DDoS 攻撃とは？

DDoS 攻撃には多くの種類があります。通常、攻撃者は複数の種類の攻撃を使用して、標的に大きな被害を与えます。主な攻撃としては、ボリューム型攻撃、プロトコル攻撃、アプリケーションレイヤー攻撃の 3 種類があります。すべての攻撃の目的は、正規トラフィックが意図した宛先に到達するのを妨げるか、その速度を著しく低下させることです。たとえば、ユーザーは Web サイトへのアクセス、製品やサービスの購入、動画の視聴、ソーシャルメディアでのやり取りができなくなります。さらに、リソースを利用不可にしたり、パフォーマンスを低下させることで、DDoS 攻撃はビジネスを停止に追い込むことができます。従業員は電子メールや Web アプリケーションにアクセスできなくなり、通常のビジネス運営が不可能になります。

DDoS 攻撃の仕組みをさらに理解するためには、攻撃者によるさまざまな攻撃経路を知ることが重要です。オープンシステム相互接続（OSI）モデルは、さまざまなネットワーク基準を網羅した階層型のフレームワークであり、7 つの異なるレイヤーがあります。OSI モデルの各レイヤーには、それぞれ独自の目的があります。各フロアが異なるビジネス機能を担当するオフィスビルのようなものです。攻撃者は、攻撃対象となる Web やインターネット接続アセットの種類に応じて、異なるレイヤーをターゲットにします。

ボリューム型の DDoS 攻撃の目的は、標的となる被害者リソースの帯域幅を膨大な量のトラフィックで飽和させ、ネットワークを過負荷状態にすることです。大量の攻撃トラフィックにより、正規ユーザーはアプリケーションやサービスにアクセスできなくなり、トラフィックの送受信が阻害されます。正規トラフィックの停止による影響は、標的によってさまざまです。銀行の顧客は期日までに支払いができなくなり、E コマースの買い物客はオンライン取引を完了できなくなります。病院の患者は自身の診療記録にアクセスできなくなり、市民は政府機関から自分の納税記録を閲覧できなくなります。いずれの組織でも、オンラインで利用できるはずのサービスが遮断されると、マイナスの影響は免れません。

ボリューム型攻撃は、マルウェアに感染した大量のシステムやデバイスで構成されるボットネットを使用します。攻撃者はボットをリモート制御することで、利用可能なすべての帯域幅を悪性トラフィックで飽和させ、標的とインターネット間に大規模な輻輳を発生させます。

ボットトラフィックの予期しない流入により、Web リソースやインターネットに接続されたサービスへのアクセス速度が著しく低下するか、まったくアクセスできなくなります。ボットは、正規デバイスを乗っ取ることで、帯域幅を浪費する DDoS 攻撃を増幅します。多くの場合、ユーザーはデバイスが乗っ取られていることに気付かないため、被害を受けた組織が悪性トラフィックを検知するのは困難です。

攻撃者が使用するボリューム型 DDoS 攻撃にはさまざまな 攻撃ベクトル があります。多くはリフレクションおよび増幅攻撃テクニックを使用して標的のネットワークやサービスを制圧します。

UDP フラッドは、大量の帯域幅を消費する DDoS 攻撃で頻繁に使用されます。攻撃者は、ステートレス UDP プロトコルを格納した IP パケットで、標的となるホストのポートを制圧しようと試みます。攻撃を受けたホストは、UDP パケットに関連付けられているアプリケーションを検索し、見つからない場合は、「Destination Unreachable（宛先到達不可）」を送信者に返送します。通常、IP アドレスは攻撃者を匿名化するために偽装されます。標的となったホストが攻撃トラフィックで過負荷状態になると、システムは正規ユーザーに応答できなくなり、利用不可になります。

