計測器レンタル、パソコンレンタル、分析機器レンタルのオリックス・レンテック株式会社

計測器・測定器・パソコン等IT機器のレンタル、
リース、中古機器販売、校正受託ならお任せください

IT機器玉手箱

【セキュリティ:その2】踏み台を使ったサイバー攻撃とその対策(DDoS攻撃)

【セキュリティ:その2】踏み台を使ったサイバー攻撃とその対策(DDoS攻撃)

(2016.02.19公開)

DDoS攻撃の脅威とは?

 2013年3月、インターネットセキュリティ企業の米クラウドフレア社が大規模なDDoS(Distributed Denial of Service; 分散サービス妨害)攻撃を受けました。クラウドフレアは、スパム対策組織SpamHaus.orgを支援しており、DDoS攻撃を仕掛けたサイバーテロ集団の標的となってしまったのでしょう。

 その規模はピーク時には300Gbpsを超え、1週間も続くというものでした。300Gbpsとは、1秒間に300Gビット(=37.5Gバイト)のデータが送り込まれるということです。
あくまでイメージするための目安に過ぎませんが、日本語の1文字は2バイトで、A5サイズの本1冊の文字数が10万文字程度といわれていますから、1秒間に19万冊ほどの日本語の本を読み込むという処理に該当します。
 こんな大量のデータを送り込まれたら、そのサーバの処理は停止してしまいます。しかし、クラウドフレアはこの攻撃に耐え抜き、サイバーテロに屈しませんでした。

 翌2014年2月、クラウドフレアはまたしても大規模なDDoS攻撃を受けました。このときには最大400Gbpsに達したといわれています。
 クラウドフレアはこの攻撃にも耐え抜きましたが、それは同社がセキュリティ対策の専門企業だったからで、一般の企業はもちろんのこと、コンテンツ提供事業者でもセキュリティの専門スタッフを抱えていない会社であれば、とても耐え抜ける規模の攻撃ではなかったでしょう。

 DDoS攻撃は、後で詳しく説明しますが、「踏み台」と呼ばれるサーバを多数使用する攻撃です。このとき踏み台にされたサーバは4,529台、そのうち日本国内で運用されていたサーバは150台以上だったといわれています。

 インターネットは世界規模のネットワークですから、他国で発生しているDDoS攻撃に自社のサーバが無関係とは限りません。またDDoS攻撃の方法はすぐに世界中で情報共有されますので、全く初めての攻撃法ならまだしも、既知の方法で自社のサーバが踏み台になったとしたら、社会的な責任が問われたりすることも十分に考えられます。

 DDoS攻撃の被害も深刻ですが、それと同じぐらい恐ろしいことは、知らないうちに“加害者”になってしまう可能性があるということなのです。

まずはDoS攻撃を理解する

 DDoS攻撃について説明する前に、そのベースとなるDoS(Denial of Services;サービス妨害)攻撃について説明します。
 DoS攻撃の概念は至って簡単です(図1)。

 攻撃者側のサーバやPCから、攻撃対象のサーバに対して、大量のデータを送りつけるだけです(とはいえ単にデータを送るだけではなく、セキュリティホールを悪用した多様な攻撃があります)。
 簡単なDoS攻撃なら、簡単に実行できます。仕事の邪魔をしたい相手に対して、画像や音声を添付したサイズの大きなメールを何本も続けて送りつければいいのです。ストーカーの嫌がらせと同じです。ただし、このような方法では簡単に証拠が残るので、実行すればすぐに何らかの処罰を受けるでしょう。

図1.Dos攻撃の概念

 単純なDoS攻撃であれば、防御も比較的簡単です。以下の通りとなります。

・ 継続的にDoS攻撃を仕掛けてくる相手であれば、そのIPアドレスからはアクセスできなくする
・ 同一IPアドレスからのアクセス回数を制限するように設定する
・ 不必要なパケットの受信を拒否するようにする
・ 万が一攻撃を受けたときに耐えられるように、ファイヤウォールやWebサーバなどを多重化しておく
・ その他、IPA(独立行政法人 情報処理推進機構)(*1)などが推奨する各種設定を施しておく

DoS攻撃を防ぎにくくするためにDDoS攻撃が生まれた

図2.DDos攻撃の概念

 見てきたようにDoS攻撃は、注意を怠らなければ比較的簡単に対策も対応もできます。そこで、編み出されたのがDDoS攻撃です。
 初期の攻撃は1999年に認知されており、翌2000年にはYahoo!、eBayなどアメリカの大手有名サイトが次々とサービス不能にされたため一気に有名になりました。日本でも2001年に小泉首相(当時)の靖国神社参拝への抗議行動として、関係機関へのDDoS攻撃が実施されました。

 DDoS攻撃は、簡単に言えば、多数のサーバから攻撃対象のWebサーバに同時にDoS攻撃を仕掛けることです(図2)。

 しかし、攻撃者のドメインに多数のサーバを用意して一気にデータを送りつけても、そのドメインの外部接続ルーターの性能がボトルネックになるため大量のデータを送れません。また同じドメインのIPアドレスのサブネットアドレスは基本的に同じになるため防御も簡単ですし、攻撃元も容易に特定されてしまいます。

 そこで攻撃者が考えたのが、世界中にあるサーバを「踏み台」にすることでした。こうすれば攻撃元も特定できず、送信元のドメインが多数ある上、次々と代えていくこともできるので防ぎにくくなります。

