DDoS攻撃新時代に求められる対策とは：IoT機器を悪用した数百Gbpsクラスの攻撃も登場

インターネット普及期から存在するDDoS攻撃は、この1年ほどで大きな変化が見られるという。IoT機器を悪用し、数百Gbpsという大規模な攻撃が発生しているのだ。桁違いのDDoS攻撃からシステムを守るためには、これまでとは異なるアプローチでのセキュリティ対策が必要になる。DDoS攻撃“新時代”に対応したマクニカネットワークスのソリューションを紹介する。

[PR／ITmedia]

PR

　サイバー攻撃といえば、マルウェア感染や不正アクセスによる情報流出――というイメージを持つ人が多いだろう。しかし、自社のビジネスや評判に影響を及ぼす恐れのあるサイバー攻撃は他にもある。その1つがDDoS（Distributed Denial of Service＝分散型サービス拒否）攻撃だ。

　この直訳では意味が分かりくいが、DDoS攻撃とは、一種の嫌がらせと考えればいいだろう。例えば、企業の代表電話に多数の電話をかけて機能停止に陥れるのと同じように、DDoS攻撃ではさまざまな場所にある複数のPC（コンピュータ）から、特定のWebサーバなどに処理能力を超える大量の通信を送りつけて応答できない状態に陥らせ、業務継続を妨害したり、サービスを提供できないようにしたりしてしまう。

　DDoS攻撃は、インターネットの普及期から存在した。攻撃者の目的はさまざまだ。政治的なアピールや自然保護といった特定の主義主張を掲げて攻撃することもあれば、サービスの継続と引き換えに金銭を要求することもある。時には、非がないのに、とばっちりで攻撃を受けることすらある。いずれにせよ、DDoS攻撃のターゲットになってしまうと、特にオンラインで何らかのサービスを提供している場合には大きな逸失利益が生じ、世間一般のイメージにも影響することは確かだ。

マクニカネットワークス 営業統括部 サイバーセキュリティ第2営業部 第3課の原口正太郎氏

　さて、マクニカネットワークス 営業統括部 サイバーセキュリティ第2営業部 第3課の原口正太郎氏によると、最近はDDoS攻撃において変化が見られ、攻撃の「大規模化」が顕著になっているという。

　「かつてのDDoS攻撃は、最大でも10〜20Gbps程度の規模でした。しかし、最近では100Gbps超の通信が押し寄せ、サーバが麻痺する以前にネットワーク回線そのものが埋まってしまうこともあります」（原口氏）。文字通り、これまでとは桁違いの攻撃が押し寄せる時代が到来しているのだ。その背景と対策法を探ってみよう。

IoT機器の増加にともない桁違いに大規模化しているDDoS攻撃

　DDoS攻撃のポイントは、攻撃元のPCが必ずしも意図的に攻撃を行っているわけではないことだ。中には直接、攻撃者に操られているケースもあるが、大半は悪意を持たない多数のPCがマルウェアに感染して真の攻撃者によって操られてしまい、攻撃に加担させられてしまう。攻撃に用いられるPC群、いわゆる「ボットネット」が時間単位で利用できるサービスとして貸し出されることもあり、「攻撃に関する技術や知見がない人物でも、コストをかけずに大規模な攻撃を行える状況になっているのです」（原口氏）。実際に日本でも、安易にこうした攻撃サービスを利用した学生が逮捕されるケースが報じられている。

　この傾向に拍車をかけるとみられるのが、Internet of Things（IoT）の普及だ。ルータはもちろん、監視カメラやさまざまなセンサー機器がインターネットにつながり、クラウドを介してスマートフォンから操作したり、データ解析によってきめ細かなサービスを実現したりするなどの可能性が広がりつつある。だが同時に、かつてPCの世界で発生したのと同じ問題が、IoTの世界でも繰り返される恐れがある。

　例えば、企業で利用しているPCやサーバにおいて、セキュリティソフトの導入や適切なパスワード設定といった対策を何ら講じないままインターネットに直接つなぐなどということはあり得ない、というのが今の常識だ。しかしIoTの世界では、そうした運用が現在も行われ、攻撃者によって悪用されかねない状態となっている。

　そのことを如実に示したのが、2016年9月以降猛威を振るっているマルウェア「Mirai」だ。このマルウェアは、インターネットに接続されたIoT機器にパスワード総当たり式で侵入してIoT機器のボットネットを形成し、攻撃者からの指令を受けてターゲットにDDoS攻撃を仕掛ける。対策が進んでいるPCに比べ、無防備なIoTデバイスは多数に上り、しかも年々増加している。この結果、数百Gbpsというこれまでとは桁違いの規模のDDoS攻撃が行われ、複数のサイトが被害を受けている。

　「IoTがどんどん進化する一方、セキュリティが追いついていないのが現状です。IoTでの対策も少しずつ始まっているものの、それ以上のペースでIoTデバイスが増加しており、Miraiボットの亜種も増えていくとみられます」（原口氏）

　しかも、DDoS攻撃の手法自体も高度化しているという。従来に見られた「SYN Flood」と呼ばれる単純な手法だけでなく、「ありとあらゆるレイヤを使って攻撃してくるため、サーバやネットワーク機器に与える負荷も大きくなっています」と原口氏。この結果、DDoS攻撃の被害が増加しており、国内の企業や組織から同社への相談も増えているそうだ。中には、DDoS攻撃を受けた組織から緊急対応を求められ、慌てて駆け付けたこともあるという。

