企業活動を妨害するDDoSの脅威と対策

2022年9月、行政情報の総合窓口サイト「e-Gov」への接続障害が発生し、大きなニュースとして取り上げられました。その他にも総務省、文部科学省、宮内庁が運営する複数の行政サイトが一時的に利用できなくなる事態も発生しています。また行政サイト以外でも、貿易港管理組合や、大手信販会社、大手SNS運営会社などのサイトへの接続障害が発生しており、これら一連の原因はロシアを支持するサイバー犯罪集団「KILLNET（キルネット）」によるDDoS攻撃の可能性が高いと言われています。

そこで今回はDDoSとはどのようなサイバー攻撃なのか、また攻撃を受けるとどのような被害が発生するのか、企業はどのように防ぐことができるのかを考察します。

DDoSとはどのような攻撃なのか

DDoS攻撃(Distributed Denial of Service Attack)とは、特定のサイトに大量のアクセスを集中させて処理が間に合わない状態に追い込むサイバー攻撃です。攻撃者はマルウェアなどで不正に乗っ取った複数のPCを使って、一斉に異なるIPアドレスから大量のリクエストを送り付けることで、対象のサイトを利用できない状態に追い込もうとします。
なお「マルウェア」とは、「Malicious（悪意ある）」と「Software（ソフトウェア）」を合わせた造語で、悪意のある不正なソフトウェアの総称です。主にDDoSの攻撃手段として利用されるのは、「bot(ボット)」と呼ばれる外部からPCを操作可能にするマルウェアです。

複数のボットをネットワークで接続したものを「ボットネット」、ボットネットをコントロールするサーバをC&Cサーバ（Command and Control Server）と呼びます。DDoS攻撃は、C&Cサーバからボットネットを構成する複数のボットに対して、一斉に特定のサイトを攻撃するように命令して行います。

攻撃の目的と背景

基本的にDDoS攻撃の目的は対象となるサイトを利用停止させることにあります。情報の窃盗や身代金要求など直接的な金銭を目的とした犯罪は少数ですが、中には「攻撃をやめてほしければ金を払え」といった要求をする攻撃者も存在します。

今回のような政府関連のサイトを狙った犯行の場合、政治や宗教などを背景にした抗議である場合が多く、こうしたサイバー攻撃者は「hacktivist（ハクビティスト）」と呼ばれることもあります。「hack（ハック）」と「activist（アクティビスト）」を合わせた造語ですが、政治的な目的のためにハッキングを行う集団を意味しています。つまり政治的ハッカーです。

企業のサイトであれば、利用停止に追い込むことで競合他社の機会や利益の損失、あるいは信用の失墜を狙うこともあります。また、攻撃者が個人の場合は、いたずら、いやがらせ、自分が被った被害に対する八つ当たりというケースもあります。
政治的・宗教的な信条、あるいは深い恨みを持っての犯行の場合、繰り返し何度も攻撃されることがあるため、被害が長期化してしまうことも少なくありません。

さらに注意しなければならないのは、DDoS攻撃を別のサイバー攻撃の隠れ蓑にするケースです。DDoSによってセキュリティ担当者に人的な負荷をかけ、アクセスログを溢れさせることで別の攻撃を見つけにくくさせていたケースも実際に報告されています。

最近のセキュリティ被害の傾向から見れば、DDoS攻撃は少数派になりつつあります。サイバー攻撃を実行する犯罪者は組織化され、より確実に利益を得ようとする傾向にあります。そのため現在では、マルウェアを使うのであれば、確実に個人情報などデータを窃盗する、あるいはランサムウェアなどで身代金を請求するといった攻撃の方が多数を占めています。

2022年9月現在、ロシア・ウクライナ情勢は解決しておらず、英国ではエリザベス女王の死去に伴って王室の廃止を訴える人々もいます。もちろん日本でも政治や宗教が原因のテロは起きており、いつハクティビストによる犯罪が発生しても不思議ではありません。

DDoSを完全に防ぐことは難しい？

攻撃対象となるサーバに大量のパケットを送信することで負荷をかけるという、単純な攻撃手法であるDDoS攻撃ですが、実は対策が面倒な攻撃でもあります。

もっとも手軽な対処法は、攻撃を仕掛けてくるIPアドレスを特定して遮断する方法なのですが、大規模にDDoSを受けた場合、すべてのIPアドレスを特定して遮断するのは困難であると言わざるを得ません。そのため、同一のIPアドレスからの接続を制限する、アクセスできるIPアドレスを国内だけに制限したり、WAF(Web Application Firewall)、IDS/IPS（Intrusion Detection System/Intrusion Prevention System）、UTM（Unified Threat Management）などを導入して対策を試みる企業も多いようです。また、DDoSにも対応可能なセキュリティアプライアンアンスもあります。

ただし、前述したようにハクティビストによる政治や宗教的な信条に基づく確信犯、あるいは組織に対するいやがらせなどが目的の場合、対策して攻撃を一時的に遮断したとしても、まだ別の方法で執拗に攻撃することが考えられます。
あまりにも攻撃が悪質な場合には、警察やセキュリティの関連団体と連携し、一緒に対応を検討したほうがいいでしょう。

知らない間に攻撃者にされてしまうことも

前述したように、DDoS攻撃はボットに感染した多くのPCを踏み台に、特定のサイトに対して一斉にリクエストを送信する攻撃です。つまりマルウェアに感染したことで、自分たちのPCが他者サイト対する攻撃手段に利用されてしまう可能性があるということです。

そうなる前に、マルウェアに感染しないためのセキュリティソリューションを導入しましょう。最近ではファイルを作成せずにメモリ上だけで実行するなど、アンチウィルスソフトでは発見しにくいマルウェアも登場しています。そのためマルウェアの侵入を防ぎつつ、その網をかいくぐった攻撃にも対応する「多層防御型」のセキュリティソリューションも増えています。

自分でも知らないうちに誰かのサイトを攻撃してしまうことのないよう、普段からセキュリティ情報収集はまめにしておきましょう。

なお、Googleが提供するDDoS攻撃可視化ツールの「Digital Attack Map」は、世界で発生しているDDoS攻撃をリアルタイムで可視化するサービスです。興味がある方は参照してみてください。

Digital Attack Map(英語)
http://www.digitalattackmap.com/

まとめ

・DDoS攻撃の目的は特定のサイトを利用できなくなるようにすること
・政治や宗教による信条により、抗議のためにDDoSを行う集団もある
・DDoS対策は確立されていない。常に最新の対策をチェックしよう