/ サービス拒否(DoS)攻撃とは
サービス拒否(DoS)攻撃とは
DoS攻撃の仕組み
サービス拒否攻撃では、プログラムを使用して、悪意のあるトラフィックがサーバーに大量に送信されます。このトラフィックを構成するリクエストは正規のユーザーからのものを装っており、サーバーは次々とリクエストを承認していきます。結果として、帯域幅とネットワーク リソースが大量に消費されるため、正規のユーザーに対する「サービス」が「拒否」されてしまいます。
攻撃されたシステムやデータは、それを本当に必要とするユーザーが利用できない状態になります。たとえば、企業が顧客にサービスを提供できなくなれば、収益上の損失や信用の失墜につながる可能性があるため、DoS攻撃はよく脅迫に使われます。そういった意味ではランサムウェアに似ていますが、DoS攻撃で人質に取られるのは、データではなくターゲットのサービスです。
DoS攻撃とDDoS攻撃の違い
DoS攻撃のトラフィックの送信元は1か所のみですが、分散型サービス拒否攻撃(DDoS攻撃)では複数の送信元から一斉に不正なリクエストが行われます。通常、攻撃者はインターネットに接続された複数のデバイスを、場合によっては世界規模で活用し、標的とするサーバーのフラッディングを引き起こし、DoS攻撃よりはるかに簡単にサーバーを過負荷状態に陥れます。
攻撃に利用される感染したコンピューターのグループはボットネットと呼ばれ、同期して動作し、単一のIPアドレスの攻撃者からの指示を待ってフラッド攻撃を開始します。通常、攻撃は特定の時刻に開始されるように設定されており、場合によっては数時間または数日にわたって継続されます。
サーバーがDoS攻撃を受けている場合、攻撃経路となっている1つの接続を遮断するだけで対処が可能ですが、DDoS攻撃を受けた場合は、複数の送信元から一斉にトラフィックが流入するため、DoS攻撃より格段に危険性が高く、影響を軽減しにくくなります。
さらに現在、攻撃者はIoTデバイスを使用して手動のプロセスを減らし、ボットネットをさらに危険なものへと進化させています。IoTデバイスを使用することで、ボットネット デバイスを大幅に簡単に同期できるようにし、攻撃の有効性を高めることができるのです。
過去に発生した重要なDoS攻撃の事例
DDoS攻撃の被害は、DoS攻撃よりはるかに多く発生しています。これは、DoS攻撃に比べ遮断が非常に難しく、結果的に長時間にわたって実行されるためです。
クラウド サービス プロバイダーはこのような脅威に対して本質的に脆弱なため、しばしばDDoS攻撃の被害に遭っています。大きな注目を浴びた事例をいくつか紹介します。
- Amazon: 2020年2月、Amazonは過去最大規模のDDoS攻撃の被害を受けました。Connectionless Lightweight Directory Access Protocol (CLDAP)リフレクションによってAmazon Web Services (AWS)の顧客に送信されたトラフィックは毎秒3.3テラバイトにも上り、攻撃は3日にわたり続きました。
- GitHub: 2018年2月、GitHubのサーバーに毎秒1.35テラバイトのトラフィックが20分にわたり送信されました。この攻撃は、数万のエンドポイントにわたって仕掛けられた1000以上の自律システムによって行われていました。
- Google:2020年10月、Googleは6か月にわたるUDP増幅攻撃を受けていたことを公表しました。この攻撃では、中国のインターネット サービス プロバイダー(ISP) 3社を通じ、毎秒2.5テラバイトを超えるジャンク データがGoogleのサーバーに送信されていました。
DoS攻撃の検出方法
多くのインフラストラクチャー プロバイダーは、ルート アドバタイズメント(インターネット上のある地点から別の地点への移動方法を伝達するもの)のフィルタリングを行っていません。さらに、トラフィックの送信元を確認するためのパケット フィルタリングも行わない傾向にあります。この2点が、攻撃トラフィックをターゲットに送信しやすい状況を生み出しています。
一般的に、攻撃者の動機は3つです。ターゲットに対する敵意(ハクティビストの攻撃に典型的)、恐喝、そして、サービスが拒否されている間に金銭を要求しようという欲求です。DoS攻撃を初期段階で察知できるようなサインはありませんが、豊富な知識を持つセキュリティの専門家であれば、攻撃が有効なターゲットかどうかを確認するために攻撃者が送信するトラフィックを検出できます。