オンプレミス側だけでは困難、クラウドベースのDDoS対策を

　DDoS攻撃は、インターネット通信の仕組みに便乗するという性質から、根本的な対策が難しい。攻撃を仕掛けてくる送信元IPアドレスを特定し、不正侵入防止システム（IPS）やDDoS対策専用装置で当該通信をブロックするといった対症療法的な方法はあるが、攻撃者以外の通常のユーザーを巻き添えにしてしまう恐れがあり、正規の通信にまで影響しかねない。

　しかも、「攻撃が大規模化し、種類が多様化している中、従来のようにオンプレミスのみでDDoS攻撃対策を実施するのは難しい状況になっています」（原口氏）のが現状だ。特に数百Gbpsクラスの大規模なDDoS攻撃を受けた場合、対策機器の性能以前に、ネットワークの帯域自体が不正な通信によって埋め尽くされてしまい、対策がいっそう困難になる。

　こうした課題を踏まえてマクニカネットワークの提案するDDoS対策ソリューションが、クラウドベースのDDoS対策サービス「Imperva Incapsula」だ。Incapsulaは、長年にわたってWebアプリケーションファイアウォール（WAF）製品を開発してきた米Impervaが提供するDDoSプロテクションサービスで、WAFの機能に加え、コンテンツ配信ネットワーク（CDN）機能、ロードバランス機能と組み合わせて提供される。

Webシステムなどを標的したさまざまな不正通信をクラウド上で排除する

　Imperva Incapsulaは、企業や組織に向かうトラフィックをリバースプロキシとして処理する。世界30カ所に配置したデータセンター拠点負荷を分散することにより、100Gbps超クラスの大規模なDDoS攻撃を受けても、攻撃発生源に近いところで不正なでトラフィックを排除し、企業のサービス継続を支援する。クラウドベースのサービスであることから、ユーザーは対策機器の調達などを待たずに速やかに導入できる。DNS（Domain Name System）やBGP（Border Gateway Protocol）の設定を変更するだけであり、自社のネットワーク構成に応じて柔軟に導入できることも特徴だ。

　また、長年ImpervaがWAF製品で蓄積してきたノウハウをベースに、高度な方法でアクセス内容を判断できることも大きな特徴だ。「WAFから生まれたDDoS対策サービスですので、WAFのテクノロジーを活用し、通信が悪意あるボットによるものか、それとも正規ユーザーのアクセスなのかを見極めるインテリジェンスを備えています。Cookieを付けたり、時にはCAPTCHAによって人間かどうかを確認するなど、多種多様な方法で見極める機能を持っています」と原口氏は説明する。従来のように、しきい値を超えたら一律にアクセスを遮断する仕組みでは、正規ユーザーまでもシャットダウンする恐れがあるが、Imperva Incapsulaではそうした心配なくDDoS攻撃のみをブロックする。

DDoS対策とWAF、CDN、負荷分散をひとまとめに提供、無料のトライアルも可能

　現在、企業システムをオンプレミスからクラウドに移行させる動きが広まるにつれ、クラウドベースのセキュリティソリューションを採用する動きも広がっている。そこで気になるのは、クラウドベースのセキュリティソリューションがオンプレミスと同等の機密性や性能を確保できるのか、という点だ。

　Imperva Incapsulaのサービスでは、東京や大阪にもデータセンターが用意されており、日本のユーザーの通信は国内で処理される。しかも、DNSによるノードの振り分けやキャッシュの活用、TCPコネクションの最適化といったさまざまなCDN機能を同時に活用できるため、「通信の遅延を懸念する人もいますが、Imperva Incapsulaの導入によってむしろ高速になります」（原口氏）という。

日本を含む世界約30カ所のデータセンターで、不正な通信を排除しながら、遅延の少ない通信を確保している

　また原口氏は、「Imperva IncapsulaのDDoS対策機能は、他のクラウドベースのDDoS対策とは異なり、買収によって後から追加されたものではありません。ベースのライセンスにWAFとCDN、負荷分散、そして1Gbps分のDDoSプロテクション機能が付属していますから、比較的安価に対策を実施して、コストメリットが高いのが特徴です」と話す。加えて、無償のトライアルサービスを用意しており、気軽に試せることも利点だろう。原口氏によれば、ある組織が突然DDoS攻撃を受けて慌てて同社に対応を緊急依頼し、Imperva Incapsulaのトライアル導入で当面の攻撃をしのぎつつ、そのまま正式導入したケースもあるそうだ。

　マクニカネットワークスは、2011年からImperva製品を取り扱ってきたノウハウを活用し、DDoS攻撃対策はもちろん、深刻な情報漏えいにつながりかねないSQLインジェクションをはじめとするさまざまな不正アクセスから企業サーバを保護していくという。

　DDoS攻撃は、これまで世界的なイベントに便乗して実行されることもあった。将来においては、IoTデバイスの増加も相まって攻撃のリスクが増えることはあっても、減ることはないだろう。原口氏は「DDoS攻撃を実際に受けてから対策を考えるのではなく、受ける前に事前に対策することが重要です。ぜひ『転ばぬ先の杖』として、手を打っていただきたいですね」と呼び掛けている。