DDoS攻撃の種類とその防止方法

DDoS全貌と守りの極意

2024年6月18日
著者: Ahona Rudra
翻訳: 岩瀨　彩江

この記事はPowerDMARCのブログ記事 Types of DDoS Attacks and How to Prevent Them の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

数あるサイバー脅威の中でも、分散型サービス拒否（DDoS）攻撃とその種類は、最も悪質で広範に及ぶものの一つです。
ある報告によると、2022年にはDDoS攻撃の件数が前年と比較して74％増加しました。
組織は、初期段階からでもDDoS攻撃を防止するための措置を講じるべきです。

DDoS対策は重要です。なぜなら、悪意のある攻撃者がネットワークに大量のトラフィックを送り込み、一時的または永久的にネットワークを停止させることを防ぐためです。
トラフィックの過負荷は接続を妨げ、正規のユーザがあなたのWebサイトにアクセスできなくなります。
基本的に、DDoS（分散型サービス拒否）攻撃とは、ハッカーが偽のトラフィックを大量に送り込み、ネットワークやサーバをクラッシュさせることを目的とするサイバー犯罪です。

メッセージ、接続要求、またはデータパケットの予期せぬ急増によって、標的となったシステムは圧倒され、動作が遅くなったり停止したりします。
さまざまなタイプのDDoS攻撃を行う加害者やハクティビストの目的は、ターゲットのネットワークやシステムをリクエストで氾濫させ、業務を妨害したり、Webサイトやアプリケーションを本来のユーザが利用できないようにすることです。
他の目的としては、多額の身代金を支払わせるための強要、ビジネス上の競争相手のサービス妨害、ブランドイメージの損傷、あるいはインシデント対応チームの注意をそらしてさらに大規模な攻撃を試みることなどがあります。

これらの攻撃は年々進化しており、防御がますます難しくなっています。
しかし、適切な戦略とこれらの攻撃に対する十分な理解があれば、その影響を軽減することができます。
また、このような攻撃はフィッシングやなりすまし（スプーフィング）など、他の形態のサイバー犯罪にも発展する可能性がありますが、SPF、DKIM、DMARCを使用することでそれらを軽減できます。

この記事では、さまざまな種類のDDoS攻撃と、デジタル資産を保護し、今日の高度に接続された世界でビジネスを中断させないための戦略について解説します。
IPベースのDDoS攻撃の影響は大きく、収益の損失、評判の損傷、さらには法的責任にまで及ぶ可能性があります。
さらに、これらの攻撃の頻度と強度は増加しており、ネットワーク管理者やセキュリティ専門家にとって、その性質と影響を理解することが極めて重要になっています。

重要なポイント

1. DDoS攻撃は、SYNフラッド、UDPフラッド、リフレクション攻撃などの手法を用いて、アプリケーション層、プロトコル層、ボリューメトリック層といったさまざまなネットワーク層を悪用し、システムを過負荷にさせます。
2. 効果的な防御には、多層的なアプローチが必要です。
   具体的には、攻撃対象領域の削減（WAF、CDNの利用）、ネットワーク監視、サーバの冗長化、そして堅牢なセキュリティ運用が含まれます。
3. DDoS攻撃の検知には、トラフィックの基準値を設定し、異常（C&Cサーバとの通信など）を監視し、リアルタイム分析を実施することが重要です。
4. 訓練を受けたチームと明確な手順を含む包括的なDDoS対応計画は、ダウンタイムと被害を最小限に抑えるために不可欠です。
5. DDoS攻撃によるコストは、単なるダウンタイムにとどまらず、重大な財務的損失、評判の低下、そして業務上の支障にまで及びます。
   そのため、積極的なサイバーセキュリティ意識と予防対策の重要性が一層高まっています。

さまざまな種類のDDoS攻撃

すべてのDDoS攻撃の基本的な目的は同じであり、すなわち被害者のITインフラにトラフィックを詰まらせ、業務を妨害することです。
しかし、その実行方法にはさまざまな手法があります。
これらの異なるタイプのDDoS攻撃は、攻撃対象となるネットワーク接続層によって分類され、検出および防御の方法が大きく異なります。

一般的に、DDoS攻撃は次の3つの主要なカテゴリに分類されます。
ボリューメトリック攻撃（Volumetric Attacks）、プロトコル攻撃（Protocol Attacks）、およびアプリケーション層攻撃（Application Layer Attacks）です。

