DDoS攻撃を防ぐための手順
DDoS攻撃への対策案
2023年6月2日
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 Steps to Prevent DDoS attacks の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
出来たばかりの組織であっても、DDoS攻撃を防止するための措置を講じる必要があります。
DDoS攻撃では、悪意のある攻撃者がネットワークにトラフィックを殺到させることで、ネットワークを永続的または一時的に停止させることができるため、その対策は重要です。
トラフィックの過負荷は接続性を妨げ、正当なユーザがあなたのWebサイトにアクセスできないようにします。
これによりフィッシングやなりすましなどの他の形態のサイバー犯罪が引き起こされる可能性がありますが、SPF、DKIM、DMARCを使用すれば軽減できます。
このブログでは、DDoS攻撃の3つの種類(アプリケーション層攻撃、プロトコル層攻撃、ボリューム攻撃)と、それらを防ぐための効果的な10の方法を紹介します。
DDoS攻撃とは?
DDoS(分散型サービス拒否)攻撃は、ハッカーが偽のトラフィックでネットワークやサーバに負荷をかけ、クラッシュさせることを目的としたサイバー犯罪です。
メッセージ、接続要求、またはデータパケットの予期せぬ急増は、対象となるシステムを圧迫し、速度低下やシャットダウンを引き起こします。
DDoS攻撃には以下のような動機があるため、これを防ぐことが非常に重要です。
- ターゲットを高額な身代金の支払いに追い込む
- 仕事上の競争相手のサービスや通信を妨害する
- ブランドイメージを損なわせる
- インシデント対応チームの注意をそらして、より大きな攻撃を試みる
脅威者の巧妙な手口は、GoogleやAmazon Web ServicesのようなIT界の大物までターゲットにしています。
したがって、すべての経営者は、DDoS対策の方法を実践し、普及させるべきです。
DDoS攻撃の種類
DDoS攻撃にはさまざまな種類があり、ネットワーク接続の複数の構成要素を攻撃します。
一般的には、アプリケーション層、プロトコル層、およびボリューム攻撃に分類されます。
- アプリケーション層への攻撃
-
これはSIP、音声サービス、BGPのような特定のシステムの脆弱性を利用して、アプリケーションを直接攻撃します。
アプリケーション層のDDoS攻撃を試みる意図は、アプリケーションが目的のコンテンツを配信できないようにすることです。 - プロトコル層への攻撃
- プロトコル層に影響を与えるDDoS攻撃は、サーバのリソースや中間の通信機器を消耗させるため、対策が重要です。
- ボリューム攻撃
-
ボリューム攻撃は、増幅技術を使用してWebサイトの帯域幅を減少させます。
トラフィックは複数のIPアドレスから来ているように見えるため、これを検出するのは困難です。
DDoS攻撃を防ぐための10のステップとは?
攻撃者が攻撃を計画するのを止めることはできないかもしれませんが、十分な予防策は常に助けになります。
以下が、あなたができることです。
1. DDoS対応計画の作成
DDoS対策の第一歩は、攻撃が成功した場合に自社がどのように対応するかに焦点を絞った計画を準備することです。
それは詳細な計画であるべきです。
構造が複雑であればあるほど、より明確でなければなりません。
一般的な対応計画には、以下のようなものがあります。
- システムチェックリスト
- 訓練された対応チーム
- 通知と上申の手順
- 事業継続の方法
- 基幹システム一覧
- 攻撃について知らせるべき社内外の関係者のリスト
2. 攻撃対象領域の露出を減らす
脅威の主体にさらされる領域を減らすことで、攻撃の範囲と被害の程度を最小化することができます。
そこで、重要なドキュメント、アプリケーション、ポート、プロトコル、サーバ、その他のエントリポイントを保護し、DDoS攻撃を防ぐようにしてください。
ネットワークのエッジにCDNサービスとWAFを使用し、サーバとアプリケーションのリソースへの直接アクセスをブロックします。
これは、グローバルにコンテンツをキャッシュし、それらからサービスを要求するのに役立ちます。
WAFは、キャッシュされていないコンテンツのリクエストをすべてフィルタリングします。
また、負荷分散装置(ロードバランサー)を使用して、Webサーバと計算リソースを露出から保護する必要があります。
また、Webサイトやアプリケーションを定期的にクリーニングし、不要なサービスを排除するよう、チームを教育してください。
ハッカーはこれらを侵入口として悪用します。
3. サーバの冗長性を確保する
複数の分散型サーバを使用することで、悪意のある行為者がすべてのサーバを同時に攻撃することが難しくなります。
単一のホスティングデバイスに攻撃を仕掛けた場合、他のサーバは安全であり続けます。
また、対象となるシステムがオンラインに戻るまでの間、トラフィック負荷を引き受けることができます。
ネットワークのボトルネックを避けるために、さまざまな地域のデータセンターやコロケーション※施設でサーバをホストできます。
CDNも負荷を共有するのに役立ちます。
