ICMPフラッド攻撃(別名:Pingフラッド)は、ICMPエコー要求パケットで標的を圧倒するDDoS攻撃の一種です。本ガイドでは、これらの攻撃の仕組み、ネットワーク性能への潜在的な影響、および対策戦略について解説します。
攻撃者が使用するツールや手法、そしてこうした破壊的な脅威からネットワークを保護する方法について学びましょう。ICMPフラッド攻撃を理解することは、ネットワークのセキュリティと可用性を維持するために不可欠です。
ICMPフラッド(Pingフラッド)DDoS攻撃とは?
ICMPフラッド(Pingフラッド)は、インターネット制御メッセージプロトコル(ICMP)を利用して大量のネットワークトラフィックで標的を圧倒するDDoS攻撃の一種です。攻撃者はこの手法を用いて標的のオンラインサービスを妨害し、正当なユーザーが利用できない状態にします。
- インターネット制御メッセージプロトコル(ICMP) –ICMPは、ルーターやスイッチなどのネットワーク機器がエラーメッセージや運用情報を伝達するために使用するネットワーク層プロトコルです。「宛先到達不能」や「時間切れ」などのICMPメッセージは、ネットワーク管理者がネットワークの問題を特定し解決するのに役立ちます。
- ICMP エコー要求とエコー応答 ― ICMP エコー要求(通称「ping」)は、ネットワーク接続性をテストするためにあるデバイスから別のデバイスへ送信されるメッセージです。受信デバイスは ICMPEcho Reply メッセージで応答し、ネットワーク上での存在を確認します。
ICMP フラッド(Ping フラッド)DDoS 攻撃はどのように機能するのか?
ICMP フラッド攻撃では、攻撃者はターゲットに大量の ICMP Echo Request メッセージを送信し、ターゲットのネットワークリソースと帯域幅を圧倒します。その結果、ターゲットは正当なリクエストを処理できなくなり、サービスの中断や停止を引き起こします。
- 偽装されたIPアドレス –攻撃者はICMPフラッド攻撃において、検知や追跡回避のため偽装IPアドレスを多用します。この手法により攻撃元の特定や対策が困難になります。
- ボットネット –攻撃者はボットネット– マルウェア に感染した侵害されたデバイスのネットワーク – を利用して、大規模な ICMP フラッド攻撃を仕掛ける可能性があります。攻撃者は複数のデバイスを同時に使用することで攻撃の影響を増幅させ、対策をより困難にします。
ICMPフラッド(Pingフラッド)DDoS攻撃の対策手法
ICMPフラッド攻撃を緩和し、クラウドインフラをその影響から保護するための技術と戦略はいくつかあります:
- トラフィックフィルタリング –トラフィックフィルタリングルールを実装することで、正当なリクエストを通過させつつ、悪意のあるICMPトラフィックを識別・ブロックできます。
- レート制限 – レート制限を使用すると、ネットワークが受信するICMPエコー要求メッセージの数を制御でき、ICMPフラッド攻撃の影響を軽減できます。
- 異常検知 — 異常検知システムはネットワークトラフィックのパターンを監視し、ICMPトラフィックの急激な増加など、進行中のICMPフラッド攻撃を示す可能性のある異常な活動を検出します。
SentinelOne Singularityでクラウドインフラを保護 XDR
SentinelOne Singularity XDRは、クラウドインフラストラクチャの保護を支援する高度なサイバーセキュリティプラットフォームです。
• AI駆動型脅威検知 – SentinelOne Singularity XDRは人工知能と機械学習を活用し、脅威をリアルタイムで検知・対応します。この先進技術によりICMPフラッド攻撃やその他の悪意ある活動を特定し、迅速な対応と緩和を実現します。
• ネットワークトラフィック分析 –ネットワーク トラフィックを継続的に分析することで、SentinelOne Singularity XDR は進行中の ICMP フラッド攻撃を示唆する異常なパターンや異常を検出するのに役立ちます。