ボリューメトリック攻撃（Volumetric Attacks）

これは、ターゲットとインターネット全体との間の利用可能な帯域幅をすべて消費することを目的としています。
増幅技術を用いてWebサイトの帯域幅を減少させます。
この攻撃は複数のIPアドレスからトラフィックが送信されるように見えるため、検出が困難です。
代表的な例としては、UDPフラッドやICMPフラッドがあります。

プロトコル攻撃（Protocol Attacks）

これは、サーバ資源やファイアウォール、ロードバランサなどの中間通信機器の資源を消耗させることを狙います。
代表的な例として、SYNフラッドやPing of Death攻撃があります。

アプリケーション層攻撃（Application Layer Attacks）

これは、特定のアプリケーションやサービスを標的とし、SIP、音声サービス、BGPなどの脆弱性を悪用したり、一見正当なリクエストを大量に送りつけてアプリケーションがコンテンツを配信できなくなるようにします。
代表的な例として、HTTPフラッドがあります。

以下では、特定のDDoS攻撃タイプとその実際の事例をいくつか紹介します。

CLDAP反射攻撃

最も一般的かつ致命的なタイプのDDoS攻撃の一つであり、近年では新たな脆弱性の影響が最大で70倍に跳ね上がることもあります。
この攻撃は、Connectionless Lightweight Directory Access Protocol（CLDAP）を標的とします。
CLDAPはLDAP（Lightweight Directory Access Protocol）の代替プロトコルです。

この攻撃では、攻撃者が被害者の送信元IPアドレスを偽装して脆弱なCLDAPサーバにリクエストを送信します。
脆弱なサーバは増幅された応答を被害者のIPアドレスに返し、これにより反射（リフレクション）攻撃が発生します。
これはボリューメトリック攻撃の一種です。

AWSへのDDoS攻撃：2020年

2020年、Amazon Web Services Inc.（AWS）は、史上最大規模となる毎秒2.3テラバイトの分散型サービス拒否（DDoS）攻撃を回避したことを明らかにしました。
AWSの報告によると、この攻撃はCLDAP DDoS反射攻撃に基づくものであり、ターゲットとなったアプリやWebサイトに膨大な数のリクエストを送りつけ、運用を妨害することを目的として仕組まれたものでした。

Memcached DDoS攻撃

他のDDoS攻撃と同様に、Memcached DDoS攻撃は、攻撃者がターゲットのサーバに対して大量のインターネットトラフィックを送り込み、過負荷状態にする攻撃です。
この攻撃では、攻撃者が偽装されたIPアドレスを使用し、脆弱なUDPベースのMemcachedサーバに小さなクエリを送信します。
すると、サーバは被害者のIPアドレスに対して増幅された応答を返すため、まるで被害者自身がリクエストを送信しているかのように見せかけます。
これは、反射型ボリューメトリック攻撃の一例です。

GitHubへのDDoS攻撃：2018年

2018年、世界中の開発者が利用するオンラインコード管理プラットフォームであるGitHubがDDoS攻撃の標的となりました。
この攻撃では、GitHubのサーバに毎秒1.2テラビットという膨大なトラフィックが送り込まれ、1秒あたり1億2690万件のリクエストが発生しました。
攻撃の発信元は、1,000を超える自律システム（ASN）および数万に及ぶ個々のエンドポイントに分散していたことが突き止められました。

HTTPフラッド攻撃

別名レイヤー7のDDoS攻撃（アプリケーション層攻撃）は、一見正当なHTTPのGETまたはPOSTリクエストを悪用してサーバやアプリケーションを圧迫します。
大きなパケットを送る代わりに、攻撃者はHTTP/HTTPS接続上で多数のリクエストを送信します。
これにより、ターゲットホストで高いCPU使用率とメモリ消費が発生し、リクエストを処理してから応答する必要があるため、最終的に「サーバが混雑しています」や「リソースが利用できません」といったエラーメッセージが表示される可能性があります。

これらのタイプのDDoS攻撃は、単一の主体により制御される感染したコンピュータ群であるボットネットを利用することが多いです。
攻撃者が標準的なURLリクエストを使用するため、偽装されたトラフィックは有効なトラフィックとほとんど区別がつきません。
その結果、Webサイトやサーバが利用不能になることがあります。

