DDoS攻撃とはどんな攻撃？
攻撃の種類や対策をご紹介

DDoS攻撃とDoS (ドス) 攻撃とは、いずれもサービスを妨害する目的で行う攻撃ですが、主な違いは攻撃を仕掛けるデバイス (パソコン) の台数です。

DDoS攻撃は攻撃者が複数のデバイスを利用して攻撃します。
大量のデバイスを利用するため、実行されるとより多くのアクセスを受け、甚大な被害となるだけではなく、犯人の特定も難しくなります。

一方、DoS攻撃は、攻撃者が1台のデバイスで攻撃を行う手法です。
DDoS攻撃と比較すると企業への脅威は少なく、犯人も特定しやすいでしょう。

DDoS攻撃は、攻撃者がボットと呼ばれるマルウェアに感染した大量のデバイスを遠隔操作し、ネットワーク化したボットネットを構築します。攻撃者がボットネットを操ることで特定のWebサイトやサービスへの同時アクセスが可能になり、企業側の追跡や対処を困難にします。

DDoS攻撃は高度なプログラミングスキルが不要のため、比較的簡単に実行できます。また、正常なアクセスとDDoS攻撃の違いを見分けることが困難なため、未然に防ぐことが難しいとされています。

攻撃者がDDoS攻撃を行う目的はさまざまです。この段落では、DDoS攻撃の代表的な目的をご紹介します。

1つ目の目的として、「脅迫や身代金の要求」が考えられます。

攻撃者は、企業や団体に対して攻撃を仕掛け、その後金銭を支払えば攻撃を中止すると脅迫してくることがあります。
攻撃者は攻撃を事前に告知し、中止する代償として金銭を要求することで企業に対して圧力をかけます。しかし、金銭を支払っても解決しない場合がほとんどです。

2つ目の目的として、「企業や組織に対する抗議」があります。

こちらは、攻撃者が特定の企業や組織の経営方針などに不満を抱き、抗議・主張するためにDDoS攻撃を行うケースです。
また、組織や企業に対するクレームがエスカレートすることにより、DDoS攻撃の決行に至る場合もあります。

3つ目は、最たる理由もなくいたずらや嫌がらせを目的にDDoS攻撃を実行するケースです。

「単なる嫌がらせが楽しい」「自分の行動力や技術力を誇示したい」といった理由や、組織や企業に対する個人的な私怨や敵意が攻撃の動機になることもあります。

DDoS攻撃の目的の一つとして、競合他社による営業妨害も挙げられます。

ユーザーが対象のサイトにアクセスできないようにすることで、そのサイトの信頼性や可用性が低下し、その結果、ユーザーがほかのサイト (自社サイト) にアクセスしてくる可能性が高まります。
さらに、大規模な攻撃は対象サイトのパフォーマンスに影響を与え、検索結果上の掲載順位を下げる要因にもなり得ます。

ほかの攻撃を仕掛けるための陽動としてDDoS攻撃を行うケースもあります。

例えばDDoS攻撃によって企業が対応に追われている間にシステムに侵入し、データ侵害や不正アクセスなど、より深刻なセキュリティ侵害を行うために、DDoS攻撃が利用されることがあります。

DDoS攻撃には「SYNフラッド攻撃」や「UDPフラッド攻撃」など複数の種類があります。ここでは、それぞれの特徴について解説していきます。

SYNフラッド攻撃とFINフラッド攻撃は、SYNとFINの通信手順を悪用してサーバーに負荷をかけることで、サービスの可用性を低下させる手法です。SYNは「接続要求」、FINは「切断要求」を指します。

攻撃者は大量のSYNパケットをサーバーに送信して接続を要求し、その後応答を待たずに切断を要求するFINパケットを送信します。サーバー側のリソースを無駄に消費させることで、サービスへのアクセスを妨げるのが狙いです。
一般ユーザーがサービスにアクセスしにくくなるだけでなく、セキュリティの脆弱性を悪用して不正アクセスを行う隙を生み出すこともあります。

UDPフラッド攻撃には、「ランダムポートフラッド攻撃」と「フラグメント攻撃」の2種類があります。

ランダムポートフラッド攻撃とは、ランダムなポート番号と偽の送信元アドレスを持つUDPパケットを大量に送信し、サーバーがパケットに対する返信処理を行うことでリソースを消耗させ、サーバーダウンさせる方法です。

