DoS攻撃（サービス拒否）

DoS（サービス拒否）攻撃とは

DoS攻撃とは、正当な利用者がサーバ、ネットワーク、サービス、またはその他のIT資産へアクセスするのを阻むデジタル攻撃の一種です。この攻撃では、攻撃者が通常、ウェブサーバやネットワーク、サービスに大量のトラフィックを送り込み、被害側の資源を圧迫して他者のアクセスを困難または不可能にします。

サーバがクラッシュする攻撃は、システムの再起動で復旧できる場合が多いですが、大量のトラフィックを送り込む攻撃は復旧が難しくなります。特に、多数の発信元から攻撃トラフィックが来る分散型DoS（DDoS）攻撃では、復旧が一層困難です。

DoSおよびDDoS攻撃は、システム管理の不備やネットワークトラフィックの取り扱い方の欠点を突くことが多いです。例えば、攻撃者は異なるIPアドレスから大量のパケットを送り込み、脆弱なネットワーク管理を圧倒する可能性があります。

‍

DoS攻撃の実例

DoS攻撃の主な目的は、ターゲットのシステム資源を圧倒し、追加の要求に応じられなくすることです。攻撃はその特徴に応じていくつかの種類に分類できます。

拒否攻撃には2種類ある:

1. ‍資源枯渇型攻撃

このタイプでは、メモリやディスク容量、CPU時間などのシステム資源がすべて消費され、結果としてシステムの遅延、クラッシュ、その他の異常な動作が引き起こされ、拒否状態となります。

2. ‍フラッド攻撃

悪意ある攻撃者が大量のパケットをターゲットサーバに送り込み、ネットワーク帯域を圧迫することでサービス拒否状態を発生させます。ほとんどのDoSフラッド攻撃では、攻撃者がターゲットより多くのインターネット帯域にアクセスできる必要があります。

代表的なDoS攻撃の種類

• Buffer overflow

設計時の許容量を超えるトラフィックをネットワーク資産に送り込む攻撃は、フラッド攻撃と呼ばれます.

• ‍Smurf Attack

かつてDoS攻撃の手法として用いられたもので、悪意ある攻撃者が偽装したネットワークアドレスから送られたパケットを、大量にターゲットのIPアドレスへ送り込む攻撃です.

• ‍Ping flood

巨大なペイロードを持つリクエストメッセージを送り、pingプロトコルの弱点を突くことでターゲットシステムに過度な負荷をかけ、正当なサービス要求に応じられなくさせ、場合によってはシステムをクラッシュさせる攻撃です.

• ICMP flood

処理可能な以上のpingをターゲットに送り込むと、サービス拒否状態になることがあります。この攻撃は分散型サービス拒否（DDoS）攻撃としても利用できます.

• SYN flood

クライアントとサーバ間のTCP接続を確立するためのTCPハンドシェイクプロトコルの弱点を突く攻撃です。SYNフラッド攻撃では、攻撃者が完了させる意図なく大量のTCP接続要求をターゲットサーバに送り込むため、正当な利用者のアクセスが遮断されます.

攻撃が始まったかどうかをどう確認するか

DoS攻撃は、ネットワーク障害やシステム管理者によるメンテナンスなど、悪意のないアクセス障害と似た症状を引き起こす場合があります。しかし、以下のような症状が現れた場合、DoSまたはDDoS攻撃の可能性があります.

• ページの読み込みやサイトアクセスが非常に遅い,
• 全サイトにアクセスできなくなる,
• または特定のサイトだけにアクセスできなくなる.

ネットワークトラフィックの監視と解析は、DoS攻撃を検知し見分ける最も有効な手段です。ファイアウォールや侵入検知システムを使ってトラフィックをフィルタリングできます。また、異常なトラフィック量が検出された際に、発信元を特定し、特定条件に合致するパケットを破棄するルールを設定することも可能です.

また、IP stresser toolで環境を調査することもできます

‍

DoS攻撃 と DDoS攻撃の違い

よく知られているDoS攻撃の中には、実際には複数の攻撃システムからトラフィックが発生する分散型攻撃もあります。ファイアウォールは攻撃元のトラフィックを遮断できるため、単一のソースやIPアドレスからのDoS攻撃は対処しやすいですが、複数の発信元からの攻撃は検知や防御が非常に難しくなります。インターネット上に分散しているように見えるIPアドレスから悪質なパケットが送られると、正当なトラフィックと悪質なものを区別して除外するのが困難になります.

攻撃者は、マルウェアに感染してボットネットに組み込まれたコンピュータやその他のネットワーク機器を利用して、計画的なサービス拒否攻撃を行う場合があります。DDoS攻撃に必要なボットネットを制御するために、コマンド＆コントロールサーバ（C&Cサーバ）が使用され、攻撃の種類、送信するデータ、狙うシステムやネットワーク資産が指示されます.

サービス拒否攻撃の歴史

ウェブシステムに対するDoS攻撃の歴史は古く、1988年のロバート・モリスワームまでさかのぼります。MITの卒業生であったMorrisは、自ら複製するワーム型マルウェアを放ち、瞬く間にインターネット上に拡散し、感染したシステムで大量のトラフィックとDoS攻撃を引き起こしました.