Googleへの攻撃：2022年

HTTPS DDoS攻撃の代表的な例の一つが、2022年6月1日に発生したGoogleへの攻撃です。
このとき、攻撃者は複数のアドレスを使用して毎秒4,600万件を超えるリクエストを生成し、Googleのインフラストラクチャとサービスに障害を引き起こしました。
この攻撃は、これまでに報告された記録を76％も上回る規模でした。

SYNフラッド攻撃

このプロトコル攻撃の一種は、ネットワークに対する最も一般的な攻撃の一つです。
この攻撃では、攻撃者が大量のSYNパケット（TCPハンドシェイクの一部）をサーバに送信し、しばしば送信元IPアドレスを偽装します。
サーバは各SYN要求に対してSYN-ACKパケットで応答し、最終的なACKパケットを待ちますが、偽装されたアドレスからはそのACKが送られてきません。
その結果、多数の半開き（ハーフオープン）接続が残り、サーバ資源が消費されて正規のリクエストに対応できなくなるまで続きます。

UDPフラッド攻撃

このボリューメトリック攻撃は、攻撃者が大量のUDPパケットをターゲットサーバのランダムなポートに送信する攻撃です。
サーバはこれらのパケットを処理しようとし、該当ポートで待ち受けているアプリケーションがあるかを確認します。
見つからない場合、サーバはICMPの「宛先到達不能（Destination Unreachable）」パケットで応答します。
受信するUDPパケットの膨大な量と送信されるICMP応答によって、サーバのリソースやネットワーク帯域幅が枯渇し、サービス障害を引き起こす可能性があります。

Smurf攻撃

このボリューメトリック／反射攻撃の一種は、偽装されたICMPエコー要求（ping）を利用します。
攻撃者はこれらのpingをネットワークのブロードキャストアドレスに送信し、送信元IPとして被害者のIPアドレスを偽装します。
ブロードキャストネットワーク上のすべての機器が被害者の偽装されたアドレスに対してICMPエコー応答を返し、その結果としてターゲットのコンピュータが1秒間に数千件のpingで氾濫し、圧倒される可能性があります。

Ping of Death攻撃

このプロトコル攻撃の一種は、IPフラグメンテーションを悪用する古典的なDDoS攻撃の一つです。
攻撃者は最大許容サイズ（65,535バイト）を超えるIPパケットを断片化して送信します。
標的となったシステムがそれらの断片を再構成しようとすると、バッファオーバーフローやシステムクラッシュを引き起こす可能性があります。

この攻撃は、修正が適用されていない古いシステムでは特に効果的でした。
現在では多くのOSで対処が改善されているため効果は低下していますが、プロトコルの脆弱性を突くという原則は依然として重要です。

分散型サービス拒否（DDoS）攻撃からの防御

さまざまな種類のDDoS攻撃の深刻さと頻度が組織やセキュリティチームにとって喫緊の課題となる中、これらの悪意ある攻撃を回避し、その影響を軽減するためには、戦略的なアプローチを取ることが極めて重要です。
包括的なサイバーセキュリティ計画を実行することは、企業がネットワークインフラを強化するだけでなく、Webサイトやアプリケーションの完全性を維持するうえでも有効です。
以下では、DDoS攻撃を防止し、ユーザに途切れのないオンライン体験を提供するためのいくつかの方法を紹介します。

攻撃対象領域の露出を減らす

堅牢なデジタルインフラを確保するための最初のステップの一つは、攻撃者が狙う脆弱な箇所を最小限にすることです。
重要なドキュメント、アプリケーション、ポート、プロトコル、サーバ、その他の潜在的な侵入ポイントを保護しましょう。
そのためには、Webアプリケーションファイアウォール（WAF）やCDNサービスを利用し、攻撃者がサーバやアプリケーション上にホストされているデジタル資産へ直接アクセスするのを防ぐことができます。

CDNはコンテンツをグローバルにキャッシュしてリクエストを処理し、WAFは悪意のあるリクエストをフィルタリングします。
また、ロードバランサを使用してトラフィックを分散し、Webサーバを保護することも重要です。
さらに、ハッカーに悪用される可能性のある不要なサービスや開放ポートを削除し、Webサイトやアプリケーションを定期的にクリーンアップすることを推奨します。

ネットワークトラフィックの監視と分析

ネットワークトラフィックに異常な動作や不審な兆候が見られた場合、それは分析と迅速な対応が必要であるという警告と捉えるべきです。
これを効率的に行う方法の一つが、通常のネットワーク動作を基準として定義するベースライン分析（Baseline Traffic Analysis）です。
このベースラインから大きく逸脱する動きが見られた場合、セキュリティ侵害の可能性があります。