※訳注:コロケーションとは、個人や組織が構築したサーバなどを共同のデータセンターなどに置いて運用することです。
4. 危険信号に注意する
以下のような兆候に気づいたら、DDoS対策のための措置を講じてください。
- 接続不良
- パフォーマンスの低下
- 特定のWebページやエンドポイントにおける過剰なトラフィック
- 頻繁なシャットダウンやサーバダウン
- 1つの集団またはIPアドレスから発生する異常なトラフィック
大量のトラフィックだけが危険なわけではなく、低いボリュームのトラフィックでも、短時間でのそれがセキュリティ侵害を引き起こす可能性があることを理解することが重要です。
5. 早期発見と継続的なトラフィックおよびパケットのプロファイリング
早期発見はDDoS保護にとって不可欠です。
最も効果的な方法は、Webサイトのトラフィック、定期的なリクエストおよびデータパケットを監視してパターンと挙動を理解することです。
これにより、悪意のあるトラフィックやリクエスト、ペイロードをブロックすることができます。
不審な動きを察知したら、立案した対応計画に従って対応するようチームに指示します。
これにより、DDoS攻撃を防ぐための十分な時間が得られます。
6. 定期的な脆弱性評価の実施
脆弱性評価とは、システムにおけるセキュリティの弱点を体系的に検討することです。
ネットワークとワイヤレスの評価では、プライベートまたはパブリックネットワークとネットワークアクセス可能なリソースへの不正なアクセスを禁止するポリシーがあります。
この評価には、自動スキャンツールを使用したWebアプリケーションとそのソースコードの抜け道も含まれます。
7. ネットワークブロードキャストの制限
サイバー犯罪者は、最大の影響を与えるために、ネットワーク上のすべてのデバイスにリクエストを送信する可能性があります。
デバイス間のネットワークのブロードキャストを制限することで、この試みに対抗することができます。
DDoS攻撃を防ぐためには、ブロードキャスト転送を制限するかオフにし、大量の攻撃をブロックします。
また、可能な限りエコー※や課金サービスを無効にするよう、従業員を教育してください。
※訳注:エコーとは、送信したデータが送信元に戻る性質を利用して、攻撃者がIPを偽装して大量にエコーリクエストを送信することで、対象に大量のトラフィックを送る攻撃を指します。
8. 堅牢なネットワークセキュリティの確保
攻撃者がリクエストを積み重ねるための十分な時間があると、攻撃の強度と被害の範囲が増大します。
どのようなネットワークでも、リクエストが多すぎると早期発見につながり、爆発範囲(※訳注:つまり、攻撃を受ける範囲)も限定されます。
以下に、高レベルのネットワークセキュリティを確保する方法をいくつか示します。
- ファイアウォールや侵入検知システムによるトラフィックのフィルタリングを行う
- ウイルスやマルウェアを検出・駆除するためのウイルス対策およびマルウェア対策プログラムを使う
- 送信元アドレスと発信元アドレスが一致するかどうかを検証することで、なりすましを防止するツールを使う
- デスクトップ、ノートパソコン、モバイル機器など、すべてのネットワークエンドポイントの安全性を確保する
これらはしばしば悪意のある活動を試みる際の入口として悪用される - システムをサブネットに分離するネットワークセグメンテーションを使う
9. 適切なサイバー衛生習慣の策定と実践
チームは、DDoS攻撃を防ぐために良好なサイバー衛生※習慣を身につけるべきです。 これには以下のようなものが含まれます。
※訳注:サイバー衛生(Cyber Hygiene)とは、一般的な衛生管理と同じように、組織や個人のインターネット環境等を健全な状態に保つよう推奨し、セキュリティ意識を高める取り組みを指します。
- 強力なパスワードを設定し、定期的に変更する
ユニークで複雑なパスワードには、少なくとも12文字が含まれ、数字、記号、大文字、小文字が混在していることが望ましい - パスワードの共有や再利用を避ける
- アカウントに対して二要素認証を使用し、セキュリティの追加層を確保する
これにより、パスワードが盗まれたとしてもハッカーはアカウントにアクセスできないことが保証される - DDoS対策として、ノートパソコン、タブレット端末、スマートフォン、外付けドライブ、バックアップテープ、クラウドストレージにデバイスの暗号化を採用する
10. クラウドへの移行
クラウドに移行しても、DDoS攻撃の可能性がなくなるわけではありませんが、その影響を軽減することはできます。
クラウドの広範な帯域幅がデータを分散させます。
また、脅威から身を守るためのメールセキュリティツールのトップ5もご確認いただけます。
おわりに
DDoS攻撃は、財務、顧客との関係、ブランド価値に影響を及ぼす可能性があるため、企業は対策を講じる必要があります。
まずは対応策を作成し、攻撃が発生した場合にどうすればよいかをチームに周知させることから始めましょう。
単一のIPアドレスからの異常なトラフィック、 接続不良、パフォーマンスの低下、頻繁なクラッシュなど、 警告のサインに気づくよう注意を喚起してください。
お問い合わせフォーム
本サービスのご相談やお見積り、事例についてなど、お気軽にお問い合わせ下さい。