Overview
DDoS攻撃(Distributed Denial of Service:分散型サービス妨害攻撃)とは、多数のコンピューターやIoTデバイスで構成されたボットネットから、標的のサーバーやネットワークに対して大量のトラフィックを送信し、サービスを利用不能にするサイバー攻撃手法です。単一の攻撃元から行うDoS攻撃を分散・大規模化したものです。
DDoS攻撃はOSI参照モデルの異なるレイヤーを標的とします。L3/L4攻撃(ネットワーク層・トランスポート層)はIPフラッド・SYNフラッドなどで帯域幅やサーバーリソースを枯渇させ、L7攻撃(アプリケーション層)はHTTPフラッドやSlowlorisなどでWebサーバーのリソースを消費させます。
近年のDDoS攻撃はテラビット級の規模に達しており、DNS・NTP・Memcachedなどのプロトコルを悪用した増幅攻撃(アンプリフィケーション攻撃)により、攻撃者は少ないリソースで巨大なトラフィックを生成できます。DDoS-for-hire(DDoS代行サービス)の普及により、技術的知識がなくても攻撃を実行できる環境が整っています。
Details
DDoS攻撃の種類
- ボリューム型攻撃(Volumetric Attack):UDPフラッド、ICMPフラッドなどで大量のトラフィックを送信し、標的のネットワーク帯域幅を飽和させる。最も一般的なDDoS攻撃タイプで、Gbps(ギガビット毎秒)やTbps(テラビット毎秒)単位で測定される
- プロトコル型攻撃(Protocol Attack):SYNフラッド、Ping of Death、Smurf攻撃などで、ネットワーク機器やサーバーの接続テーブル・メモリなどのリソースを枯渇させる。PPS(Packets Per Second)で測定される
- アプリケーション層型攻撃(Application Layer Attack):HTTPフラッド、Slowloris、低速POST攻撃などで、Webサーバーやアプリケーションのリソースを消費させる。正常なリクエストに似た少量のトラフィックで効果的な攻撃が可能なため、検出が困難
増幅攻撃(Amplification Attack)
増幅攻撃は、送信元IPアドレスを標的のIPに偽装(スプーフィング)した小さなリクエストを、応答が大きくなるサービスに送信することで、標的に大量のトラフィックを集中させる手法です。
- DNS増幅攻撃:オープンリゾルバに対してANYクエリを送信し、標的に大量のDNSレスポンスを返させる。増幅率は約28〜54倍
- NTP増幅攻撃:NTPサーバーのmonlistコマンドを悪用し、大量のレスポンスを標的に送信させる。増幅率は約556倍
- Memcached増幅攻撃:インターネットに公開されたMemcachedサーバーを悪用する。増幅率は最大約51,000倍と極めて高い
DDoS-for-hire(Booter/Stresser)
DDoS-for-hireは、DDoS攻撃をサービスとして提供する違法なプラットフォームです。「ストレステスト」を名目に月額数ドルから利用でき、攻撃対象のIPアドレスと攻撃時間を指定するだけで、誰でもDDoS攻撃を発注できます。法執行機関による取り締まりが強化されていますが、新たなサービスが次々と登場しています。
CDN/WAF/Anycastによる防御
CDN(Content Delivery Network)は、世界中に分散配置されたエッジサーバーでトラフィックを吸収し、DDoS攻撃のトラフィックを分散処理します。Cloudflare、Akamai、AWS CloudFrontなどが代表的なサービスです。
WAF(Web Application Firewall)は、L7攻撃を検出・ブロックするために、HTTPリクエストの内容を分析し、不正なパターンを識別します。レートリミットやJavaScriptチャレンジ、CAPTCHAなどを組み合わせて防御します。
Anycastは、同一のIPアドレスを複数のサーバーに割り当てるネットワーク技術です。攻撃トラフィックが自動的に最寄りの拠点に分散されるため、単一拠点への集中を防ぎ、攻撃の影響を軽減します。
Security Measures
- 01クラウド型DDoS防御サービスの導入:Cloudflare、AWS Shield、Akamai Prolexicなどのクラウド型DDoS緩和サービスを導入してください。大規模なボリューム型攻撃に対して、クラウドのスケーラビリティを活かした防御が可能です。Always-On(常時有効)モードの設定を推奨します。
