DDoS攻撃は、標的のネットワーク帯域幅を圧倒し、洪水状態に陥らせることを目的としたボリュームベースの攻撃です。ネットワークプロトコルの弱点を悪用し、ビジネスサービスを妨害します。TCPおよびUDPプロトコルを使用し、Webサーバーなどに対するアプリケーション層攻撃も実行可能です。DDoS攻撃は大量のリクエストを送信し、リソースを消耗させることで機能停止に追い込みます。
本ガイドでは、DDoS攻撃を防止する方法と、組織を保護するために講じられる対策について説明します。
DDoS攻撃とは?
DDoS攻撃とは、分散型サービス拒否攻撃(Distributed Denial of Service Attack)のことで、インフラ全体を標的とします。DDoS脅威はコンピュータシステムを標的とし、マシンやIoTデバイスなどのネットワーク資産を悪用する可能性があります。DDoS攻撃は予期せずトラフィックを妨害し、データハイウェイを詰まらせ、通常のデータパケットが時間通りに目的地に到達するのを妨げます。
DDoS攻撃の仕組みとは?
DDoS攻撃はIoT機器が接続されたネットワークに対して行われます。これらのネットワークにはマルウェアに感染した他のデバイスも存在し得ます。攻撃者はこれらの機器に遠隔接続し、個々のデバイスはボットやゾンビと呼ばれることがあります。ボットネットとはボットの集合体を指し、一度構築されると攻撃者は各ボットに遠隔指令を送信することでDDoS攻撃を指揮・拡大できます。
ボットネットが被害者のネットワークやサーバーを標的とする場合、ホストのIPアドレスにリクエストを送信します。これらのリクエストはネットワークサーバーを圧倒する可能性があり、正常なトラフィックへのサービス拒否を引き起こします。
各ボットは正当なインターネットデバイスからのように見えるため、他のボットとの区別が困難です。
侵入するDDoS攻撃を検知する方法とは?
DDoS攻撃を防ぐ最善策の一つは、攻撃がどこかで発生していることを把握することです。DDoS攻撃を検知するには、ネットワークトラフィックに関する十分な情報を収集し、徹底的な分析を行う必要があります。これは手動で行うか、自動化されたセキュリティツールを使用して行うことができます。検知手法は、強固なDDoS防御戦略構築の鍵となります。
全パケットのインライン検査と、トラフィックフロー記録分析によるアウトオブバンド検知を実施できます。両手法はクラウドサービスやオンプレミスネットワークで利用可能です。必須のインラインDDoS検知には、侵入防止システム、ファイアウォール、ロードバランサーなどの機能が備わります。アウトオブバンドDDoS検知は、sFlow、jFlow、NetFlowなどのIPFIX対応ネットワーク、対応ルーター、スイッチからのデータフローを受信可能です。フローデータの分析を通じて攻撃を検知し、脅威を自動的に軽減します。
ビッグデータ技術を活用することで、DDoS検知の精度を向上させられます。単一サーバーでは、高トラフィック量をグローバルに追跡するのに十分な演算能力、メモリ、ストレージリソースが不足します。ビッグデータ技術を活用すれば、ネットワークイベントをリアルタイムで保存し、クラウド上のデータリポジトリにアクセスできます。これによりDDoS検知を拡張でき、継続的な投資を要する高コストな社内プロジェクト構築を回避できます。
より深い脅威インテリジェンスを得るDDoS攻撃を防ぐためのベストプラクティス
モデムの電源を切り、しばらく待ちます。ISPが、攻撃者が模倣しているIPアドレスを別のユーザーに再割り当てします。攻撃者が知らない新しいIPアドレスに割り当てられるのを待ちましょう。新しい動的IPアドレスでDNSを更新してください。
攻撃者は、あなたと関連のないIPアドレスに対してデータパケットを送り続けます。
固定IPアドレスを所有する確立された企業の場合、対策ははるかに困難になります。
DDoS攻撃対策には、SentinelOneなどのサービスが提供する保護機能を利用できます。
ネットワーク帯域幅が安価だからといって過剰に契約するのは避けましょう。DDoS攻撃の余地を広げるだけです。自動化されたDDoS対策技術とウェブトラフィック監視ツールを導入し、脅威を即座に検知・遮断してください。また、ウェブアプリケーションの保護とクラウド監査のためにサードパーティのサービスプロバイダーを活用しましょう。ウェブアプリケーションファイアウォールの導入も、疑わしいウェブトラフィックをフィルタリングするのに役立ちます。これらは中小企業向けの基本的な保護を提供します。
