は影響が拡大する前にそれを封じ込めることができます。

トラフィック フィルタリングでは、着信ネットワーク トラフィックを調べ、フィルターを適用して特定の種類のトラフィックをブロックまたは許可します。 この手法は、ネットワーク エッジ ルーター、ファイアウォール、専用の DDoS 軽減アプライアンスなど、さまざまなレベルで採用できます。 悪意のあるトラフィックや不要なトラフィックをフィルタリングすることで、組織は DDoS 攻撃の影響を軽減し、正当なトラフィックが目的の宛先に到達することを保証できます。

レート制限は、特定のソースからの、または指定された時間枠内の受信リクエストまたはパケットの数を制限します。 レート制限を実施することで、組織はトラフィックの圧倒的な流入を防ぎ、DDoS 攻撃の影響を軽減できます。 

異常検出では、ネットワーク トラフィックのパターンと動作を監視して、通常のパターンからの逸脱を識別します。 統計分析と機械学習アルゴリズムを利用してベースライン動作を確立し、DDoS 攻撃を示唆する可能性のある異常なアクティビティを検出します。 異常検出システムは、異常なトラフィックの急増、パケットのフラッディング、または進行中の攻撃を示すその他のパターンを識別できます。 

動作分析は、ユーザー、システム、またはネットワーク エンティティの動作を監視して、疑わしいアクティビティや悪意のあるアクティビティを検出して特定することに重点を置いています。 動作分析技術は、正当なトラフィックと攻撃トラフィックを区別するのに役立ち、組織は誤検知を最小限に抑えながら DDoS 攻撃に効果的に対応できます。 この分析は、サービス拒否攻撃の兆候となる可能性のあるシステムのストレスを検出するインテリジェント プロキシを通じて、クライアント側でもサーバー側でも実行できます。 

コンテンツ配信ネットワーク (CDN)を導入すると、ボリューム型攻撃の影響を軽減し、可用性とパフォーマンスを向上させることができます。 CDN は分散ネットワーク インフラストラクチャを使用して悪意のあるトラフィックを識別してブロックし、正当なリクエストがターゲットに到達することを保証できます。

ロード バランサとアプリケーション配信コントローラ (ADC) は、トラフィックをインテリジェントに分散および管理することで、DDoS 攻撃に対する防御メカニズムとしても機能します。 ロード バランサーは、レート制限、トラフィック シェーピング、トラフィックを専用の DDoS 保護ソリューションにリダイレクトするなどのさまざまな手法を適用することで、DDoS 攻撃を検出して軽減できます。 

クラウドベースの DDoS 保護サービスを実装すると、DDoS 攻撃から防御するための専用のスケーラブルな緩和機能を提供できます。 これらのサービスを通じてトラフィックをリダイレクトすることで、組織は高度な緩和技術、リアルタイムの脅威インテリジェンス、専門プロバイダーの専門知識の恩恵を受けることができます。

DDoS 攻撃から保護するためのその他のベスト プラクティスとしては、伝送制御プロトコル (TCP) とユーザー データグラム プロトコル (UDP) の要求管理を有効にして、正当な要求のみが処理されるようにすることが挙げられます。 定期的な監視とログ記録は、攻撃を早期に検出し、悪影響を軽減するのに役立ちます。 トラフィックの増加、エラー、または異常なアクティビティのパターンにより、さらに調査するためのアラートがトリガーされることがあります。 アプリケーションとクライアント間のトラフィックを暗号化すると、攻撃者がトラフィックを傍受したり変更したりすることが困難になります。 定期的なソフトウェア アップデートにより、最新のセキュリティ機能とパッチによってシステムが保護され、DDoS 攻撃などの既知の脅威が軽減されます。

DDoS 攻撃の規模と複雑さが増すにつれ、組織はこれらの攻撃が企業ネットワークに到達する前に阻止するための多層的な保護を必要としています。 多くの場合、これらの攻撃は、自動化されたボットネットまたは人間が操作するツールを活用した、ステルス性の高い低速でアプリケーションを標的とした攻撃手法と、大量のトラフィックを組み合わせたものです。 こうした攻撃の頻度と停止コストが増大し続ける中、こうした攻撃を軽減するための総合的かつ階層化された防御が今や極めて重要になっています。

以下のケーススタディを視聴または読むことで、実際の DDoS 攻撃とその軽減方法について学習します。

• F5 が電子メール プロバイダーに対する 26 Gbps のボリューム型 DDoS 攻撃を阻止した方法をご覧ください。
• オーストラリアの Heritage Bank が、 24 時間 365 日の DDoS 保護を提供し、銀行の規制ガイドラインを満たす F5 製品スイートを導入した方法をご覧ください。

DDoS 攻撃は進化し続けているため、組織は最新の傾向と動向を常に把握しておく必要があります。 

最近の傾向として、モノのインターネット (IoT) ボットネットの普及が進んでいます。 スマートカメラ、ルーター、接続されたアプライアンスなどの IoT デバイスは、セキュリティ対策が弱いことが多く、侵害を受けやすい傾向があります。 攻撃者はこれらのデバイスの脆弱性を悪用してマルウェアに感染させ、ボットネットの一部として組み込むのです。 侵害された数千の IoT デバイスの計算能力を組み合わせると、膨大な量の DDoS 攻撃トラフィックが生成される場合があります。 

アプリケーション層攻撃は、サーバーのリソースを使い果たしたり、特定のアプリケーションの脆弱性を悪用したりすることを目的としたものですが、正当なユーザーの行動を模倣することが多く、検出や軽減が困難になっています。 アプリケーション層攻撃は、アプリケーションの動作をより深く理解する必要があり、特殊な保護メカニズムが必要となるため、防御が特に困難です。

DDoS-as-a-Service プラットフォームの出現により、技術的スキルの低い個人でも DDoS 攻撃を仕掛けやすくなりました。 これらのプラットフォームはダークウェブ上に存在し、ユーザーがボットネットを活用して DDoS 攻撃リソースをレンタルおよび展開できる使いやすいインターフェースを提供します。