年末年始を襲ったDDoS攻撃の波
新年明けましておめでとうございます、というには少し時間が経ってしまいました。
本年もよろしくお願いいたします。
2024年も多くのセキュリティインシデントが発生しました。特にランサムウェアによる被害は年々増加していることから、2025年も最も警戒すべきインシデント類型といえるでしょう。
一方で、この年末年始はDDoS攻撃による被害が相次ぎました。三菱UFJ銀行やみずほ銀行などの大手銀行、日本航空、NTTドコモなど、様々な業種の組織が標的となり、システム障害や、WEBサイトへアクセスしづらくなるなどの影響が出たとのことです。
DDoS攻撃は古くからある攻撃手法で、現在では被害を軽減する対策も知れ渡り、多くの企業では対策が行われていることかと思います。それでも上述のような大手企業を始めとして、多くの組織が、少なくとも公表する必要がある程度の影響を受けました。
今回は改めてDDoS攻撃とは何かを説明しつつ、DDoS攻撃を巡る動向について検討します。
DoS攻撃とDDoS攻撃の違い
DDoS攻撃について説明するために、まずDoS攻撃について簡単に解説します。
DoS攻撃とは
DoS攻撃とは”Denial of Service Attack”の略で、直訳すると「サービス拒否攻撃」といった意味合いです。攻撃の内容としては、対象のサーバに大量にデータを送付し、サーバをパンクさせるものとなります。
有名なものとしては「F5アタック(F5連打)」というものがあり、キーボードのF5キーを連打してWEBサイトの再読み込みを連続して行うことで、サーバに負荷をかける攻撃です。
(繋がりづらいサイトを何とか表示させるために悪意なく実施してしまっている方もいるかもしれません。有名過ぎてほとんどのサイトでは対策されているとは思いますが、サイト側のサーバに負荷がかかり、他のユーザにも迷惑がかかる可能性があるため、絶対に止めましょう。)
DDoS攻撃とは
このDoS攻撃を発展させたものがDDoS攻撃です。DDoS攻撃は”Distributed Denial of Service Attack”の略で、「分散型サービス拒否攻撃」といった意味になります。
この「分散型」というのは、攻撃元が分散していることを指します。
先ほど例示したF5アタックは単一のコンピュータから大量のデータ送付を行う攻撃でしたが、DDoS攻撃の場合は大量のコンピュータからデータ送付を行います。
例えば、人気アーティストの公演チケットが発売した際に、多くのファンが予約を試みてアクセスしたためにサーバ側のリソースがひっ迫し、予約サイトに繋がりづらくなるようなケースがよく見られますが、このような状態を意図的に発生させるのがDDoS攻撃です。 もちろん攻撃者を大量に用意するのは現実的ではないので、実際には不特定多数のコンピュータを乗っ取り、乗っ取ったコンピュータ群(ボットネットといいます)から大量にデータを送付させる形が取られます。
非常に簡単に図示すると、以下のようになります。
DDoS攻撃がDoS攻撃よりも対策が難しいのは、この不特定多数のコンピュータからのデータ送付を防がなければならない点にあります。
単一のコンピュータからのDoS攻撃を防ぐだけであれば、そのIPを特定してブロックすれば良いですが、DDoS攻撃の場合は攻撃元のIPが次々と変わるため、単にIPを特定してブロックするだけの対応では間に合わず、より根本的な対応が必要となります。
とはいえ、DDoS攻撃は決して目新しいものではなく、既に対策も浸透しています。
例えばAWS、Microsoft Azure、Google Cloudなどのクラウド基盤を利用してシステムを構築している場合、マネージドサービスとしてDDoS攻撃を検知・防御するサービスが提供されています。またWAF等、DDoS攻撃対策が可能なセキュリティツールの導入も進んでいます。
それにも関わらず冒頭で記載した通り、これらの対策を行っていないとは思えないような大手企業でもDDoS攻撃の被害は発生しています。詳細情報が出ていないため筆者の想像含みではありますが、なぜ被害を完全には抑止できなかったのかについて考察してみます。
進化するDDoS攻撃手法
一口にDDoS攻撃と言っても、詳細な攻撃手法は多岐にわたります。
例えば「TCP SYNフラッド攻撃」というものがあります。
これはTCP通信を開始する際に必要なSYNパケットを大量に送付し、かつ通信の成立に必要なACKパケットの返信は行わないことによって、サーバのポートを占有して障害を起こさせるものです。
その他にも様々な攻撃手法がありますが、先ほど「大量にデータを送付する」と記載していた部分について、具体的に何を送付するのかが異なります。
ここで少し過去の攻撃事例を見てみます。
2022年6月、Google Cloudで大規模なDDoS攻撃が確認されました。
