WebサービスのDDoS攻撃対策にWAFが効果的

インターネット上で提供されるWebサービスは、利用者に対してサーバーの位置(ドメインやIPアドレス)が開示されていますが、それは攻撃者に対しても位置を知られることを意味します。そのため、攻撃者はサーバーに攻撃を仕掛けることが容易で、その攻撃手段として多く用いられる手法がDDoSです。このDDoSについて、その種類と特徴を知り、Webサービスのセキュリティ対策に役立てましょう。

DDoS攻撃とは

DoS攻撃は” Distributed Denial of Service attack”の略で、攻撃対象に過剰な負荷を意図的にかけ、ネットワークの遅延やサイトへのアクセスを引き起こす攻撃です。DoS攻撃は1台の機器から攻撃を仕掛けますが、DDoS攻撃は複数の機器から一斉に攻撃をしかけます。そのため、DoS攻撃と比較して攻撃力が高く、また攻撃者の身元特定が難しいのが特徴です。

DDoS攻撃を仕掛ける攻撃者は、DDoS攻撃用に複数の機器を所有していることはほぼなく、ボットネットを利用した攻撃が現在の主流です。ボットネットとは、マルウェアを不特定多数の機器に仕掛け、隠密にデータのやりとりが可能なネットワークを構築したものです。このボットネットを利用し、命令サーバーからの指示によって数千、数万の機器からの一斉攻撃を行うケースが多くなっています。

DoS攻撃/DDoS攻撃はさまざまな分類方法があります。目的で分けた場合には遊興、かく乱、破壊などがありますし、サーバーやネットワークなど攻撃対象もさまざまです。また、攻撃手段の面から見ると、大量のトラフィックの送信によってサービス停止を引き起こすフラッド型と、システムの脆弱性を突いてサービス停止を引き起こすエクスプロイト型に分けられます。

以下、フラッド型のDDoS攻撃と、エクスプロイト型のDDoS攻撃について解説します。

フラッド型のDDoS攻撃

フラッド型のDDoS攻撃は大量のトラフィックによりサービスの異常を引き起こす攻撃です。攻撃によって、通常とはトラフィックの分布や量が大きく異なるので、状況からその発生を特定するのは簡単です。しかし、単純なために防御が難しく、また複数地点からの攻撃が行われている場合は攻撃者を特定するのが難しく、また攻撃の種類も多く、対策がとりにくい面があります。

DDoS攻撃は、攻撃対象とするプロトコル(通信のための規約)から、さらに細かく分類されます。

HTTPを狙ったDDoS攻撃

HTTPはインターネット上のサーバーとクライアント側のブラウザが情報をやりとりするための基本的なプロトコルで、通信用のパケットを大量に攻撃対象に送信することでサービス拒否状態を引き起こすことができます。

そのため、極端な話ではありますが、ブラウザの更新ボタンを押すだけでもHTTPによるリクエストがサーバーに送られるため、これをボットネットを利用して行えばDDoS攻撃が可能です。こうした攻撃はブラウザの更新ショートカットキーから、「F5攻撃」と呼ばれることがあります。

TCPを狙った攻撃

TCPは、IPと同様にインターネットにおいて標準的に利用されているプロトコルです。そのため、DDoS攻撃においても多く利用されます。TCPはデータの接続において、接続要求(SYN)や切断要求(FIN)を送り、その間で到達確認のためのACKというパケットのやりとりを定めています。このため、TCPを使った通信では、通信が確立されるまでのプロセスが多くなりますが、安定した通信が可能という特徴をもっています。しかし、その通信確立までの各ステップでDDoS攻撃が行われる危険性があります。

SYNフラッド攻撃と呼ばれるものは、あるIP アドレスから攻撃対象に大量の接続要求(SYNパケット)を送信することで対象の異常を引き起こします。FINフラッド攻撃では、攻撃対象に大量の切断要求(FINパケット)を送って攻撃します。

ACKフラッド攻撃は、ACKパケットを大量に送信する攻撃です。ACKフラッド攻撃では、TCPの本来の通信手順ではない手順が行われます。具体的にはACKパケットがいきなり送信されることになり、サーバーはパケットを受け取ると手順が間違っているため接続拒否(RST)を返します。これを大量に行われると、その処理のためにリソースが使われてしまい、システムのトラブルが生じてしまいます。

また、RST攻撃と呼ばれる攻撃では、不正なRSTパケットが大量に送られるのが特徴です。パケットの受信、チェック、破棄といった作業のためにシステムリソースが使われてしまい、パフォーマンスの低下やシステムダウンを引き起こします。

TCPを狙った攻撃では、Full Connect攻撃にも注意が必要です。TCPでは通信時にハンドシェイクと呼ばれるコネクションの確立が行われています。これは安定した通信を確立するための手続きですが、この特徴を利用して大量のハンドシェイクを発生させ、システムの異常を誘発するのがFull Connect攻撃です。ハンドシェイクを行うためには実際のIPアドレスが必要であることから、この攻撃にはボットネットが使われることが多いです。

