DDoS攻撃からWebサービスを守る - Nomura Research Institute

トピックス
DDoS 攻撃から Web サービスを守る
─ 大規模化する DDoS 攻撃の仕組みとその対策 ─
インターネットを利用した企業活動における重要基盤（ネットワークその
もの、DNS、Web サービスなど）に対する DDoS 攻撃が大規模化してい
る。その脅威からどのようにサービスを守るべきか。DDoS 攻撃の動向と、
筆者の業務経験に基づいた対策を紹介する。
NRI セキュアテクノロジーズサイバーセキュリティサービス事業本部
サイバーセキュリティプラットフォーム部上級 IT セキュリティアーキテクト
かみや
まこと
神谷　誠
専門はネットワーク構築・運用全般と DDoS 攻撃対策など
大規模化する DDoS 攻撃の最新動向
攻撃対象に大量のパケットを送り付ける攻撃
である。プロトコルによって増幅率はさまざ
DDoS（Distributed Denial of Service）攻
まであるが、数十倍から数百倍まで幅広い。
撃とは、特定のネットワークやコンピュータ
また、UDP 以外にも単純に HTTP/HTTPS で
へ複数のマシンから大量の処理負荷を与える
のリクエストを大量発生させる手法も依然と
ことで機能を停止させてしまう攻撃である。
して存在している。
最近は攻撃規模も回数も増え続けており、こ
れは金銭を目的とした企業脅迫が増えている
ことが背景にある。
DDoS 攻撃は複数の攻撃手法を混在させて
一般的に DDoS 攻撃の対象となりやすいの
行われることが多いが、大規模攻撃の手法と
は、企業がインターネットを通じて一般ユー
して、数年前から UDP（インターネットな
ザーに提供している Web サービスである。
どで使われる、大量送信に向くプロトコル）
一般ユーザーが企業の Web サービスを利
を使ったリフレクター攻撃が利用される傾向
用する際には、クライアント（ブラウザー）
にある。
から Web サービスの「名前解決」を行い、
「リフレクター」とは、送信元からの問い
リクエストを送信、Web サービスからのレ
合わせに対し、反射的な応答を返すように動
スポンスを受信という流れになる。この流れ
作するモノの総称で、ここでは攻撃によく使
のどこが欠けても、一般ユーザーから見た企
われる DNS サーバーがそれにあたる。DNS
業の Web サービスは利用不能と見なされて
プロトコルによるリフレクター攻撃は「送信
しまう。
元を攻撃対象の IP アドレスに偽装」し、
ぜいじゃく
22
DDoS 攻撃の影響と対策
この名前解決、リクエスト、レスポンスに
DNS リクエストをセキュリティの脆弱な
対する具体的な攻撃手法とその影響、さらに
DNS サーバーを経由して大幅に増幅させ、
は対策について見てみたい。
| 2016.11
レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。
Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.
（1）名前解決に対するリスク
スも多い。契約しているプロバイダーに、
企業のドメイン名を管理しているDNSサー
UDPなど必要のないプロトコルをフィルター
バーに大量の名前解決の問い合わせが行われ
で通信拒否をしてもらうことは、コストも安
ることにより、DNS サーバーの性能限界に
く効果が高いと考えられる。
達し、名前解決ができなくなる。また、
次に、高コストではあるが、CDN サービ
DNS サーバーに至るネットワークの帯域を
スプロバイダーが提供する DDoS 攻撃の緩和
パンクさせることでも名前解決を不能にで
サービスの効果が高い。また、Web アプリ
きる。
ケーション Firewall をクラウド提供している
この対策としては、CDN（Contents
Delivery Network：世界中のサーバーからエ
ベンダーもあり、解析処理の性能枯渇に対し
て有用である。
ンドユーザーに最も近いサーバーを選び効率
その他に、DDoS 攻撃を緩和する専用機器
的に Web コンテンツを配信する仕組み）を
も世の中にいくつかあり、一定の効果は認め
利用した、クラウド分散型 DNS によるドメ
られる。しかし、規模の見えない攻撃に備え
イン管理サービスを利用することが挙げられ
て専用機器を維持運用していくことは費用対
る。このサービスにより、DNS がクラウド
効果の面から見ると非常に負担が大きい上、
上に分散されることで、DNS の応答不能を
機器の許容量を超える攻撃には耐えることが
回避できる。
できない。
（2）リクエストに対するリスク
（3）レスポンスに対するリスク
リクエストが到達できないように、Web
Web サーバーの性能を超えるリクエスト
サーバーに至るネットワークに大量のトラ
により、Web サイトを応答不能に陥れる方
フィックを流入させ、帯域をパンクさせる方
法もある。この対策にも CDN による Web
法もある。
サーバーのクラウド分散が最も効果が高い。
また、帯域はパンクしないが HTTP/
HTTPS の大量リクエストにより Web サー
バーに至る途中経路に導入している「負荷分
組織面へのリソース配分の重要性
散装置」や、Web アプリケーションの脆弱
これらサービスの適切な利用には、自社内
性を利用した攻撃対策に特化した「Web ア
に専門組織が必要である。また、大規模攻撃
プリケーション Firewall」のリクエスト解析
が発生した際の行動計画を作成し、定期的な
の処理能力が、性能限界に達してしまうこと
訓練を実施すべきである。組織内 CSIRT
も考えられる。
（Computer Security Incident Response
これらの攻撃に対して、対策を挙げてみた
Team）があれば、これらを担うのが理想で
い。リフレクター攻撃では主に UDP が利用
あろう。DDoS 攻撃への対策として、技術面
されるが、企業が一般ユーザー向けに提供す
だけでなく、組織運営へのリソース配分も重
る Web サービスでは UDP は利用しないケー
要となる。
■
2016.11 |
レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。
Copyright © 2015 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.
23

Download Report