- 02多層防御アーキテクチャの構築:ネットワーク層(BGP Anycast、ISP連携)、インフラ層(ロードバランサー、ファイアウォール)、アプリケーション層(WAF、レートリミット)の各レイヤーでDDoS防御を実施してください。単一の防御手段に依存しない多層的なアプローチが重要です。
- 03レートリミットとトラフィック制御の実装:IPアドレスあたりのリクエスト数制限、地域ベースのアクセス制御、異常なトラフィックパターンの自動検知と遮断を設定してください。正常なユーザーへの影響を最小限にしつつ、攻撃トラフィックを効果的にフィルタリングしましょう。
- 04DDoS対応プレイブックの整備と訓練:DDoS攻撃が発生した際の対応手順(エスカレーション経路、ISP連携、CDN切り替え、広報対応など)をプレイブックとして文書化し、定期的にDDoS対応訓練を実施してください。攻撃発生時の初動対応の速度が被害規模を左右します。
- 05インフラの冗長化とスケーラビリティの確保:オートスケーリング、複数リージョンへの分散配置、フェイルオーバー構成により、DDoS攻撃時にもサービスを継続できるインフラ設計を行ってください。DNS、ロードバランサー、アプリケーションサーバーすべてに冗長性を持たせましょう。
- 06攻撃対象面(Attack Surface)の最小化:不要なポートやサービスを閉鎖し、DNSサーバーやNTPサーバーなどが増幅攻撃の踏み台にならないよう設定してください。管理インターフェースはVPN経由のみでアクセス可能にし、オリジンサーバーのIPアドレスを直接公開しないようにしましょう。
Incidents
📋 Dyn DNS大規模DDoS攻撃(Mirai ボットネット)(2016年)
2016年10月21日、DNSサービスプロバイダーDynに対して、史上最大規模のDDoS攻撃が実行されました。この攻撃はMiraiボットネットを使用し、約10万台のIoTデバイス(ネットワークカメラ、DVR、ルーターなど)を悪用して、最大1.2Tbps規模のトラフィックをDynのDNSインフラに送信しました。
DynのDNSサービスが停止したことで、Twitter、Netflix、Reddit、Spotify、GitHub、Amazon、PayPalなど、Dynを利用する多数の大手Webサービスが米国東海岸を中心に数時間にわたって利用不能になりました。この事件はIoTデバイスのセキュリティの脆弱性がインターネット全体に与える影響の大きさを世界に知らしめ、IoTセキュリティに関する規制論議を加速させました。
📋 GitHub 1.35Tbps DDoS攻撃(2018年)
2018年2月28日、GitHubが1.35Tbpsに達する大規模なDDoS攻撃を受けました。この攻撃はMemcached増幅攻撃を利用したもので、インターネット上に公開されたMemcachedサーバーに対して送信元IPアドレスを偽装したリクエストを送り、GitHubに対して最大51,000倍に増幅されたトラフィックを集中させました。
攻撃はピーク時に1.35Tbps、1億2,690万パケット/秒に達しましたが、GitHubが利用していたAkamai ProlexicのDDoS緩和サービスが数分以内にトラフィックを吸収し、サービスの停止時間はわずか約10分間に抑えられました。この事件はMemcached増幅攻撃の脅威を広く認知させるとともに、クラウド型DDoS防御サービスの有効性を実証しました。
📋 Google 2.54Tbps DDoS攻撃(2017年/2020年公開)
2020年10月、Google Cloud Threat Analysis Group(TAG)は、2017年9月にGoogleのインフラが2.54TbpsのDDoS攻撃を受けていたことを公開しました。これは当時公表された中で最大規模のDDoS攻撃でした。
攻撃は中国のISP4社から発信されたUDPアンプリフィケーション攻撃で、6か月間にわたって複数回の攻撃キャンペーンが実行されました。攻撃は数千のIPアドレスから18万のDNS、NTP、SMTPサーバーを悪用して増幅されたトラフィックをGoogleに送信しました。Googleの大規模なグローバルネットワークインフラにより攻撃は吸収されましたが、この事件はDDoS攻撃の規模がテラビット級に到達したことを示す象徴的な出来事となりました。