攻撃者は、ターゲットのWebサイトのさまざまな領域に大量のリクエストを送信するなどして、WebサーバーのDoS攻撃に対する脆弱性を確認します。これは、いわばWebにおける「初期微動」であり、攻撃の予兆と捉えることができます。
適切なネットワーク セキュリティ モニタリングを実施することで、サイバーセキュリティ チームがネットワーク トラフィックを分析し、攻撃の明確な兆候となるパケット全体のパターンを明らかにできます。攻撃を受けているかどうかをリアルタイムで判定するには、ネットワーク デバイス(ルーターやスイッチなど)から得られるメタデータを監視する必要がありますが、これは品質監視ツールを使用すると簡単に行えます。
DoS攻撃の種類
システムやデータの侵害または脅迫を目的としたDoS攻撃には主に4つのタイプがあります。
- ブラウザーのリダイレクト:ページの読み込みをリクエストしたユーザーを、悪意のある別のページにリダイレクトします。
- 接続の終了:オープン ポートを閉じ、ユーザーによるデータベースへのアクセスを拒否します。
- データの破壊:ファイルを削除し、そのファイルがリクエストされた際に「リソースが見つかりません」というエラーを引き起こします。また、アプリケーションにインジェクション攻撃を可能にするような脆弱性が存在する場合、データベース テーブルを削除してサービスを拒否することもできます。
- リソースの枯渇:特定のリソースへのアクセスを繰り返しリクエストし、Webアプリケーションを過負荷状態に陥らせ、ページの再読み込みを繰り返すことで速度低下やクラッシュを引き起こします。
DDoS攻撃の種類
覚えておきたいDDoS攻撃の例は以下のとおりです。
- SYNフラッド:大量のSYNパケットを送信してTCP通信(SYN-ACK)を悪用し、ターゲットのシステムのリソースを消費します。
- スプーフィング:別のユーザーやデバイスになりすまして信頼を獲得し、そのユーザーやデバイスからのものを装ったパケットを使用してサイバー攻撃を行います。
- アプリケーション層DDoS攻撃:その名のとおり、アプリケーションの脆弱性や設定ミスを悪用し、ユーザーによるアプリケーションへのアクセスまたは使用を拒否します。
- ドメイン ネーム システム(DNS)フラッド:DNS増幅攻撃とも呼ばれ、攻撃者はサーバーをフラッディングすることで、特定のドメイン名のDNS解決を妨害。
- インターネット コントロール メッセージ プロトコル(ICMP)フラッド:Pingフラッドとも呼ばれ、送信元IPを偽造してスマーフ攻撃を実施します。この方法は、大きなパケットによってバッファー オーバーフローを引き起こす「死のPing」の送信にも使用できます。
- ユーザー データグラム プロトコル(UDP)フラッド:攻撃者はターゲット上のランダムなポートをフラッディングし、リソースを消費して「宛先到達不能」パケットで応答。
DoS攻撃の対策
DoSおよびDDoS攻撃は、いつ襲ってきてもおかしくありません。しかし、適切なベスト プラクティスを導入することで、強力な防御に必要なあらゆるツールやプロトコルを組織として確実に整備できます。
DoS攻撃を防ぐには以下の5つの方法があります。
- DoS対応計画の作成。システムを調査して、潜在的なセキュリティ上の欠陥、脆弱性、セキュリティ ギャップを特定します。攻撃が発生した場合に備え、対応策を作成します。
- インフラストラクチャーの保護。クラウドベースの効果的なファイアウォール、トラフィック モニタリング、侵入の検知や防止などの脅威インテリジェンス ソリューションを導入することで、DoS攻撃を回避できる可能性が大幅に高まります。
- 警告サインの理解。ネットワーク パフォーマンスの低下、Webサイトのダウンタイム、システム停止、スパムの急増に注意します。いずれも直ちに対応が必要です。
- クラウドベースのサービスの採用。クラウド リソースはオンプレミスのものより帯域幅が大きく、すべてのサーバーが同じ場所に置かれることがないため、攻撃者に狙われにくくなります。
- 異常なアクティビティーの監視。これによって、セキュリティ部門はDoS攻撃やDDoS攻撃をリアルタイムで検知して緩和できるようになります。
次のセクションでは、DoS攻撃およびDDoS攻撃のリスクをまとめて低減する方法について説明します。
DoS攻撃のリスクを軽減する方法