ドメイン・ネーム・システム（DNS）リフレクション／増幅 DDoS 攻撃とは？

ドメイン・ネーム・システムまたは DNS リフレクション攻撃は、サイバー犯罪者やハッカーが使用する一般的な攻撃ベクトルです。標的の IP アドレスを乗っ取り、DNS サーバーオープンを求める大量のリクエストを送信します。これに対して DNS サーバーは、その乗っ取られた IP アドレスによる悪性リクエストに応答します。その結果、膨大な量の DNS 応答が発生するため、標的に被害が及ぼされます。短期間のうちに、DNS 応答から膨大な量のトラフィックが生成され、被害を受けた組織のサービスが過負荷状態で利用不可となり、その結果、正規トラフィックが目的の宛先に到達しなくなります。

インターネット制御通知プロトコル（ICMP）は主にエラーメッセージの通知に使用されます。通常はシステム間のデータ交換は行いません。ICMP パケットには、サーバー接続時に、アプリケーションプログラムやコンピューティングデバイスがネットワーク経由でメッセージを交換できる伝送制御プロトコル（TCP）パケットが付随する場合があります。ICMP フラッドは、ICMP メッセージを使用して標的のネットワーク帯域幅を過負荷状態にするレイヤー 3 インフラ DDoS 攻撃の手法です。

プロトコル攻撃は、プロトコル通信を悪用する悪性の接続リクエストにより、さまざまなネットワーク・インフラ・リソース（サーバーやファイアウォールなど）のコンピューターキャパシティを消費し、枯渇させようと試みます。シンクロナイズ（SYN）フラッドとスマーフ DDoS は、いずれも一般的なプロトコル型 DDoS 攻撃です。プロトコル攻撃は、1 秒あたりのパケット数（pps）と 1 秒あたりのビット数（bps）で計測できます。

インターネットアプリケーションに接続する場合は、主に伝送制御プロトコル（TCP）が使用されます。この接続を確立するためには、Web サーバーなどの TCP サービスからの 3 ウェイハンドシェイクが必要になります。ユーザーはサーバーへの接続場所から SYN（シンクロナイズ）パケットを送信し、SYN-ACK（シンクロナイズ確認）パケットを受け取ります。その後、最終 ACK（確認）通信を受け取って、TCP ハンドシェイクは完了します。

SYN フラッド攻撃中は、悪性クライアントが大量の SYN パケット（通常のハンドシェイクの第 1 段階）を送信しますが、ハンドシェイクを完了するための確認パケットは送信しません。サーバーは半分開いた TCP 接続への応答待機状態で放置され、接続状態の追跡サービス用の新しい接続を受け入れるキャパシティを使い果たします。 

SYN フラッド攻撃は、例えて言えば、「生徒数の多い高校の卒業生による大がかりな悪ふざけ」のようなものです。たとえば、生徒一人ひとりが同じピザレストランに電話して同じ時間に配達するようにピザを注文します。配達人がピザを包んで車に載せようとすると、ピザが多すぎて車に載らず、また注文の住所がないことに気付きます。結果として、すべての配達がストップします。

この DDoS 攻撃の名前は、漫画に登場する架空の小さな青いヒューマノイド（スマーフ）のコロニーのように、攻撃者一人ひとりは小さくても、膨大な数が集まれば巨大な敵に勝てるというコンセプトがベースとなっています。

スマーフ分散型サービス妨害攻撃では、膨大な数のインターネット制御通知プロトコル（ICMP）パケットと標的のスプーフィングされたソース IP が、IP ブロードキャストアドレスを使用してコンピューターネットワークに送信されます。デフォルトでは、ネットワーク上のほとんどのデバイスは、ソース IP アドレスに応答を送信します。ネットワーク上のマシンの数によりますが、トラフィックが飽和することで、被害を受けたコンピューターの速度は鈍化します。

