セキュリティクラウドへの実被害からみるDDoS攻撃の脅威と対策
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」2月25日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・DNSサーバを狙う「DNSフラッド攻撃」とは
・完全防御は難しい?DDoS攻撃への対策や緩和策は
今回の解説ニュース
県が管理するシステムがDDoS攻撃の被害にあい、Webサイトにアクセスしづらい状況が今(2022年2月18日時点)も続いているということです。今回のDNSフラッド攻撃を理解する上で必要なDNSの仕組みや、DDoS攻撃の対策について説明します。
今回のインシデントは、DNSサーバに多大な負荷がかかり、県及び市町のホームページの閲覧に支障が生じているということです。原因として、DDoS攻撃の中でもDNSサーバを対象とするDNSフラッド攻撃が断続的に仕掛けられたことが挙げられています。
対策として、警察と連携しながら対応を行っており、また、Webサイトにアクセスしづらい場合は、時間をおいてから再度アクセスするよう呼びかけています。
DNSサーバを狙う「DNSフラッド攻撃」とは
DNSフラッド攻撃とは、DNSサーバに対して無効かつ大量のリクエストを行うことで、応答ができない状態にする攻撃です。攻撃者の無効かつ大量のリクエストでDNSサーバのリソースが枯渇してしまい、正規のユーザに有効な応答を返すことができなくなります。DNSサーバが狙われる理由として、DNSの仕組みについて理解する必要がありますので、簡単に説明します。
DNSサーバはドメイン名とIPアドレスの情報を紐づけたデータベースを管理しています。これだけだとよくわからないと思うので、地図から目的の場所を見つける方法に例えて説明します。
例えば、Aさんの自宅は、地図上の緯度と経度で正確な位置を表すことができます。緯度と経度は数字の羅列なので覚えられなくはないかもしれませんが、直観的ではないですね。人間が覚えやすくするためには「東京都港区」というような文字列であることが望まれます。インターネットで緯度と経度にあたるのがIPアドレスで住所に当たるのがドメイン名です。そして、インターネットの住所録となるのがDNSと言えます。つまり、住所から地図上の緯度と経度がわかるように、DNSサーバに対してドメイン名を問い合わせたら、紐づくIPアドレスを常に返してくれることが期待されます。
ここで、DNSフラッド攻撃を受けてDNSサーバが応答できなくなったことを考えてみましょう。Aさんの住所に対して地図上の緯度と経度が確認できなくなりますので、たどりつくことができません。DNSサーバでは、Webサーバやメールサーバだけでなく、様々なシステムのドメイン名を管理しているため、多くのシステムにたどりつけなることが考えられます。今回のインシデントでも、県のDNSサーバで管理する全サーバに影響が出ていることが考えられます。
攻撃者の観点で考えた場合も、単一のDNSサーバに対する攻撃によって多くのサービスが提供できない状態にすることができるため、効率的な攻撃であると言うことができます。
その他のトピック
完全防御は難しい?DDoS攻撃への対策や緩和策は(全文はこちら)