ティアドロップ攻撃―その内容とは

定義と、なぜ現在の名前で呼ばれるのか

まず、最も単純なティアドロップ攻撃の定義とは、標的のソフトウェア/アプリ/システムに僅かな改ざんコードが挿入される攻撃です。通常のDDoS攻撃では、標的システムに大量のリクエストやトラフィックが送られ、正規の利用者が利用できなくなります。目的は同じですが、ティアドロップ攻撃では悪意あるコードやリクエストがゆっくりと連続して挿入されます。

主に、古いまたは時代遅れのコンピュータシステムを破壊するために用いられます。これらのシステムは処理速度が遅く、IP/TCPのフラグメントに不具合があるため、改ざんパケットを正しく統合できません。やがて、不具合が蓄積し、システムが停止してしまいます。 

この攻撃はIP/TCPフラグメントを利用しているため、IPフラグメンテーション攻撃の一種でもあります。

では、なぜ「ティアドロップ攻撃」と呼ばれるのか、その由来を見てみましょう。攻撃に使用される不具合コードは非常に小さく、断片的です。大きな部分のごく一部をゆっくりと挿入する点が、一粒の涙に似ています。人が生涯で流す無数の涙の中の小さな一滴で、一粒だけでは大きな影響は与えませんが、大量になると感情が崩れるのと同じ意味を持ちます。 

‍

ティアドロップ攻撃の動作

すべてのシステムは、一度に限られた情報のみを処理するよう設計されています。そのため、ネットワークはトラフィックを小さな断片に分割し、各断片にフラグメントオフセットフィールドの番号が割り当てられます。全断片を受信後、その番号に従ってメッセージが再構築され、届けられる仕組みです。 

IPティアドロップ攻撃では、ハッカーがフラグメントオフセットフィールドにバグを仕込み、断片の順序付けを不可能にします。順序が整えられないため、改ざんされた断片がシステム内に次第に蓄積し、最終的にクラッシュします。 

ティアドロップ攻撃の重要性

ベンダーからサポートを受けられない旧式システムは、ティアドロップ攻撃に直面すると完全に停止してしまいます。もっとも有名な例は、2014年に米国人事管理局（OPM）で発生した攻撃です。この攻撃により、数百万人分の米国政府職員の記録が中国のハッカーの手に渡りました。システムが古いため、データの復旧が困難となりました。

‍

この攻撃の主な被害対象

ティアドロップ攻撃は旧式システムにのみ影響を及ぼします。こうしたシステムは、病院、政府機関、銀行、金融機関などで見受けられ、調査によれば約56%の病院・医療機関が旧型OS搭載のコンピュータを使用していることが判明しています。したがって、これらが主要な被害対象となります。

‍

ティアドロップ攻撃の対策と防止

最新の調査によれば、約30%の組織がWindows 3.1xやWindows NTなどの旧型OSを搭載したコンピュータやラップトップを依然使用しています。これらのシステムはすべてティアドロップ攻撃の対象となりやすいため、効果的な対策を講じる必要があります。 

ティアドロップ攻撃の防止策の一つとして、パッチが提供されていないシステムに対して、サーバーメッセージを遮断するために139番および445番ポートを無効化することが挙げられます。 

ネットワーク層でファイアウォールを利用することも重要です。ファイアウォールはデータをフィルタリングし、ティアドロップ型DDoS攻撃のリスクを低減します。 

キャッシングサーバーを活用すれば、DDoS攻撃が発生した場合でもウェブサイトの継続運用が保障され、ティアドロップ攻撃の悪用を防ぐことが可能です。プロキシサーバーを使用すれば、侵入してくるトラフィックを早期に監視し、データ断片の検出が容易になります。

Wallarmはどのように役立つか

Wallarmはアプリセキュリティ業界のリーダーとして、ティアドロップ攻撃をはじめとする各種攻撃に対する効果的な対策ツールを提供します。技術力を駆使したCloud WAFは、さまざまなデータ断片からウェブサイトを守ることができます。誤検知ゼロと自動ライブラリ検出機能により、ティアドロップ攻撃やその他のOWASPトップ10の脅威を効果的に回避します。