警戒すべき兆候としては、接続不良、パフォーマンスの低下、特定のエンドポイントへの過剰なトラフィック、頻繁なクラッシュ、または単一のIPアドレスやグループからの異常なトラフィックパターンなどが挙げられます。
少量で短時間の攻撃であっても危険である場合があります。

継続的なトラフィックおよびパケットのプロファイリングによる早期検知は不可欠です。
ボットネットが使用する既知のコマンド＆コントロール（C&C）サーバとの通信を監視しましょう。
ルールベースのイベント相関システムなどを用いて、疑わしい活動を自動的に検出・対応するリアルタイムの反応体制を構築することが重要です。

堅牢なネットワークセキュリティを確保する

攻撃を早期に検知し、その影響を最小限に抑えるためには、多層的なネットワークセキュリティを実装することが重要です。
ファイアウォールや侵入検知システム（IDS）を使用してトラフィックをフィルタリングし、ウイルス対策ソフトウェアやマルウェア対策プログラムを導入しましょう。

送信元アドレスの検証（例：インバウンドフィルタリング）により、IPアドレスのなりすましを防止するツールを使用することも有効です。
ネットワークのすべてのエンドポイント（デスクトップ、ノートPC、モバイルデバイスなど）を保護することが重要です。これらはしばしば攻撃者に悪用されるためです。

また、ネットワークセグメンテーションを実施してシステムをサブネットに分割し、特定のセグメントが侵害された場合の被害範囲（ブラストラディウス）を制限することを検討しましょう。
さらに、ネットワークのブロードキャストを制限することも効果的です。
可能であれば、ブロードキャスト転送を制限または無効化し、echoやchargenなどの不要なサービスを停止してください。

サーバの冗長性を確保する

複数の分散サーバを使用することで、攻撃者がすべてのサーバを同時に攻撃することが難しくなります。
1台のホスティングサーバが攻撃を受けた場合でも、他のサーバが稼働を維持し、対象システムが復旧するまでトラフィック負荷を引き継ぐことができます。

地理的に分散したデータセンターやコロケーション施設にサーバを配置することで、ネットワークのボトルネックを回避できます。
さらに、コンテンツデリバリネットワーク（CDN）は、コンテンツを複数のサーバに分散して配信する仕組みにより、冗長性を本質的に備えています。

クラウドベースのソリューションへ移行し、プロバイダの機能を活用する

クラウドベースのソリューションは、リソースのシームレスなスケーラビリティを実現するだけでなく、従来のオンプレミス環境よりも安全性と信頼性が高い場合が多いです。
クラウドプロバイダは通常、個々の組織よりもはるかに大きな帯域幅を持っており、ボリューメトリック攻撃の成功を困難にします。
また、クラウドインフラの分散構造そのものが、攻撃への脆弱性を低減させます。

さらに、インターネットサービスプロバイダ（ISP）やクラウドプロバイダも重要な役割を担っています。
ISPは、悪意のあるトラフィックを上流でブロックしたり、不審なアクティビティを監視したり、攻撃発生時にオンデマンドで帯域幅を提供したり、攻撃トラフィックを分散させたりすることができます。
多くのクラウドプロバイダは、DDoS攻撃の検出と軽減を効果的に行うために、自社のスケールと専門知識を活かした専用のDDoS保護サービスを提供しています。

対応計画を策定しておく

攻撃発生時にインシデントへ効果的に対応し、被害を最小限に抑え、事業継続を確保するためには、綿密に構築された対応計画が不可欠です。
インフラが複雑であるほど、計画の内容も詳細である必要があります。
DDoS対応計画には、以下の要素を含めることが望ましいです。

• システムチェックリスト
• 訓練を受けた対応チーム
• 検知およびアラート手順／プロトコル
• 包括的な緩和戦略（防御の有効化方法、プロバイダへの連絡手順など）
• 社内外の関係者向けコミュニケーション計画（報告が必要な関係者の一覧を含む）
• 攻撃中も事業運営を継続するための手順
• ミッションクリティカルなシステムの一覧

