DDoS攻撃の種類とその防止方法
巧妙になっていくDDoS攻撃に如何に対処するか?
2023年12月20日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎
この記事はPowerDMARCのブログ記事 Types of DDoS Attacks and How to Prevent Them
の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
サイバー脅威の中で、分散型サービス拒否(DDoS)攻撃とその種類は、最も悪質で広範にわたるものの一つです。
ある報告によると、2022年のDDoS攻撃の数は前年に比べて74%増加しました。
根本的に、様々なタイプのDDoS攻撃の実行者やハクティビスト(※)の動機は、ターゲットのネットワークやシステムにリクエストを集中させ、ビジネス運営を妨害するか、Webサイトやアプリケーションを意図したユーザがアクセスできない状態にすることです。
これらの攻撃は年々進化しており、防御が難しくなっています。
しかし、適切な戦略とこれらの攻撃に対する包括的な理解によって、その影響を軽減することができます。
※訳注: 「ハクティビスト」とは、ハッキング(Hacking)とアクティビズム(Activism)を組み合わせた言葉です。
この用語は、政治的または社会的な目的を持ってコンピューターやインターネット技術に関する知識を使用する人々を指します。
ハクティビストは、彼らが支持する原因や信念を促進するために、通常は違法な手段を用いることがあります。
この記事では、さまざまなタイプのDDoS攻撃と、今日のハイパーコネクテッドな世界でデジタル資産を守り、ビジネス運営を中断させないための戦略について説明します。
DDoS攻撃の様々な種類
全てのDDoS攻撃の基本的な前提は同じで、被害者のITインフラストラクチャをトラフィックで詰まらせて運営を妨害することですが、実行方法は様々です。
これら異なるタイプのDDoS攻撃は、攻撃対象となるネットワーク接続層によって分類され、その検出や防御方法に大きな影響を与えます。
DDoS攻撃のタイプとその実例には以下のようなものがあります。
- CLDAPリフレクション攻撃
-
CLDAPリフレクション攻撃は、最も一般的で致命的なDDoS攻撃の一つであり、近年では新たな攻撃手法により影響が最大70倍に跳ね上がっています。
この攻撃は、LDAP(Lightweight Directory Access Protocol)の代替としてのConnectionless Lightweight Directory Access Protocol(CLDAP)を対象としています。
この攻撃では、攻撃者が被害者のIPアドレスを偽装してLDAPサーバにリクエストを送信します。
脆弱なサーバは、増幅されたレスポンスを被害者のIPアドレスに送り返し、リフレクション攻撃を引き起こします。 - AWS DDoS攻撃: 2020年
-
2020年に、Amazon Web Services Inc.は、2.3TB/秒の分散型サービス拒否攻撃を回避したと発表しました。
これはDDoS攻撃の歴史で最大の攻撃です。
AWSの報告によると、この攻撃はCLDAP DDoSリフレクション攻撃に基づいており、アプリケーションやWebサイトの運営を妨害するために大量のリクエストで対象を氾濫させることを目的としていました。 - Memcached DDoS攻撃
-
他のDDoS攻撃タイプと同様に、Memcached DDoS攻撃は、脅威のあるアクターがターゲットのサーバにインターネットトラフィックを大量に送り込む攻撃です。
この攻撃では、攻撃者が偽装されたIPアドレスを利用して、UDP memcachedサーバの脆弱性を小さなクエリで悪用し、増幅されたレスポンスを引き出して、リクエストが被害者自身から来ているように見せかけます。 - GitHub DDoS攻撃: 2018年
-
2018年、開発者が世界中で使用するオンラインコード管理プラットフォームであるGitHubがDDoS攻撃の対象となりました。
この攻撃は、GitHubのサーバに1.2Tbps、秒間1億2690万のトラフィックを送り込み、パニックに陥れました。
攻撃の源は、数千の個別のエンドポイントにまたがる1000以上の異なる自治システム(ASN)にさかのぼることができました。 - HTTPS DDoS攻撃