DDoS攻撃の代表的な手口

 DDoS攻撃の代表的な手口として、DNSリフレクションを紹介します。

 DNSとは、”Domain Name Server”の略で、サーバ名で問い合わせると、それに対するIPアドレスなど(ドメイン情報といいます)を回答する仕組みのことです。たとえば当社のWebサイトをご覧になるには、Webブラウザで”http://www.orixrentec.jp”と指定しますが、ブラウザはIPアドレスが分からないと弊社のサイトと接続することができません。そこでブラウザはDNSを実装したBINDというソフトウェアが存在するサーバ(DNSサーバといいます)に問い合わせて、弊社のWebサーバのIPアドレスを取得します。

 DNSサーバへの問い合わせは、まず自組織内に存在するDNSキャッシュサーバに対して行われます。キャッシュサーバ上にドメイン情報が存在すれば、キャッシュサーバがドメイン情報を回答します。もし存在しなければ、DNSキャッシュサーバはインターネット上に存在するDNSコンテンツサーバに問い合わせをします。DNSコンテンツサーバはゾーン情報という、リクエストと比較するとかなり大きいレスポンスを返します。

 この「リクエストと比較するとかなり大きなレスポンスを返す」という性質を悪用したのが、DNSリフレクションという攻撃法(図3)です。リフレクションは反射という意味です。

図3.DNSリフレクション

 攻撃者は攻撃対象のサーバになりすましたサーバから、不特定のDNSキャッシュサーバに対してリクエストを送信します。DNSキャッシュサーバは組織内に存在するわけですから、外部からのリクエストを受け付ける必要は本来ありませんが、BIND(*2)の設定によっては外部からのリクエストを受け付けてしまうもの(オープンリゾルバといいます)があります。

 オープンリゾルバはキャッシュ内にドメイン情報がなければ、DNSコンテンツサーバに問い合わせします。DNSコンテンツサーバはリクエストと比較すると大きなレスポンスを返し、DNSキャッシュサーバはそのレスポンスを「なりすまされた」サーバに送信してしまいます。

 なりすましたサーバから多数のオープンリゾルバにこのようなリクエストを送信すれば、なりすまされたサーバに対して、多数のオープンリゾルバから大量のレスポンスが送られてしまいます。
 こうしてなりすまされたサーバの業務を妨害することが可能となります。

 DNS以外のインターネット上のサービスでは、NTP(Network Time Protocol)を利用した攻撃法があります。NTPとはインターネットを利用して、自組織のサーバやPCなどの時刻を合わせる仕組みです。

 NTPを利用した攻撃法はDNSリフレクションと同様に、リクエストよりもレスポンスが大きいことを利用しています。NTPでは、DNSよりもさらに増幅率が高いため、送りつけることができるデータ量が莫大になります。
 2014年2月にクラウドフレアに対して実施されたDDoS攻撃はこのNTPリフレクションによるものです。

DDoS攻撃への対応は難しい

 DDoS攻撃への対応は2種類必要となります。DDoS攻撃の踏み台にされないことと、DDoS攻撃を受けたときの対応です。

 踏み台にされないためには、日本であればIPAなどが発信するセキュリティに関する注意喚起に必ず目を通して、推奨された対策を実施することです。たとえば、DNSリフレクションの踏み台にされないためには、BINDの設定をチェックして、オープンリゾルバにならないようにすることです(ちなみにまだまだ多数のオープンリゾルバが存在していると言われています)。

 DDoS攻撃を受けないようにするためには、セキュリティ対策プログラムやウィルスパターンファイルを最新にするなどはある程度有効な対策です。しかし、完全に防ぐ方法は今のところありませんので、早期に検知して、怪しいIPアドレスからの送信をシャットアウトするのが最善の対応となります。

 DDoS攻撃を検知し、初期対応をしてくれるツールを調べて導入するとともに、そのツールの設定やツールを利用した監視をしてくれる専門家に相談することをお勧めします。

 オリックス・レンテックでは以上のような問題を解決する総合脅威管理が可能なセキュリティ製品もレンタルしています。


 (注1)Information-technology Promotion Agency, Japanの略。独立行政法人情報処理推進機構。日本のIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人。情報処理技術者試験、未踏ソフトウェア創造事業などIT人材の育成事業が中心だが、以前からコンピュータウイルスやセキュリティに関係する調査・情報提供も行ってきた。

 (注2)Berkeley Internet Name Domainの略。インターネットでもっとも利用されているDNSサーバを実現するソフトウェア。

【セキュリティ:その3】日本年金機構を襲った標的型メール攻撃とその対策

レンタルラインナップ

表示されている金額以外に別途費用がかかる場合がございます。詳しくはお問い合わせください。

IT機器 レンタル

UTM(FORTINET)

レンタル料(1カ月)

27,000円(税別)

レンタル

IT機器 レンタル

BIG-IP LTM 2000S(F5)

レンタル料(1カ月)

617,900円(税別)

IT機器 レンタル

BIG-IP LTM 800(F5)

レンタル料(1カ月)

322,400円(税別)

お見積り・ご質問など、お気軽にお問い合わせください。

お電話でお問い合わせ
(営業時間 平日9:00~17:00)

0120974824
0334738437

ネットでお問い合わせ

お問い合わせフォーム

請求に関するお問い合わせ
(営業時間 平日9:00~17:00)

0367401357※恐れ入りますが、お手元に請求書など、ご請求内容が確認できる書類をご用意の上、お問い合わせください。

ページトップへ