DDoS攻撃 DDoS (分散型サービス拒否) 攻撃とは
DDoS (分散型サービス拒否) 攻撃は、複数の侵害されたシステム (通常はボットネットとして統合) から、標的となるネットワーク、サーバー、またはオンラインサービスに大量のトラフィックを送りつけるサイバー攻撃です。こうしたトラフィックの急増により、標的となったシステムの速度が低下したり、クラッシュしたりすることで、正規のユーザーアクセスが拒否される可能性があります。DDoS攻撃は、サイバー脅威の中でも最も破壊的な影響を及ぼすものの1つであり、長時間のダウンタイム、経済的損失、信用低下につながる恐れがあります。業種を問わず、クラウドベースのサービスやオンライン運用の拡大に伴ってDDoS攻撃のリスクと影響が増大しています。
- DoS攻撃とDDoS攻撃の違い
- DDoS攻撃の種類
- DDoS攻撃を軽減する方法
- HPE Aruba NetworkingのDDoS対策
DoS攻撃とDDoS攻撃の違い
DoS (サービス拒否) とDDoS (分散型サービス拒否) は、どちらもサービスの利用を妨げることを目的とする攻撃ですが、その手法と規模は大きく異なります。DoS攻撃は通常、単一の攻撃元から開始され、大量のリクエストを送信してサーバーまたはネットワークのリソースに負荷をかけ、正常に機能できなくなるまで攻撃します。DoS攻撃は、影響は大きいものの、発生源が1か所であることから、通常は簡単に検知して軽減できます。
それに対してDDoS攻撃は、複数の攻撃元 (さまざまな地域に分散していることが多い) を利用して攻撃を実行します。これらの攻撃元 (通常は攻撃者によって制御されている感染デバイス) がボットネットを形成します。攻撃者はボットネットに指示して、Webサイトやアプリケーションなどの標的に、リソースを使い果たして応答不能になるほど大量のリクエストを送信します。DDoS攻撃は、その分散型という性質上、さまざまなIPアドレスや地域から送信されているように見えるため、ブロックするのが非常に困難になります。そのため、DDoS攻撃に対抗するのは極めて難しく、膨大な量のトラフィックを処理して正規のユーザーと悪意のあるユーザーを識別できる、高度な多層防御が必要になります。
DDoS攻撃の種類
DDoS攻撃は、OSIモデルの各レイヤーに潜む脆弱性を悪用します。攻撃者は、特定のレイヤーを標的にしてネットワークパフォーマンスのさまざまな側面に悪影響を及ぼし、サービスの利用を妨げる可能性があります。DDoS攻撃は、主に、ボリュームベースの攻撃、プロトコルベースの攻撃、アプリケーション層攻撃の3種類に分類されます。
ボリュームベースの攻撃
ボリュームベースの攻撃は、標的の帯域幅に高負荷をかけることに重点を置くもので、通常は、ネットワーク層 (レイヤー3) を標的にしてネットワークに大量のデータを流し込みます。その目的は、利用可能な帯域幅をすべて使い果たし、正規のトラフィックがサーバーに到達するのを阻止することにあります。
- UDPフラッド: UDPフラッドでは、大量のUser Datagram Protocol (UDP) パケットがサーバー上のランダムなポートを標的にし、ネットワークに過剰な負荷をかけて帯域幅を使い果たします。UDPフラッドは、標的となるポートが閉じられている場合、ネットワークトラフィックを増やして攻撃を激化させ、サーバーにICMP宛先到達不能エラーメッセージで応答させることができます。
- ICMPフラッド (pingフラッド): ICMPフラッド (pingフラッドとも呼ばれる) は、大量のICMPエコー要求 (ping) をターゲットサーバーに送信します。サーバーが各pingに応答しようとすることで、ネットワークリソースが消費されて遅延が発生するほか、極端な例ではサーバーのダウンタイムにつながります。
- 増幅攻撃: このタイプの攻撃は、DNSなどの脆弱なプロトコルを悪用して、ターゲットサーバー充てのトラフィックを増幅します。たとえば、DNS増幅では、オープンDNSリゾルバーを使用して大量の応答データをターゲットに送信し、ネットワークで大規模な輻輳を発生させます。
プロトコルベースの攻撃
プロトコルベースのDDoS攻撃は、ネットワーク層 (レイヤー3) とトランスポート層 (レイヤー4) でプロトコルの脆弱性を悪用します。こうした攻撃がメモリや接続テーブルなどのサーバーリソースを使い果たすことで、正規ユーザーの接続が困難になります 。
- SYNフラッド (レイヤー4): SYNフラッドは、大量のSYN要求を標的に送信しながらハンドシェイクを完了しないことで、TCPのハンドシェイクプロセスを標的にします。これにより、複数の不完全な接続が保留されてサーバーのメモリリソースが枯渇し、最終的には新たな接続がブロックされます。