-
HTTPフラッド攻撃、またはレイヤー7 DDoS攻撃とも呼ばれるこの攻撃は、正当なHTTP GETまたはPOSTリクエストを利用して、サーバやアプリケーションを圧迫します。
このタイプのDDoS攻撃は、単一のエンティティによって制御されるコンピューターのネットワークであるボットネットに依存しています。
攻撃者が標準的なURLリクエストを使用するため、偽造トラフィックは正当なトラフィックとほぼ区別がつきません。 - Google攻撃: 2022年
-
HTTPS DDoS攻撃の顕著な例は、2022年6月1日にGoogleが経験したものです。
Googleのインフラとサービスは、攻撃者が複数のアドレスを使用して秒間4600万リクエストを生成した際に混乱しました。これは、以前に報告された記録より76%大きかったです。
分散型サービス拒否攻撃への対策
さまざまなタイプのDDoS攻撃の重大性と頻度が組織やセキュリティチームにとって切迫した問題となる中、これらの悪意ある攻撃の影響を回避し軽減するために戦略的なアプローチを取ることが重要です。
包括的なサイバーセキュリティ計画を実施することは、企業がネットワークインフラを強化するだけでなく、Webサイトやアプリケーションの完全性を維持するのにも役立ちます。
DDoS攻撃を防ぐためのいくつかの方法と、ユーザにシームレスなオンライン体験を提供する方法は以下の通りです。
- 攻撃面の削減
-
デジタルインフラストラクチャの回復力を確保する最初のステップの一つは、攻撃者が狙う脆弱性のポイントを限定することです。
これを行うためには、Webアプリケーションファイアウォール(WAF)やCDNサービスに依存し、脅威アクターがサーバやアプリケーションにホストされたデジタルリソースに直接アクセスするのを防ぎます。 - ネットワークトラフィックの監視と分析
-
ネットワークトラフィックに異常な活動や異常が見られた場合、それを分析し迅速に対応するサインとして捉えてください。
これを効果的に行う方法の一つは、典型的なネットワーク行動がどのようなものかを示す基準値またはベンチマークを確立することです。
この基準値から大きく逸脱するものは、ネットワークへの潜在的なセキュリティ侵害を示している可能性があります。 - クラウドベースのソリューションへの切り替え
-
クラウドベースのソリューションは、リソースのシームレスな拡張性を保証するだけでなく、従来の対応策よりもはるかに安全で信頼性が高いです。
クラウドソリューションは帯域幅が広いため、クラウドインフラストラクチャの分散性がDDoS攻撃への感受性を減らします。 - 対応計画を用意する
-
攻撃に効果的に対処し、被害を最小限に抑え、ビジネスの継続性を確保するためには、十分に策定された対応計画がどの組織にとっても重要です。
DDoS対応計画には、次のものが含まれるべきです。- 訓練された対応チーム
- 検出と警告手段
- 包括的な緩和戦略
- 内部および外部の利害関係者向けのコミュニケーションプラン
- 脆弱性評価の実施
-
脆弱性評価により、組織は攻撃者が悪用する前にネットワークの抜け穴を調査することができます。
リスクの評価、包括的なレポートの生成、評価の継続的な作業は、堅牢なサイバーセキュリティ戦略に貢献し、継続的な運営を確保します。
このアプローチは、組織が(DDoS)攻撃およびそのタイプの危険を軽減するのに役立ちます。
まとめ
分散型サービス拒否(DDoS)攻撃の影響がこれまで以上に高額で破壊的であることを知った今、状況の緊急性を認識し、ブランドアイデンティティを保護し、ビジネス運営をスムーズに維持するために積極的な対策を講じることが不可欠です。
包括的な脆弱性評価ツール、積極的なインシデント対応プロトコル、ネットワーク監視ツールなどを取り入れることで、組織はさまざまなタイプのDDoS攻撃として現れる前例のないトラフィックの急増に対処することができます。
資産を不正なハッキングから守り、メールベースのサイバー攻撃からの全面的な保護のためには、PowerDMARCの専門家にお任せください。
私たちは深い知識と広範な経験を持っており、敵対者の存在下でもデジタル資産が安全で、運営がスムーズに行われるようにします。
私たちのサイバーセキュリティソリューションについて詳しく知りたい場合は、ぜひ今日ご連絡ください!