この際の手法は「HTTP フラッド攻撃」と呼ばれる、大量のHTTPリクエストを送り付けるもので、毎秒4600万リクエストを超えるHTTPリクエストが送付されたとされています。これは当時、史上最大規模の攻撃とされていました。
しかしその翌年、2023年2月にはCloudflareが毎秒7100万リクエストの攻撃を受け、さらに2023年8月にはGoogle Cloudが毎秒3億9800万リクエストというとてつもない規模の攻撃を受けました。数字からイメージしづらいですが、攻撃が2分間続いたGoogle Cloudの事例では、攻撃規模は1か月間のWikipediaの総閲覧数を超えるとされています。
なお2023年の2つの事例では、攻撃手法として「HTTP/2ラピッドリセット攻撃」というものが採用されています。これは攻撃者側が複数のストリームを開き、サーバ側からの応答を待たず直ちに「RST_STREAM」フレームというものを送信して一方的にストリームをキャンセルし、また新たなストリームを開く、という操作を繰り返すことでサーバに負荷を与える手法です。HTTP/2プロトコルでは同時にオープン可能なストリーム数を制限する設定が可能ですが、この攻撃手法の場合ストリームが即座にキャンセルされるため、ストリーム数の制限にひっかからないという特徴があります。
細かい技術的な話をここでしたいわけではありません。
重要なことは、この「HTTP/2ラピッドリセット攻撃」に悪用された仕様について、攻撃当時は脆弱性として知られておらず、ベンダー側での対策も行われていなかった、いわゆるゼロデイ攻撃であったという事実です(現在ではCVE-2023-44487として公表され、各ベンダーで対応も行われています)。
これらの事例から分かる通り、DDoS攻撃の詳細な手法は日々進化し続けており、自社が受けた攻撃がたまたま未知のパターンの攻撃である可能性もあります。
例えば既存のWAFのシグニチャ設定など、不正な通信を検知・ブロックするためのツールの設定が、このような未知の攻撃に対応できていなかった場合、DDoS攻撃を防ぐことはできません。
今回各企業が受けた攻撃の詳細手法や、実際の各企業の対策状況は分かりませんが、もしツール自体は導入していたにも関わらず被害を受けたのであれば、ツールの設定の穴を突かれたという可能性は考えられます。 なお最近のWAFではふるまい検知方式の製品も存在します。DDoS攻撃に限らず、サイバー攻撃の手法は日々進化しているため、未知のパターンの攻撃を防ぐためにも、可能であればふるまい検知型のツール導入を検討しても良いかもしれません。
サイバー攻撃のサービス化
DDoS攻撃がどのようなものであるか、また攻撃手法の進化について、ここまで見てきました。
多数のコンピュータを乗っ取ったり、サーバに負荷を与える詳細手法を命令したりと、かなり技術に詳しい人間でなければDDoS攻撃は仕掛けられないと考えるのが当然です。
しかし実際には、もはやDDoS攻撃は誰にでも可能な攻撃となってしまっています。それは、DDoS攻撃の代行業者が登場しているからです。
2024年12月には、2人の中学生が海外の代行業者にDDoS攻撃を依頼したとして摘発されています。彼らはインターネット検索やオンラインゲームでのコミュニケーションで代行業者のサイトを知ったとのことです。また11月には中国籍の夫婦が同様に逮捕されており、その際の依頼金額は1回の攻撃あたり約1万5千円であったと報道されています。
このように、専門知識の無い人物でも、簡単に代行業者にたどり着き、安価に攻撃を依頼できる状態となってしまっているのが実情です。単なる腹いせや愉快犯的な動機で安易にDDoS攻撃を試みる人物が今後も出てくる可能性は高く、腹立たしい限りではありますが、企業としてはしっかりと自衛をしていく必要があるでしょう。
ちなみにこのようなサイバー攻撃のサービス化はDDoS攻撃に限った話ではなく、例えばランサムウェアでも同様の事例が発生しており、RaaS(Ransomware as a service/ラース)と呼称されています。
技術が無い人物でも様々な攻撃が可能となってしまっていることから、今後ますますサイバー攻撃は増加していくと考えられ、比例して企業のセキュリティ対策の重要性も高まっています。
DDoS攻撃から企業を守るために
年末年始の事例を契機として、DDoS攻撃について見てきました。もちろんサイバー攻撃はDDoS攻撃だけではありません。日々変化する様々な脅威に対して包括的に対策を講じなければ、自社のセキュリティを保つことはできません。
弊社では、このような脅威動向に関する情報提供を行う勉強会の実施や、システムセキュリティのリスクアセスメントなど、お客様のニーズに合わせて幅広いサービスを提供しております。
セキュリティ対策の第一歩として脅威動向を知りたい、自社のセキュリティ対策が十分であるか分析したい、といったご要望がありましたら、下記のお問い合わせフォームよりお気軽にご相談ください。