通常、TCP接続を確立するには、クライアントがサーバーにSYN要求を送信し、サーバーがSYN-ACK要求を返してこれを確認すると、クライアントがACKで応答して接続を確立します。SYNフラッド攻撃の場合、攻撃者は送信元IPアドレスを偽装しながらSYN要求でサーバーに負荷をかけるため、サーバーはクライアントにSYN-ACK応答を返すことができなくなります。 - Ping of Death (レイヤー3): Ping of Deathは、IPプロトコルで定義された上限サイズを超える特大のICMPパケットを送信します。標的がパケットを再構成しようとすると、データサイズが異常に大きいためにクラッシュまたはフリーズし、サービスが中断する場合があります。
- スマーフ攻撃 (レイヤー3): スマーフ攻撃では、攻撃者が偽装されたICMP要求をブロードキャストアドレスに送信すると、ネットワーク上の複数のデバイスが偽装アドレスに応答するようになります。標的に大量のICMP応答が送りつけられ、ネットワークに過剰な負荷がかかます。
- IPスプーフィング (レイヤー3および4): IPスプーフィングは、パケットの送信元IPアドレスを偽装して、攻撃トラフィックが正規の送信元または信頼できる送信元から送信されているように見せかけます。IPスプーフィングは、他のプロトコルベースの攻撃の効果を高めることも多く、真の攻撃元を特定してブロックすることが困難になります。
アプリケーション層攻撃
アプリケーション層 (レイヤー7) 攻撃は、標的に大量のリクエストを送りつけることで、特定のアプリケーションサービスを中断させることに重点を置いています。こうした攻撃は、正規のトラフィックパターンを模倣しているために非常に効果的で、検知や軽減が困難です。
- HTTPフラッド: HTTPフラッドは、Webサーバーに大量のHTTP GETまたはPOST要求を送りつけ、そのリソースを使い果たします。HTTPフラッドがリソース消費量の多い特定のURLを標的にすることで、サーバーの処理能力と帯域幅が枯渇する恐れがあります。
- Slowloris: Slowlorisは、部分的なHTTP要求を完了せずに送信することで、ターゲットサーバーへの複数の接続を開き続けます。開いている各接続を維持しようとするとサーバーのリソースが消費され、最終的には正規ユーザーに対するサービスの拒否が発生します。
- DNSクエリフラッド: 攻撃者がDNSサーバーに過剰なDNSクエリを送りつけることでリソースを使い果たし、正規の要求に応答できないようにします。攻撃者がDNSインフラストラクチャを攻撃し、特定のドメインに関連付けられたサービスの利用を妨げる恐れがあります。
- ボットベースの攻撃: ボットネット (感染したデバイスのネットワーク) が、正規を装った大量のリクエストをサーバーに送信する可能性があります。これらのリクエストは一般的なユーザー行動に似ており、通常のトラフィックと悪意のあるトラフィックを区別することは困難です。
DDoS攻撃を軽減する方法
DDoS攻撃を効果的に軽減するには、悪意のあるトラフィックのフィルタリング、検知、対応に役立つ防御策を組み合わせて実行する必要があります。一般的には、次のような手法が使用されています。
- レート制限: 単一のIPアドレスから許可されるリクエストの数を制限することで、DDoS攻撃によるサーバーへの過負荷を回避できます。レート制限では、機械学習を活用してリクエスト数のしきい値を自動調整できるため、DDoS攻撃の発生時も動的かつ正確な制御が可能になります。また、レート制限によって疑わしいトラフィックをフィルタリングすることで、正規のリクエストと悪意のあるリクエストを区別しやすくなります。高度なセキュアSD-WANソリューションなら、こうした機能を統合して、組織をDDoS攻撃から保護することができます。
- ゼロトラストネットワークアクセス (ZTNA): ZTNAは、最小権限の原則を適用し、ユーザーIDに基づいてネットワークリソースへのアクセスを制限します。悪意のある攻撃者が重要なシステムに不正にアクセスするリスクが減り、DDoS攻撃がネットワークの機密部分にまで到達しにくくなります。
- ファイアウォール: Webアプリケーションファイアウォール (WAF) は、ネットワークとそのユーザー間のリバースプロキシとしての役割を果たすもので、受信リクエストを検査し、悪意のあるトラフィックを検出してブロックします。WAFは、特にアプリケーション層攻撃に有効です。また、IDS/IPS機能を備えた次世代ファイアウォール (NGFW) は、既知の攻撃シグネチャと異常なトラフィック挙動を検出して対応し、DDoS攻撃の兆候となり得る疑わしいリクエストをプロアクティブに阻止することで、保護を強化します。