DDoS攻撃を防ぐ方法を学ぶために実施できるベストプラクティスを以下に示します。
1.ネットワークトラフィックについて学ぶ
通常のトラフィックパターンと異常なトラフィックパターンを理解し、DDoS攻撃の兆候となり得る異常を特定し、ネットワークを評価し、ソフトウェア、ハードウェア、全体的なトポロジーを含むネットワークの攻撃対象領域を調査し、リスクレベルを把握し、リスク対策の優先順位を付ける必要があります。攻撃の可能性を特定し、その潜在的な影響を評価し、攻撃を無力化できる能力が求められます。
2. DDoS耐性計画の策定に取り組む
DDoS攻撃から保護が必要なすべてのWebおよびクラウド資産を洗い出します。
これにはネットワーク構成も含まれ、DDoS対応計画を作成する必要があります。
通信プロトコルやエスカレーション手順を含む、攻撃を軽減する計画を設計します。ビジネス継続性を確保するための復旧手順を計画します。
DDoS対策の実施と運用に対するガバナンスと管理体制を構築し、ネットワークのコンプライアンスを確保します。日常的な運用管理や重大なインシデント発生時の障害防止にも活用できます。
3.最適なネットワークおよびインフラストラクチャのセキュリティ対策を実施する。
脅威に対する多層防御の実装、レート制限の適用、APIエンドポイントへのレート制限の追加、APIの悪用防止、DDoS攻撃のリスク軽減などの対策も講じることができる。DDoS 脅威の攻撃タイプを特定したら、特定のトラフィックをフィルタリングするか、悪意のある IP アドレスをブロックします。これにより、セキュリティ体制が強化され、さらなる攻撃を防ぐことができます。
4. DDoS 優先度バケットを割り当てる
すべての Web リソースが同等というわけではないからです。一部の資産は、他の資産よりも優先的に保護する必要があります。リソースの重要性を理解することで、DDoS セキュリティを強化することができます。一部のリソースには 24 時間 365 日の DDoS 保護が必要であり、ビジネス取引やコミュニケーションを妥協して、自社の評判を守ることは許されません。
5.ネットワークセグメンテーションを試す
ネットワークセグメンテーションを使用して資産を分離・分散させ、標的としにくくします。Webサーバーをパブリックサブネットに配置し、データベースサーバーをプライベートサブネットに保持できます。ウェブブラウザやウェブサーバーからのデータベースサーバーへの不正アクセスを制限し、他のホストを排除します。ユーザーが所在しない地域や国からのトラフィックを制限できます。これにより、ユーザーがアクセスすると想定していない地域からの潜在的な攻撃者への露出を減らせます。ロードバランサー保護技術を使用して、ウェブサーバーや計算リソースを保護できます。
進行中のDDoS攻撃を緩和する方法とは?
DDoS攻撃の警告サインを理解し、イントラネットの不具合、ウェブサイトの断続的な停止、突然のインターネット切断など、不安定なネットワーク接続の兆候を探してください。
リソース使用量の異常な急増、大量のスパムメール、不規則なログ記録、予期せぬシステムクラッシュやフリーズ、ネットワーク接続の問題は、DDoS脅威の兆候です。
DDoS攻撃に特化したトラフィック分析を実施し、ウェブサイトトラフィックが急激に増加または減少するパターンを特定します。ブラックホールルーティングを導入することも可能です。これは悪意のあるトラフィックがターゲットサーバーに到達する直前に遮断する技術です。攻撃者の発信元と特定できる特定のIPアドレスやサブネットからのトラフィックをブロックできます。
未知のIPアドレスに関連するトラフィックを遮断し、内部リソースやデバイスを監視することで、遠隔操作やボットネット化を防止できます。
これを実現するには、デバイスとソフトウェアを最新の状態に保ち、信頼性の高いVPN接続、評判の良いマルウェア対策ソリューションを利用し、ログインには強力で固有のパスワードを使用することが有効です。
ボットネット検知・除去サービスを活用し、デバイス乗っ取りリスクを低減しましょう。継続的監視とログデータ分析技術の導入を開始してください。これらはDDoS攻撃への迅速な対応を可能にする予防的アプローチを実現します。
ログの定期的な確認と堅牢なロギングインフラの維持により、DDoS脅威に対する耐性を構築できます。DDoS防御戦略の一環として、CAPTCHAチャレンジを導入してください。