このような計画を事前に整備しておくことで、攻撃発生時の混乱を防ぎ、迅速かつ的確な対応が可能になります。

脆弱性評価を実施する

脆弱性評価は、攻撃者に悪用される前に、自社のネットワーク、システム、アプリケーション内の抜け穴を体系的に確認・検証するための重要なプロセスです。
これには、ネットワークおよび無線環境の評価、ポリシーの見直し、Webアプリケーションやソースコードの欠陥検査などが含まれ、多くの場合、自動スキャンツールが使用されます。

リスクを評価し、包括的なレポートを作成し、継続的に評価作業を実施することで、強固なサイバーセキュリティ戦略を構築し、業務の継続性を確保することができます。
このようなアプローチは、DDoS攻撃およびその多様な形態による脅威を軽減するのに役立ちます。

適切なサイバー衛生習慣を身につけ、実践する

チームは、システムが侵害されてボットネットに悪用されるのを防ぐために、適切なサイバー衛生（サイバー・ハイジーン）習慣を実践できるよう訓練されている必要があります。
そのための主なポイントは次のとおりです。

• 強力で一意のパスワードを設定する（少なくとも12文字以上で、数字・記号・大文字・小文字を含む）
• パスワードの共有や使い回しを避ける
• 可能な限り二要素認証（2FA）を使用し、追加のセキュリティ層を設ける
• ノートPC、タブレット、スマートフォン、外付けドライブ、クラウドストレージなどのデバイスに暗号化を適用する
• ソフトウェアおよびシステムを常に最新のセキュリティパッチで更新する

これらの習慣を日常的に実践することで、組織全体のセキュリティ体制を強化し、サイバー攻撃のリスクを大幅に低減できます。

DDoS攻撃にかかるコスト

DDoS攻撃は、より長期化・高度化・大規模化しており、企業にとってのコストが大幅に増加しています。
Ponemon Instituteの調査によると、DDoS攻撃によるダウンタイムの平均コストは1分あたり最大で22,000ドルに達する可能性があります。

実際のコストは、業種、企業規模、攻撃の継続時間、ブランドの評判などの要因によって異なります。
しかし、真の損失は単なる直接的な金銭的被害にとどまらず、次のようなさまざまな形で表れます。

直接的なコスト

帯域幅の消費、ハードウェアの損傷や交換、緩和サービスの利用料など。

法的コスト

機密データの漏えいまたはサービスレベル契約（SLA）の違反が発生した場合の訴訟費用や規制罰金。

知的財産の損失

攻撃がデータ窃取の隠れ蓑として利用される場合。

生産性および業務上の損失

売上の損失、生産性の低下、サービス停止による顧客離れなど。

評判の損失

顧客、パートナー、投資家からの信頼喪失など、長期的な影響を及ぼす可能性があります。

復旧対応に伴うコスト

スクラビングセンターの構築・維持、専用ハードウェアの導入、インシデント対応活動などに要する費用。

このように、DDoS攻撃は単なる一時的な被害ではなく、企業の財務、運用、評判のすべてに深刻な影響を及ぼす可能性があります。

まとめ

分散型サービス拒否（DDoS）攻撃の影響がこれまで以上に高コストで深刻な混乱をもたらすことが明らかになった今、状況の緊急性を認識し、ブランドの信頼性を守りながら円滑な事業運営を維持するために、積極的な対策を講じることが不可欠です。
IPベースのDDoS攻撃の将来は不透明ですが、依然として重大な脅威であり続けるでしょう。
技術の進歩に伴い、攻撃者はより高度なツールを入手できるようになり、防御はますます困難になります。

したがって、組織はサイバーセキュリティへの取り組みを「受動的」ではなく「能動的」に進める必要があります。
包括的な脆弱性評価ツール、積極的なインシデント対応プロトコル、ネットワーク監視ツール、サーバの冗長化、堅牢なネットワークセキュリティ、クラウドソリューションの導入、そして従業員のサイバーセキュリティ意識の向上を組み合わせることで、組織はさまざまなタイプのDDoS攻撃として現れる前例のないトラフィックの増加に対抗することができます。

違法なハッキングから資産を守り、電子メールを基盤としたサイバー攻撃から包括的に保護するには、PowerDMARCの専門家にお任せください。
当社の豊富な知識と経験に基づき、敵対的な攻撃に直面しても、デジタル資産の安全を確保し、業務の円滑な継続を実現します。
当社のサイバーセキュリティソリューションについて詳しく知りたい方は、ぜひ今すぐお問い合わせください。