UDPを狙った攻撃

UDPはIPやTCPなどと同じく、インターネットで標準的に利用されるプロトコルで、TCPと比べて手続きが簡易で、通信量が軽量になるのが特徴です。そのため、通信においては疎通の確認など、確認の必要性が薄い通信で利用されます。

UDP フラッド攻撃は、大量の UDP パケットを攻撃対象に送信するDDoS攻撃です。UDPのパケットを受け取ると、システムは通信の状態やエラーなどを示すICMP パケットを返します。UDPフラッド攻撃では、大量のUDPパケットが送りつけられ、それに対してシステムはICMPパケットを大量に返信することになります。このときにパケットの受け取りやチェック、返信にリソースが消費されることでシステムの異常が生じやすくなります。UDP ではデータ転送のためにTCPのように接続をセットアップする必要がないため、ネットワークに接続している状況なら誰でも攻撃を行うことが可能です。IoT機器では通信が軽量やUDPが使われることが多く、UDPフラッド攻撃の足台になることがあります。

UDPを使ってDNSに大量のパケットを送りつけるDNS フラッド攻撃にも注意が必要です。インターネットでは、接続先のサーバーを位置を知らせるDNSにアクセスすることで通信先を確立しますが、このときの通信はUDPで行われています。UDPで大量の DNS 要求をサーバに送信すると、DNSはホストに関する情報を返さなくてはなりません。このため、大量のDNS要求を一斉または連続して行うことで、DNS インフラのリソースを消費させ、サービスのパフォーマンス低下やシステムダウンを誘発することができます。

エクスプロイト型のDDoS攻撃

エクスプロイトによる攻撃は、ネットワークやシステムの脆弱性を狙って攻撃をしかけ、機器のトラブルを引き起こします。

Ping of Death 攻撃

Pingは通信を確認するために利用されるコマンドですが、一般的には送信側と受信側の負担を軽減するため、通信確認に必要な最小限のサイズのパケットが送られます。しかし、そういったPingのデータサイズをシステムに許可する最大のサイズにしたり、許可サイズ以上のパケットを送信することでコンピュータやネットワーク機器に大きな負荷をかけるのがPing og Death攻撃です。今はPing og Death攻撃に対しては、ほとんどのシステムで対策が講じられているため被害が出ることは少ないですが、古いIoT機器などではセキュリティ対策が実装されておらず、単純な攻撃でシステムトラブルが生じるため注意が必要です。

LAND 攻撃

LAND攻撃はサーバやネットワーク機器に対し、宛先IPアドレスおよびTCPポート番号と、送信元IPアドレスとTCPポート番号を同じ値にしたTCP接続要求を大量に送り込む攻撃です。このような機能をもった攻撃ツールである「Land」が語源になっています。対策が講じられていないと、応答時に自分に返信をしてしまい、それに対してまた応答して返信して無限ループに陥ってしまいます。するとシステムリソースが消費されてしまい、サービスのパフォーマンスが不安定になるため注意が必要です。

TearDrop攻撃

IPパケットによる通信では、MTUといわれる一定のサイズを超えたサイズのパケットは分割され、受信側で再構築して情報を復元します。TearDrop攻撃は、IPパケットの中で復元に利用するオフセット情報を偽造することで受信側の機器のトラブルを引き起こす攻撃です。対策が行われていないと、機器内で処理の無限ループが始まってしまったり、IP スタックのクラッシュを引き起こしたりします。不正なオフセット値を含むパケットは破棄するなど、あらかじめ機器側でパケットを監視し処理するルールが必要です。

まとめ:WebサービスのDDoS攻撃対策にWAFを導入しよう

DDoS攻撃は古典的なサイバー攻撃の手法ですが、対策が難しい面があります。また、その攻撃手法もさまざまで、攻撃手法に応じた対策が必要です。近年のDDoS攻撃の特徴は、ボットネットを利用した大規模な攻撃が行われることで、世界中から毎秒何百GBもデータを送られた例もあります。こうした攻撃に対処するためには、通信を自動的に監視し、必要に応じた処理を行うセキュリティ対策が欠かせません。WAFはDDoS攻撃対策にも効果的で、導入も簡単なためWebサービスのセキュリティ強化に活用してみるとよいでしょう。

WRP代表ライター。 元経営コンサルタントで、企業のITやセキュリティの支援を担当。Webやブログの黎明期からWebマーケティングに関わり、Web全般を得意とする。SEO知識とIT知識を武器にするIT系ライター。 Webライティングだけでなく、専門性を活かし、中小企業向けのIT導入相談、セキュリティ相談、ソフトのローカライズ(日本語化)支援、研修や試験のテキストや解説書の作成なども手掛ける。