悪性リクエストを送るフラッドアプリケーションが実行するアプリケーションレイヤー攻撃は、1 秒あたりのリクエスト数（RPS）で計測されます。レイヤー 7 の DDoS 攻撃とも呼ばれるこうした攻撃は、ネットワーク全体ではなく、特定の Web アプリケーションを標的として妨害します。防止や緩和は困難ですが、仕掛けやすい DDoS 攻撃と言えます。

例えるなら、馬の群れを驚かせて暴走させるのは容易だが、群れの統制を取り戻すのはほぼ不可能であるのと似ています。アプリケーションレイヤー攻撃とはそのようなものです。実行しやすいですが、スローダウンや停止させるのは難しく、また標的固有の攻撃です。

強力な DDoS 防御戦略とランブックを用意することで、DDoS 攻撃を防御し、それによる混乱を抑えることができます。クラウドベースのソリューションが提供する高キャパシティ、高性能、Always-on の DDoS 防御機能は、悪性トラフィックが Web サイトに到達したり、Web API 通信を妨げたりすることを防ぎます。クラウドベースのスクラビングサービスは、ネットワークインフラなど、Web 以外の資産を大規模に標的とする攻撃を迅速に緩和できます。

絶えず進化する攻撃状況の中で、多層防御アプローチを採用する緩和プロバイダーによる DDoS 防御は、組織とエンドユーザーの安全性を保ちます。DDoS 緩和サービスは、DDoS 攻撃をできるだけ迅速に検知してブロックします。そのブロック速度は、攻撃トラフィックが緩和プロバイダーのスクラビングセンターに到達してから理想的にはゼロ秒、あるいは数秒以内です。攻撃ベクトルは変化し続け、攻撃規模も拡大の一途をたどっているため、プロバイダーは最善の DDoS 防御を実現するために、防御機能に継続的に投資しなければなりません。大規模で複雑な攻撃に対処するためには、適切なテクノロジーを導入し、悪性トラフィックを検知して攻撃を速やかに緩和する堅牢な防御対策を講じる必要があります。

DDoS 緩和プロバイダーは、標的となるアセットに到達した悪性トラフィックを除外します。攻撃トラフィックは、DDoS スクラビングサービスやクラウドベースの DNS サービス、あるいは CDN ベースの Web 防御サービスでブロックされます。クラウドベースの緩和により、攻撃トラフィックが標的に到達する前に除去できます。

DDoS スクラビングでは、攻撃を受けている間もオンラインサービスやビジネスを継続できます。CDN ベースの緩和とは異なり、DDoS スクラビングサービスは、Web および IP ベースサービスも含めて、データセンターのすべてのポート、プロトコル、アプリケーションを保護します。 

組織は、ボーダー・ゲートウェイ・プロトコル（BGP）ルート・アドバタイズメントの変更か、DNS リダイレクト（A レコードまたは CNAME）により、ネットワークトラフィックを緩和プロバイダーのスクラビングインフラに導きます。そこで、トラフィックに悪性アクティビティがないかモニタリングして検査し、DDoS 攻撃が確認された場合は緩和を適用します。一般に、このサービスは組織のセキュリティ体制に従い、オンデマンドまたは Always-on に設定できますが、最速の防御対応が得られるように Always-on 展開モデルに移行する組織が以前より増えています。

適切に構成された高度なコンテンツ・デリバリー・ネットワーク（CDN）は、DDoS 攻撃の防御に役立ちます。Web サイト保護サービスプロバイダーが CDN を使って、HTTP および HTTPS プロトコルを使用しているトラフィックを加速させると、その URL を標的とするすべての DDoS 攻撃をネットワークエッジで阻止できます。 

つまり、レイヤー 3 およびレイヤー 4 DDoS 攻撃を瞬時に緩和できます。なぜなら、この種のトラフィックは Web ポート 80 および 443 を通過しないからです。このネットワークはクラウドベースのプロキシとして、顧客の IT インフラの前面に位置し、エンドユーザーからのトラフィックを、組織の Web サイトやアプリケーションに接続します。こうしたソリューションはインラインで稼働するため、Web 接続アセットは、人間の介在なしでネットワークレイヤー DDoS 攻撃から常に保護されます。 