- ブラックホールルーティング: この手法を使用すると、トラフィックをNullルートに誘導し、効率的に破棄できます。DDoS攻撃が特定のIPアドレスを標的にしている場合、ネットワーク管理者は当該IPへのすべてのトラフィックをドロップするようにルーティングを設定できます。また、SD-WANソリューションでは、影響を受けていないネットワークリンクを介してトラフィックを動的にルーティングできるため、他のネットワーク領域への接続を維持できます。
- コンテンツ配信ネットワーク (CDN): CDNは、さまざまな地域にある複数のサーバーにネットワークトラフィックを分散することで、過負荷のリスクを最小限に抑えます。CDNインフラストラクチャ全体に負荷を分散することで、DDoSのトラフィックを吸収、分散しやすくなります。
DDoSを効果的に軽減するには、通常、これらの手法をいくつか積み重ねて、包括的な保護を実現する必要があります。プロアクティブな監視と定期的なテストの実施も、進化するDDoS戦術に対する防御の有効性を維持するうえで役立ちます。
HPE Aruba NetworkingのDDoS対策
HPE Aruba NetworkingのDDoS対策は、Secure Access Service Edge (SASE) プラットフォームに統合されており、セキュアSD-WAN機能とMLベースのアダプティブDDoS対策およびゼロトラストネットワークアクセス (ZTNA) を組み合わせることで、DDoS攻撃から保護する高度なツールを提供します。
HPE Aruba Networking SASEは、セキュアなEdgeConnect SD-WANを通じて機械学習を活用し、現在のネットワーク挙動に基づいてDoSしきい値をリアルタイムで動的に調整します。このアダプティブDDoS機能には、防御管理を強化する2つのコア機能 (自動レート制限とスマートバースト) が含まれています。自動レート制限では、機械学習によるネットワークパターンの分析に基づいてトラフィックの最小しきい値を設定します。スマートバーストでは、未使用のフロー容量をファイアウォールのゾーン全体に分散することで、正規のトラフィックバーストに対応し、悪意のあるトラフィックによるネットワーク帯域幅の使用を制限します。これらの機能を組み合わせることで、悪意のあるトラフィックによる障害を回避しつつ、ビジネスクリティカルなアプリケーションのスムーズな運用を維持できます。
また、このソリューションが提供するさまざまなリアルタイム分析およびレポートツールにより、管理者はしきい値違反を監視し、主なトラフィックソースを確認し、DDoSイベントを分析することができます。こうした可視化により、ネットワークチームでは十分な情報に基づいた調整が可能になり、新たな脅威に対応したネットワークセキュリティを維持できます。EdgeConnect SD-WANに組み込まれた次世代ファイアウォールは、IDS/IPSやロールベースのセグメンテーションなどの機能によってネットワークの保護を強化します。IDS/IPSで攻撃パターンを検知し、セグメンテーションでネットワーク内のラテラルムーブメントを制限します。
HPE Aruba Networking ZTNAは、「決して信頼せず、必ず確認する」というアプローチに従い、内部サービスをインターネットで非公開にすることで、DDoS攻撃の侵入地点を排除します。認証済みの正規デバイスだけが特定のリソースにアクセスできるため、攻撃者がサービスを直接標的にすることは不可能になります。VPNとは異なり、広範なアクセスを許可しないZTNAでは、アプリケーションのセグメンテーションにより、承認済みリソースに厳密かつ一意の接続を適用することで、攻撃対象領域を減らして脅威を封じ込めます。HPE Aruba Networking ZTNAは、常にアイデンティティを確認することで、正規トラフィックのみが承認済みアプリケーションに到達できるようにし、ネットワークリソースが過負荷状態になるリスクを最小限に抑えて、大規模な攻撃の実行可能性を低減します。
HPE Aruba Networking SASEには、SD-WANとZTNAに加えて、Webベースの脅威からユーザーとデバイスを保護するSWG (セキュアWebゲートウェイ) と、使用状況を監視してデータロスを回避し、SaaSアプリケーションへのアクセスを保護するCASB (クラウドアクセスセキュリティブローカー) が組み込まれています。
HPE Aruba Networking SASEでは、これらのテクノロジーを統合して多層型のDDoS対策を実現しており、組織がネットワークの完全性とセキュアなビジネス運用を維持しながらDDoS攻撃の影響を軽減するうえで役立ちます。