これにより、人間の操作を検証し、リソース使用を制御し、アプリケーション全体のセキュリティを向上させられます。ボットはCAPTCHAリクエストを完了できず、不正なアクセス試行でウェブサイトを氾濫させることができません。ユーザーにとっては追加の障壁となりますが、最新のCAPTCHAソリューションはセキュリティとユーザー体験のバランスを取る上で驚くべき効果を発揮します。リクエスト処理中に暗号パズル課題を追加し、ユーザーを審査・認証することも可能です。これらのパズルには、数学問題の解決、ハッシュ処理、ボットネットが即座に回答できない質問などを含めることができます。
この手法により悪意のある自動リクエストをフィルタリングし、サーバーリソースが適切なユーザーに割り当てられ、ボット生成トラフィックに圧倒されないようにできます。DDoS復旧プロセスを担当する責任者をセキュリティ専門家から任命してください。データバックアップの保管場所を明確化し、定期的な保存と確認を徹底することも重要です。優れたDDoS復旧計画では、攻撃発生時に通常のセキュリティ運用を回復するための具体的な手順も明記されます。
DDoS攻撃の実例
ブリザードは最近DDoS攻撃の影響を受けています。プレイヤーは『オーバーウォッチ』、『ワールド オブ ウォークラフト』およびその他複数のゲームに接続できません。この攻撃はログインや遅延に影響を及ぼしており、ブリザードのカスタマーサービスチームはこれを認識し、現在対応に取り組んでいます。ブリザードは、この攻撃により一部のプレイヤーは遅延や切断の影響を受けると述べています。同社は、この問題の緩和に向けて積極的に取り組んでいます。イーロン・マスク氏も、大規模なサイバー攻撃によって X が混乱していると述べ、ウクライナ地域から発信されていると思われる IP アドレスを指摘しました。DDoS 攻撃は X のインフラストラクチャに対して何度も仕掛けられ、混乱を引き起こしています。新しい Eleven11bot は、86,000 台のデバイスに DDoS 攻撃を感染させました。
この攻撃は、防犯カメラやネットワークビデオレコーダーを標的とし、イランと間接的に関連がありました。Eleven11bot は、この事件の詳細を共有したノキアの研究者によって発見されました。
その攻撃キャンペーンは例外的なものであり、メキシコ、イギリス、オーストラリア、カナダなどの国々でも多くのデバイスが感染しました。
SentinelOneでDDoS攻撃を軽減
SentinelOneは、エンドポイントセキュリティソリューションを通じて堅牢なDDoS保護を提供します。そのセキュリティ機能は、DDoS攻撃を示す異常なトラフィックパターンを検知し、機械的な速度で対応することで、攻撃者がネットワークリソースを氾濫させる能力を妨害します。SentinelOneのクラウド非依存型エンドポイントエージェントは、動作にクラウド接続を必要とせず、攻撃中にインターネット接続が遮断された場合でもシステムを保護します。
SentinelOneはDDoS脅威の兆候を検知すると、関連するアラートを自動的にストーリーラインとして統合します。これによりアラート疲労を回避しつつ、セキュリティチームに実用的な文脈を提供します。このアプローチにより攻撃ベクトルの意味解釈が容易になり、新たな脅威への迅速かつ自動化された対応が可能となります。このプラットフォームは、悪意のあるプロセスの終了、ボットネットの一部である可能性のある感染デバイスのシャットダウンと隔離、さらにはシステムを攻撃前の状態に復元するためのイベントのロールバックなど、迅速かつ自動化された修復に優れています。
SentinelOne のアーキテクチャは、セキュリティ管理を大幅に簡素化し、インフラストラクチャの複雑さを軽減します。このプラットフォームは、複数のセキュリティ機能を 1 つの強力なコンソールに統合するため、さまざまな種類の DDoS 脅威を軽減するために複数のソリューションを用意する必要がなくなります。この統合により、攻撃者が分離されたセキュリティソリューション間のギャップを悪用することを防ぎます。
SentinelOne の 24 時間 365 日の SOC スタッフは、優れた監視と管理を提供し、組織のサイバーセキュリティの専門知識のギャップを減少させます。そのセキュリティの専門家は、DDoS 攻撃が実行される前に、絶えず接近する DDoS 脅威を監視し、このような壊滅的な攻撃に対するセキュリティ体制を強化します。SentinelOneはDDoS対策戦略を事後対応型から事前予防型へ転換し、高度な攻撃キャンペーンにも拘わらず事業継続性を保証します。
まとめ