アプリケーションレイヤーを特に防御したい場合、組織は Web アプリケーションファイアウォールを展開して、OSI モデルのレイヤー 7 アプリケーションプロセスの混乱を目的とした特定の DDoS 攻撃（http リクエスト、HTTP GET、HTTP POST フラッドなど）を始めとする高度な攻撃に対処する必要があります。

組織は、DDoS 専用のサイバーセキュリティコントロールを展開することで、アタックサーフェスを縮小し、ビジネスに影響するダウンタイムと混乱のリスクを軽減できます。こうした種類の防御により、攻撃を防止し、正規の訪問者が平時と同様に組織にオンラインアクセスできるようになります。DDoS 防御は、悪性トラフィックが標的に到達するのを防ぎ、攻撃の影響を抑えながら、通常どおりにビジネスを行えるよう正常なトラフィックを通過させます。

緩和作業中の DDoS 防御プロバイダーは、分散型サービス妨害攻撃を阻止し、その影響を抑えるための一連の対策を展開します。最新の攻撃はさらに高度化が進んでいますが、クラウドベースの DDoS 緩和と防御で多層型セキュリティを大規模に展開することで、バックエンドインフラとインターネット接続サービスを継続的に稼働させ、最適なパフォーマンスを確保できます。

DDoS 攻撃防御サービスは、組織に次のメリットをもたらします。

• アタックサーフェスを縮小し、DDoS 攻撃に関連するビジネスリスクを軽減する
• ビジネスに影響するダウンタイムを防ぐ
• Web ページがオフラインになるのを防ぐ
• DDoS イベントへの対応速度を高めて、インシデント対応リソースを最適化する
• サービスの混乱を把握および調査する時間を短縮する
• 従業員の生産性低下を防ぐ
• DDoS 攻撃に対する防御対策をより迅速に展開する
• ブランドの評判と収益に対する被害を防ぐ
• デジタル資産全体でアプリケーションのアップタイムとパフォーマンスを維持する
• Web セキュリティに伴うコストを最小限に抑える
• 脅迫、ランサムウェア、その他の新たな脅威から防御する

Akamai は、透明の網目のような専用エッジ、分散型 DNS、クラウドスクラビング防御を通じて多層型の DDoS 防御を提供します。こうした専用のクラウドサービスは、DDoS セキュリティ対策を強化し、アタックサーフェスを縮小し、緩和の品質を改善して、フォールス・ポジティブ（誤検知）を削減し、最も複雑な最大規模の攻撃への耐障害性を高めるように設計されています。

さらに、それらのソリューションは、Web アプリケーションやインターネットベースサービスの特定の要件に合わせてきめ細かく調整できます。

Akamai は、世界で最も分散されたエッジおよびクラウドプラットフォームをリバースプロキシとして設計し、ポート 80 および 443 上のトラフィックだけを受け付けるようにしています。ネットワークレイヤーへの DDoS 攻撃はすべて、エッジで即座に阻止されます（0 秒の SLA）。つまり、ネットワークレイヤー DDoS 攻撃を仕掛ける攻撃者に勝ち目はありません。

API 経由で実行される攻撃などのアプリケーションレイヤー DDoS 攻撃は Kona Site Defender が検知および緩和し、同時に正規ユーザーにはアクセス権を付与します。

Akamai の権威 DNS サービスである Edge DNS も、トラフィックをエッジでフィルタリングします。Akamai Edge DNS は、他の DNS ソリューションとは異なり、DDoS 攻撃に対抗する可用性と耐障害性を重視した設計となっています。Edge DNS は、ネームサーバー、Point of Presence、ネットワーク、およびセグメント化された IP Anycast クラウドなど、アーキテクチャの冗長性も多層的に備え、優れたパフォーマンスを実現します。