DoS攻撃は、WEBサイトへの過剰アクセスの実施などで攻撃目的を達成できることから、すべてのWEBサイトが攻撃対象になるリスクがあります。また、攻撃者の視点に立つと、数あるサイバー攻撃の中でも比較的簡単に実行できる攻撃です。ここではDoS攻撃の内容と攻撃が行われる背景を解説するとともに、具体的な対策を見ていきます。
目次
1. DoS攻撃とは
1-1 DoS攻撃
DoS攻撃(Denial of Services Attack , サービス拒否攻撃) とは、サーバーやネットワーク機器などに対して実施される攻撃手法の1つです。意図的に過剰な負荷をかけるなどの行為により、ネットワークの遅延やサイトへのアクセスできないようにしてサイトの正常な運用や業務を妨害する攻撃を指します。
DoS攻撃はサイトに侵入して情報搾取などを目的とする攻撃と異なり、大量のトラフィックを送り付けることで目的を達成することもできます。
なお、DoS攻撃が発生すると標的となったサイトへの通信負荷だけではなく、ネットワーク事業者側の帯域に過負荷がかかります。つまり、他社が受けたDoS攻撃であっても、同じネットワークを使っている別のユーザーへ影響することになるため、自社のセキュリティ対策だけは防御しきれないケースもある厄介な攻撃で、WEBサイトを運用しているすべての組織が被害を受ける可能性がある攻撃でもあります。
1-2 EDoS攻撃
EDoS攻撃(economic denial of sustainability attack)と呼ばれる経済的ダメージを与えることを目的とした攻撃があります。例えば、クラウドの従量課金型サービスを利用しているサービスにDoS攻撃を仕掛けて外部から過剰なトラフィックを発生させれば、運用者側に過剰なコスト負担をさせることができます。
1-3 DDoS攻撃との違い
DoS攻撃に類似する言葉でDDoS攻撃 (Distributed Denial of Service Attack,分散型サービス拒否攻撃) がありますが、これはDoS攻撃を分散型の攻撃方法に進化させたものです。DoS攻撃は、1台のシステムから攻撃を行うのに対して、DDoS攻撃は、複数のシステムから標的となるサーバーやネットワーク機器などに対して、一斉に攻撃します。
1-4 DoS攻撃が発生する背景
DoS攻撃は他のサイバー攻撃と異なり、その目的の多くは機密情報の搾取ではありません。主な目的は攻撃対象のインターネット上での活動を停止・遅延させることです。それでは、なぜそのような目的のために攻撃を仕掛けてくるのでしょうか。代表的な背景について記載します。
背景1:営業妨害、いやがらせのため
お店の前に大量のごみを投棄して業務を妨害することが威力業務妨害になるのと同様、ネットワークに意図的に過剰負荷をかけて業務を妨害する行為も業務妨害罪になります。DoS攻撃はこのような業務妨害やいやがらせ等を目的としている場合があります。
背景2:経済的損失を与えるため
上記で記載したEDoS攻撃のように従量課金型サービスを利用しているサイトに過剰トラフィックを送り予算以上の金銭的負担をさせる、ECサイトなどを対象にサーバーダウンに追い込み、機会損失させることにより売上を毀損させるといった目的のために行われる場合があります。
背景3:報復のため
解雇された社員による報復や組織に不満を持つ社員による攻撃が挙げられます。DoS攻撃はDoSアタックツールなども出回っており、専門知識がなくても比較的簡単に実行できてしまいます。
背景4:政治的意図や抗議のため
国や公共団体、大企業のサイトがDoS攻撃(多くの場合はDDoS攻撃)を受けたという報道を聞くこともありますが、政治的な意図を持って行われることもあります。政治的な意思表示や政治目的の実現のためにハッキングなどの手段を用いてその思想などを主張するハクティビストと呼ばれる組織・集団が予告したうえで攻撃を行うことがあります。日本でも捕鯨やイルカ漁に対する抗議として、それに反対することを社会に伝えるために、関連する組織などのWEBサイトに攻撃を仕掛け、社会に対してメッセージを発信されたことがあります。
背景5:サイバー犯罪者の金銭目的のため
