DDoS攻撃で金銭脅迫、一般人も犯罪に加担させられている？：半径300メートルのIT（2/2 ページ）

[宮田健，ITmedia]

　ただ、今回の一件は「メール」でその名前を出しただけであり、ひょっとしたら、その名前が持つ権威だけを借りた、模倣犯／愉快犯の可能性もあります。振込先も足が付きにくい仮想通貨ですし、DDoS攻撃も攻撃元の特定は困難です。そのため、今回の攻撃が上記のグループによるものかどうかというのは全く分かりません。こうなると企業は、純粋に「DDoS攻撃対策」を考えるしかないのです。

DDoS攻撃の対策方法は

　しかし、そのDDoS攻撃対策こそが難しいのも事実です。例えば、攻撃を受けたのがサービス規模の大きいオンラインゲームなら、DDoS攻撃に伴うリスクも大きいため、多額のコストをかけて守ることもできます。しかし、個人サイトや小規模企業のサイトをDDoS攻撃から守ろうとしても、コスト面で見合わないのです。

過去、「Krebs on Security」というセキュリティに詳しいブロガーのサイトが、DDoS攻撃を仕掛けられたことがあります。この時には1Tbpsのトラフィックがやってきたということで、大きな話題になりました

　一般企業ができる対策は、CDNと呼ばれるキャッシュサービスを間に入れ、そこで管理をしてもらうことくらいしかないでしょう。CDNサービス大手のCloudflareは先日、DDoS攻撃への対策機能を提供すると発表しました。

　しかし、根本的な対策が難しいという点は変わりません。企業はDDoS攻撃が来たときに「サービスを止めることが可能か」「誰が止めることを決断するか」「サーバが止まったときに利用者に情報伝達する手法はあるか」など、さまざまな決断／選択を、平時にあらかじめ決めておくことが重要です。

踏み台として犯罪に加担しないために

　今回の話は主に、「企業」に関することですが、「個人」である私たちにもできる対策が1つだけあります。それは「踏み台にならぬよう、セキュリティの基礎体力を上げること」です。

　そもそも攻撃者が、「DDoS攻撃」を行うためのサーバやPCをどう調達しているかというと、アップデートが行われていない脆弱なマシンを間借りしているのです。つまりこれは、「ある日、あなたの“感染済み”PCが指令を受け、DDoSの攻撃元となるかもしれない」ことを意味しています。

　こうした事態を防ぐためには、OS、アプリケーションのアップデートを行うだけでなく、ブロードバンドルーターのアップデートや、IoT機器と呼ばれるようなネットワークとつながる機器のアップデートが必要なのです。むしろそれこそが、DDoS攻撃を止める、最良の対策になるのです。

　企業を脅迫し、金銭を要求するサイバー攻撃は、決して他人ごとではありません。企業で働く人間として、そしてインターネットを活用する個人として、今回の事件を通じて、ほんの少しだけでもサイバー攻撃の恐ろしさを“自分ごと”として捉えてほしいと思うのです。

著者紹介：宮田健（みやた・たけし）

『デジタルの作法』

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より：

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド＆PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。