セキュリティ態勢や可視性が不十分な場合、DoSおよびDDoS攻撃だけでなくマルウェア、ランサムウェア、スピアフィッシングなどといった、他の脅威に対しても隙を作ることになりかねません。組織の安全を保ち、DoS攻撃およびDDoS攻撃の影響を効果的に緩和できる可能性を最大限に高めるには、適切な対策が必要です。DoS攻撃およびDDoS攻撃を受けるリスクを低減するための方法をいくつか紹介します。
- クラウド提供型のセキュリティの利用。クラウド提供型のセキュリティにより、ユーザーの場所やデバイスを問わず、すべてのユーザーにポリシーを拡張でき、環境を完全に可視化できます。さらに、アップデートが自動で行われるため、手動でのパッチの適用や調整を行う必要がなく、常に最新の脅威を防御できる態勢が整います。
- 広範な検出と対応(XDR)の採用。XDRはエンドポイントでの検知と対応(EDR)を進化させたもので、エンドポイントの脅威の可視性に加え、データやクラウド セキュリティの潜在的なリスクに関するインサイトを提供します。いずれも総合的な脅威インテリジェンスを含むものです。これにより、通常発生する誤検知を抑え、セキュリティ部門の生産性を高めることができます。
- セキュリティ オペレーション センター(SOC)の検討。クラウドで管理されたSOCを利用することで、セキュリティ部門の手が回らない可能性のある領域もカバーすることができます。具体的には、クラウド ポリシーのプロビジョニング、脅威の検知と対応、データ保護、場合によってはコンプライアンスなどの領域です。XDRと同様、管理されたSOCを利用することで、より差し迫った問題に集中できるようになります。
- ゼロトラスト アーキテクチャーの実装。Gartnerによると、2025年までには、新たに導入されるリモート アクセスの少なくとも70%が、VPNではなく主にZTNAを利用したものになるとみられています。これは、10%未満だった2021年末から大幅な増加です。これは、ゼロトラスト セキュリティがコンテキスト(ユーザー、デバイス、場所、アプリケーションなど)に基づいてのみアクセスを許可し、あらゆる状況で攻撃者の侵入を確実に阻止できるためです。
クラウドネイティブなゼロトラスト セキュリティを提供できるベンダーは1社しかありません。さらに、そのベンダーは最高のXDRアーキテクトと提携しており、すべてのエンドポイント、クラウド、データにわたる脅威の検知を可能にしています。それがZscalerです。
Zscalerのソリューション
Zscalerは、DoS攻撃やDDoS攻撃を含む最新の脅威の防御に対応した強力なプラットフォームを提供する、唯一のセキュリティ サービス プロバイダーです。Zscaler Private Access™ (ZPA)™は、世界トップクラスの導入実績を誇るセキュリティ サービス エッジ(SSE)プラットフォームZscaler Zero Trust Exchange™の一部です。
ZPAの独自の設計は、4つの重要なコンセプトに基づいています。
- ユーザーをネットワーク上に配置することなくアプリケーションに接続する
- 許可されていないユーザーにはアプリケーションを公開しない
- ネットワークをセグメント化することなくアプリをセグメント化する
- VPNアプライアンスを使わずにセキュア リモート アクセスを提供する
ZPAは、シンプルかつ安全で効果的に内部アプリケーションにアクセスする方法を提供します。アクセスはポリシーに基づいて許可されます。アクセス ポリシーは、IT管理者がZPA管理ポータルで作成し、Zscalerクラウド内でホストされます。ユーザーが内部アプリケーションへのアクセスを試みると、各ユーザー デバイス上にインストールされたZscaler Client Connectorがデバイスの状態を確認して、Zscalerクラウドへの安全なマイクロトンネルを拡張します。
ZPAは、パブリック クラウドまたはデータ センターで実行中のアプリケーションに近い場所にApp ConnectorをVMとして配置します。これがZscalerクラウドへのマイクロトンネルに使用されます。Z-Connectorはクラウドへのアウトバウンドの接続を確立しますが、インバウンドの接続リクエストは受け付けず、DDoS攻撃を防止します。
Zscalerクラウド内では、クラウド アクセス セキュリティ ブローカー(CASB)がアクセスを承認し、ユーザーとアプリケーションを接続します。ZPAは100%ソフトウェア定義であるためアプライアンスを必要とせず、ユーザーはアプリケーションのセキュリティを維持しながらクラウドとモビリティーのメリットを享受できます。これは従来のネットワーク接続やオンプレミス ファイアウォールでは実現不可能です。