サイバー犯罪者が利益のために行うケースで、金銭の支払い要求に応じないとDos攻撃によりサーバーをダウンさせると脅迫し、金銭を搾取します。
背景6:好奇心・愉快犯
ネット上でDoS攻撃のツールや手法が公開・売買されていたりします。それを利用したり、それを真似て自分のスキルを試したり、好奇心から攻撃を行うケースもあります。
(背景1に記載した通り、DoS攻撃を行うことは業務妨害(電子計算機損壊等威力業務妨害罪)になります)
2. DoS攻撃の代表的な手法
DoS攻撃は大きく分けると以下の二つの手法があります。
2-1 大量にリクエストを送り付ける手法
代表的な攻撃としてF5攻撃と呼ばれる、WEBブラウザの画面更新を一斉に実行することで大量のリクエストを送り、システムをダウンさせる手法があります。Windowsの場合、F5キーを押すと表示の更新がされ、サーバーにリクエストが送られます。F5を一斉に連打することで膨大な量のリクエストを送り、過負荷によりシステムダウンを起こすことがあります。
2-2 脆弱性を悪用する手法
例えば、HTTPサーバーの脆弱性を利用してDoSを引き起すリクエストを送信することで攻撃対象のメモリーを溢れさせる攻撃などがあります。これにより標的となったサービスへのアクセスが不能になるなどの被害が発生します。
3. DoS攻撃の対策
DoS攻撃は標的となったWEBサイトやサーバーに大量のトラフィックを送り付けることでサービスの遅延や停止を仕掛けてきます。単純に考えると、攻撃の通信規模を超える(大量アクセスに対応できる)サーバーを準備できれば怖いものはないですが、コスト面等の観点からその対応ができない場合でも以下のような対策が考えられます。
3-1 IPアドレスの監視
自社サイトにアクセスされているトラフィック元のIPアドレスを監視します。例えば、国内向けのサービスしか展開していないのに、海外のIPアドレスからの過剰なトラフィックがあれば注意が必要です。
3-2 同一IPアドレスからのアクセス回数に上限を設ける
短時間に同じIPアドレスからの大量のアクセスがあったら正常ではないかもしれません。運用しているサービスの性格やユーザー属性などを元に1日のアクセス回数を制限する(1日に××回まで、など)、一定回数を超えたらロボットではないことを確認するための認証ページに飛ばすなどの対策も考えられます。
3-3 特定のIPアドレスからのアクセスを制限する
モニタリングの結果、異常なトラフィックを発生させているIPアドレスからの通信を遮断する、国外からのトラフィックは遮断するなど、DoS攻撃の可能性がある通信を制限するという対策も考えられます。
3-4 通信量のモニタリング
日々のトラフィック量を時間別にモニタリングします。例えば、前週比・同曜日同時間帯で見た時に、WEB上でキャンペーン等特別なイベントを行っていないにもかかわらず、急激にトラフィックが増えている場合などは注意が必要です。
3-5 DoS攻撃対策ソリューションの導入
攻撃の発信元の可能性があるIPアドレスの特定やトラフィックの監視・分析を個々に行っているとコスト・人件費もかさみます。DoS攻撃に対応したファイアーウォール製品やネットワーク監視システム製品を導入することが、確実でトータルで考えた場合に低コストになることもあります。
3-6 脆弱性対策
脆弱性を突いたDoS攻撃はサーバーやアプリケーションの脆弱性を利用して不正処理を行わせることでサービス停止に追い込む攻撃ですので、脆弱性の診断・チェックを怠らないことが必要です。
4. まとめ
DoS攻撃はすべてのWEBサイトで攻撃の可能性があるので、ほとんどの組織がWEBサイトを運用する今の時代、組織のセキュリティ担当者としては対策必須といえます。
DoS攻撃は防ぐことが難しく、上記対策で見たようにまずは監視を強化し、現状の把握・分析をすることが必要です。監視システムの導入や検知システムの導入といったシステム面の対策だけではなく、自組織のトラフィックの適正値や通常な通信の状態を把握し、異常を検知できるようにしておきましょう。
著者:マカフィー株式会社 マーケティング本部