一方、フラグメント攻撃は、攻撃者が分割したUDPパケットの最初のフラグメントのみを送信し、残りのフラグメントを送信しない手法です。受信先は未完成のUDPパケットを大量に蓄積することになり、リソースの枯渇やサービスのパンクにつながります。

ACKフラッド攻撃は、無効なACKデータを大量に送信してサーバーを攻撃します。ACKとは二者間の通信で、相手に応答を返す際に送られる信号やデータ、パケットなどのことです。

本来ACKは、ユーザーのSYNやFINなどのリクエストに対する返答として使用され、サーバーが単体でACKを受け取った場合は無効なパケットとして破棄します。しかし、攻撃者はこれを偽造して大量に送信し、サーバー側の処理能力を超えるほどのデータを処理させて負荷をかけます。

DNSフラッド攻撃は、DNSサーバーに対して大量の不正なリクエストを送信することで、サーバーに負荷をかける攻撃手法です。DNSとは、インターネット上でドメイン名とIPアドレスを紐付けるためのシステムです。

DNSフラッド攻撃により、DNSサーバーはアクセスユーザーからのリクエストに対応できなくなり、サイトのアドレス解決やドメイン名の検索などの機能が著しく低下し、インターネットにアクセスできなくなることがあります。

Slow HTTP DoS Attackは、時間をかけてHTTPリクエストを細かく分割してセッションを占有することでサーバーのリソースを消耗させる攻撃です。セッションが占有されている間は、ほかの処理が妨害され続ける可能性があります。

ここまで、DDoS攻撃について解説してきましたが、DDoS攻撃による被害を抑えるためにはどのような対策が有効なのでしょうか。ここでは、4つの対策方法をご紹介します。 

攻撃者のIPアドレスを制限することで、攻撃を軽減できることがあります。

ただし、複数のIPアドレスから攻撃されている場合、各IPアドレスを正確に特定しなくてはならないため、完全に防ぐことは難しいとされています。そのため、IPアドレス制限と併せて、ほかのセキュリティ対策も導入し、攻撃への十分な対策を講じることが大切です。

攻撃者によっては海外のサーバーを経由して攻撃してくることがあるため、海外からのアクセスや特定の国のIPアドレスを制限するのも対策の一つです。

ただし、海外からのアクセスがすべて悪意のあるアクセスではないため、制限が厳しすぎると通常のユーザーもサービスにアクセスできなくなるおそれがあります。IPアドレスの制限を行う場合は、一般ユーザーへの影響を考慮して慎重に設定しなくてはなりません。

DDoS攻撃の対策としてCDNの導入を検討してみるのもよいでしょう。

CDNとは、ユーザーに向けてWeb上のコンテンツを効率的に届けるために分散配置されたサーバー群 (キャッシュサーバー) のことです。サイトへのアクセスに際しWebサイトを直接管理するサーバーで処理するのではなく、分散配置されたサーバー群で処理することでWebサーバーへの負荷を軽減する効果があります。

CDNを導入することで、DDoS攻撃を受けた際の対象がCDNのキャッシュサーバーとなります。このため、自社のサーバーやインターネット接続回線への影響が少なくなり、ユーザーはCDNを通じてサイトにアクセスできます。ただし、キャッシュとしてCDNが認識していないコンテンツへの攻撃は避けられないことも念頭に置いておかなくてはなりません。

もしもの場合に備えて、WAF (Web Application Firewall) やIPS (Intrusion Prevention System) などのDDoS攻撃対策ツールを導入しておくことで、被害を未然に防ぐことができます。

WAFは、サーバーの前に設置して不正なアクセスや攻撃を遮断するシステムで、Webアプリに対する不正なアクセスや攻撃を検知・防御します。

一方、IPSは不正侵入防御システムと呼ばれ、ネットワーク上での不正なトラフィックや攻撃を監視・検知して遮断するシステムです。IPSではWebアプリまでの対策ができないため、DDoS攻撃対策としてはWAFとIPS両方の導入を検討するようにしましょう。