当時、インターネットに接続していたのは主に研究機関や教育機関でしたが、米国の6万台のシステムのうち最大10%が影響を受けたと推定されています。米国政府会計局（GAO）によれば、被害額は約1000万ドルに達した可能性があります。Morrisは1986年のコンピュータ詐欺および不正利用防止法（CFAA）に基づき起訴され、400時間の地域奉仕活動と3年間の保護観察、さらに1万ドルの罰金が科されました.

それ以降、DoSおよびDDoS攻撃は一般的になりました。次に、いくつかのDoS攻撃例を紹介します:

GitHub.

2018年2月28日のDDoS攻撃により、GitHub.comへのアクセスが不可能となりました。GitHubによれば、約10分以内に復旧しています。同社は、攻撃時に「膨大な数のエンドポイント…最大で毎秒1.35テラビット、126.9百万パケットに達した」と説明しています.

Imperva.

セキュリティ企業Impervaは、4月30日に1社の顧客に対して大規模なDDoS攻撃を検知したと報告しました。攻撃は毎秒580百万パケットに達しましたが、同社のDDoSセキュリティソフトウェアにより軽減されました.

Amazon Web Services (AWS).

2020年2月、AWS Shield Threat Landscape Report Q1 2020によれば、クラウドサービスプロバイダーであるAWSは、これまでで最大級のDDoS攻撃に対処しました。これは従来のものより44%大きなもので、CLDAP（Connection-less Lightweight Directory Access Protocol）リフレクションというUDP手法を用い、2.3テラビットのトラフィックが発生しました。AmazonはAWS Shieldによってこの攻撃を防いだと述べています.

DoS攻撃を防ぎ解消する手立て

攻撃を早期に検知できれば、迅速な対処が可能になります。以下は、このリスクに対抗するためのいくつかの対策です.

• 対策１: 攻撃検知支援ツールを活用する.

多くの企業は、DDoS攻撃を軽減するための技術やサービスに依存しています。これらを利用することで、正当なトラフィックの急増やDDoS攻撃を検知できます。この対策はDoS攻撃予防において非常に重要です.

• 対策２: インターネットサービスプロバイダーに連絡する.

ネットワークが攻撃を受けていると判断された場合、速やかにISPに連絡し、トラフィックの迂回が可能か確認してください。また、バックアップとして別のISPの用意も有用です。多数のサーバを経由してDDoSトラフィックを分散させるサービスの利用も、攻撃の影響を軽減する手立てとなります.

• 対策３: ダークルーティングの検討.

「ダークルーティング」はISPが用いる手法で、大量のトラフィックを誤った経路、すなわちダークルートに振り向け、ターゲットのサイトやネットワークの停止を防ぎます。ただし、正当なトラフィックも同様に振り分けられる欠点があります.

• 対策４: ファイアウォールとスイッチの設定を行う.

不正なトラフィックは、ファイアウォールやスイッチで遮断する必要があります。最新のセキュリティパッチが適用されているか確認してください.

• 対策５: フロントエンド装置の検討.

サーバにトラフィックが到達する前に、ネットワークに組み込まれたフロントエンド装置がパケットの分類やフィルタリングを支援します。データがシステムに入ると、必要なもの、通常のもの、または危険なものとして仕分けされ、潜在的に有害なデータの遮断にも役立ちます.

‍

中小企業はどのようにしてDoS攻撃から守るか

規模が小さい、たとえばシンプルなサービスサイトの場合、DDoS攻撃を避けるのは容易ではありません。しかし、万全の対策を講じることで、攻撃の被害を最小限に抑えることが可能です.

以下はDoS攻撃対策のためのいくつかのヒントです:

• セキュリティソフト、OS、アプリを常に最新の状態に保ち、攻撃者が悪用し得る脆弱性を修正する.
• 定評のあるセキュリティソフトとして Norton Security の導入も検討する.
• DDoS対策機能を備えたスイッチや、セキュリティを重視したネットワーク管理サービスの利用を考慮する.

サイバーセキュリティにおいて、シンプルな対策が大きな効果をもたらす場合があります。一方、大企業となると対策は格段に複雑になります.

WallarmはどのようにDoS攻撃から守るか

WallarmのNG WAFソリューションは、複雑なクラウド環境下でもAPIやマイクロサービスを多種多様な脅威から守るために設計されています。積極的な脅威検出と脆弱性発見機能により、従来のWAFよりも効率的なDevSecOpsツールとなっています.

従来のソリューションとは異なり、WallarmのCloud Engineは強力なフィルタリング機構と、悪質なトラフィックを検知する高度な仕組みを備えています。脅威が到達すると即時に通知が届き、Wallarmダッシュボードでトリガーやアラートを確認して迅速に対応できるため、悪質なボットや攻撃システムは意図通りに動作できません.

また、自動スキャンとレポートを有効にすることで、潜在的な問題点を検出し、DDoS攻撃へのセキュリティ体制をより把握できます。これにより、貴社は常に適切な対策プランを維持できます.

Panasonicのような大手や、SEMRushのような一流企業は、このツールとWallarm API Securityプラットフォームを併用し、多様な脅威から包括的に守られ、複雑なデジタル環境下でも円滑な運用を実現しています.