• 統合されたエンドポイントおよび クラウドセキュリティ —SentinelOne Singularity XDRは、統合されたエンドポイントおよびクラウドセキュリティプラットフォームを提供し、ICMPフラッド攻撃やインフラを標的とするその他のサイバー脅威に対する包括的な保護を実現します。
• 自動化された対応と修復 –SentinelOne Singularity XDRは、検知された脅威に自動的に対応し、ICMPフラッド攻撃の影響を軽減し、組織のダウンタイムを最小限に抑えるように設計されています。
Conclusion
ICMPフラッド(Pingフラッド)DDoS攻撃は、オンライン業務を深刻に妨害し、クラウドインフラのセキュリティを脅かす可能性があります。これらの攻撃の性質を理解し、効果的な対策を実施することで、組織への影響を最小限に抑えられます。ICMPフラッド攻撃やその他のサイバー脅威に対する高度な保護を実現し、重要なシステムとデータの継続的なセキュリティと可用性を確保できます。
堅牢なサイバーセキュリティソリューションへの投資により、サイバー脅威に一歩先んじましょう。サポートが必要な場合は、今すぐSentinelOneにお問い合わせください。
ICMPフラッドに関するよくある質問
ICMPフラッド攻撃は、ターゲットに膨大な数のping(ICMPエコー要求)パケットを送信し、その応答能力を圧倒します。被害者に各pingの処理と応答を強制することで、攻撃者はネットワーク帯域幅やシステムリソースを枯渇させます。フラッドが十分に大規模な場合、正当なトラフィックは破棄され、サービスは遅延または停止します。全てのドアを激しくノックして通常通り開けられなくする行為と捉えられます。
攻撃者は標的のIPアドレスに対し、高速かつ継続的なICMPエコー要求メッセージを送信します。各リクエストはエコー応答を要求するため、被害者は応答にCPUサイクルと帯域幅を消費します。リクエストがホストの処理能力を大幅に超えると、ネットワークスタックが過負荷状態に陥ります。パケットがキューに蓄積され、ルーターは新規トラフィックをドロップし、応答時間が急増します。攻撃者が停止するか防御が作動するまで、このフラッドは継続します。
攻撃者は影響を拡大するため、被害者のIPを偽装し、第三者のホストにICMPリクエストを送信します。これらのホストは偽装されたアドレスに返信し、各返信が被害者をフラッド状態に陥れます。これはICMP増幅攻撃と呼ばれます。フィルタリングが緩い一部のルーターやサーバーは、より大きな応答パケットを返すため、トラフィックが倍増します。攻撃者は複数のリフレクターを同時に連鎖させることで、自身のネットワークに追加負荷をかけずにフラッドを拡大します。
受信ICMPトラフィックが急激に増加します(毎秒数万パケットに達することも)。ネットワーク監視ツールでは、対応する送信フローがないリンクで高い利用率が報告される場合があります。攻撃対象のサーバーでは、ping処理によるCPU使用率の上昇、パケットキューの増加、パケット損失が発生します。ユーザーは遅延やタイムアウトを認識します。フラッドはフィルタリングまたはスロットリングされるまで継続的に発生することが多い。
フラッド発生時、帯域幅は悪意のあるpingで占有されるため、正当なリクエストは通過困難になります。ルーターやスイッチはバッファを満杯にし、遅延を増加させます。ウェブやVoIPなどの重要サービスはタイムアウトまたは失敗する可能性があります。ターゲットのCPUは各エコー処理で急上昇し、アプリケーション処理を遅延させます。放置するとパケットロスが100%に達し、システムを事実上オフライン状態に追い込みます。
ルーターやファイアウォールでICMPレートを制限し、1秒あたりに通過するエコー要求数を上限設定できます。偽装された送信元IPをブロックするため、インバウンド/アウトバウンドフィルタリング(BCP 38)を設定してください。過剰なpingがコアに到達する前に破棄するため、ネットワークACLやDDoS保護サービスを活用しましょう。クラウド環境では、ボリューム攻撃防御機能を有効化してください。最後に、ICMPの傾向を監視し、閾値アラートを設定して迅速な対応を可能にします。