DDoS攻撃からビジネスを守るには、警戒心、計画性、そして適切なセキュリティツールの活用が必要です。本マニュアルで示したベストプラクティスを実践することで、これらの破壊的攻撃への曝露を大幅に低減できます。DDoS対策は単発の活動ではなく、防御態勢を監視・分析・強化する継続的なプロセスです。新たな攻撃経路や防御戦略に関する情報を常に把握し、オンライン資産を可能な限り保護してください。
攻撃を受けた後に防御を強化するのを待ってはいけません。SentinelOne のようなエンドツーエンドのソリューションは、DDoS 保護計画を事後対応型から事前対応型へと転換します。今すぐ、現在のセキュリティ管理を監査し、潜在的な弱点を特定し、進化する脅威の存在下でもビジネスを稼働させ続ける多層防御アプローチを導入してください。
FAQs
DDoS(分散型サービス拒否)攻撃とは、標的となるサーバー、サービス、またはネットワークの通常のトラフィックを、突然の大量のインターネットトラフィックで氾濫させることで妨害しようとする違法な試みです。一般的なDoS攻撃とは異なり、DDoS攻撃では多数の乗っ取られたコンピュータシステム(通常は数千台の乗っ取られたデバイスで構成されるボットネット)を攻撃ベクトルとして利用します。攻撃ではTCPおよびUDPプロトコルが使用され、Webサーバーに対してアプリケーション層攻撃を実行し、リソースを消費することで正当なユーザーがサービスにアクセスできなくします。
DDoS攻撃はオンライン事業を完全に停止させ、膨大なダウンタイムと収益損失を引き起こすため深刻な脅威です。通常、データ侵害やマルウェア感染といったより破壊的な攻撃の煙幕として機能します。財務的損失には、対策の直接費用、評判低下による間接損失、顧客信頼の喪失が含まれます。新たなDDoS攻撃はますます高度化しており、複数の脆弱性を同時に攻撃できるものもあり、適切な保護対策とツールなしでは防御が困難です。
DDoS攻撃には様々な形態があります。ボリューム攻撃はUDP、ICMP、または偽装パケットを用いた高トラフィックでネットワークを圧倒し、帯域幅を枯渇させます。プロトコル攻撃はSYNフラッドを用いたTCPなどのネットワークプロトコル脆弱性を悪用し、サーバーリソースを攻撃します。アプリケーション層攻撃はウェブアプリケーションの脆弱性を狙い、正当なリクエストを装いながらサーバーリソースを枯渇させます。また、トラフィック量を増幅させる増幅攻撃や、複数の手法を組み合わせて防御を突破し対策困難にするマルチベクター攻撃も存在します。
はい、コンテンツ配信ネットワーク(CDN)は、トラフィックを世界中の複数のサーバーに分散させることで、DDoS攻撃に対する広範な保護を提供できます。CDNはネットワークエッジで攻撃トラフィックを遮断し、オリジンサーバーに到達させません。CDNには組み込みのトラフィックフィルタリング機能が備わっており、悪意のあるリクエストがインフラに影響を与える前に自動的に検知・ブロックします。またトラフィックのレート制限機能を備え、急激なトラフィック増加にも即座に対応可能です。ただし、単独の解決策としてではなく、包括的な多層防御戦略の一環として使用した場合に最も効果を発揮します。
DDoS攻撃発生後は、攻撃ベクトルと悪用された脆弱性を特定するため、包括的な事後分析を実施してください。その結果に基づきインシデント対応計画を見直し、早期警告サインを検知できる高度なトラフィック監視システムを導入しましょう。ネットワーク設計の監査と強化(セグメンテーションの改善)を実施し、帯域幅容量の増強を検討してください。専門セキュリティサービスによるDDoS対策の強化、CAPTCHAや暗号パズルなどの導入、防御システムの定期的なテストを実施してください。DDoS復旧プロセス管理を担当するセキュリティ専門家を配置し、データの定期的なバックアップを実施してください。
ボット対策は、正規ユーザーと悪意のある自動化されたトラフィックを区別することでDDoS攻撃を防止します。CAPTCHAチャレンジ、行動分析、デバイスフィンガープリントなどの技術を用いてボットトラフィックを識別・遮断します。これらの認証プロセスにより、自動化されたトラフィックがリソースに到達するのを防ぎ、実際のユーザーが妨げられることなくサービスを利用できるようにします。これらのプロセスは、デバイスがボットネットにハイジャックされるのを防ぎ、ほとんどのDDoS攻撃が影響を与えるのを効果的に防止できます。ボット対策技術は、現在では完全なDDoS保護ソリューションの基本的な構成要素となっています。