DoS攻撃・DDoS攻撃の意味と対策方法をわかりやすく解説

DoS攻撃・DDoS攻撃というサイバー攻撃を知っていますか？インターネットを利用する企業や情報サービスを提供する団体はネット被害を受けることが珍しくありません。その被害を目的としたサイバー攻撃の一つに「DoS攻撃」というものがあります。サイバー攻撃としてもメジャーであり、対策するための選択肢も少なくありません。

さらに近年では「DoS攻撃」が進化した「DDoS攻撃」と呼ばれる、より悪質なサイバー攻撃も流行しています。今回は、この「DDoS攻撃」について解説致します。

皆さんは、日々インターネットを使用している中で、「このサイトつながりづらいなあ」「このサイトつながりやすいなあ」と、サイトによって読み込みの速い、遅いを感じたことはないでしょうか？

酷い場合だと、ずっと読み込みが続き、画面が白いままで一切アクセスができなかったり、タイムアウトなど接続エラーが発生したりすることがあるかと思います。

こうしたアクセスしづらいサイトは、もちろんそのサイトが使用しているサーバーの性能の良し悪しも関係するものの、何らかのデータ送受信が大量に続いている可能性があります。

ネットワーク環境は問題ないにも関わらず、普段は何も問題なくアクセスできていたサイトがある時点から急にアクセスしづらい状態が続く場合、そのサイトやオンラインサービスのサーバーに第三者からのアクセスが集中しているためという原因がよく見受けられます。

ネットユーザーが同じ時間帯に、サイトのサーバーに大量アクセスすることにより、アクセスに関するデータ送受信をサーバーがずっと処理しています。アクセスできない理由はサーバーが処理の負荷に耐えきれず、サイトがパンクしている状態です。

一例として、炎上した芸能人のブログや企業のサイトがアクセスしづらい状態になるのも、こうしたサーバーの容量を超えた大量アクセスが主な原因です。
こうした、アクセスが集中することでサーバーがパンクすることを利用し、悪意を持ってサーバーに大量のデータを送りつけるサイバー攻撃のことをDoS攻撃（Denial of Service attack）と呼びます。

もちろんECサイトでアクセスが集中する場合、そのサイトで商品を購入したい人でアクセスが増えているのであれば、企業からすればある種嬉しい悲鳴と言えるかもしれません。しかし、購入希望者でもなく、特定の誰かが不正にそのサイトにアクセスを集中させているだけのDoS攻撃であれば、企業にとっては損失でしかありません。
このDoS攻撃を発展させ、攻撃対象により大きな負荷をかけるのがDDoS攻撃です。

DoS攻撃は、もちろん今でも厄介なサイバー攻撃ではありますが、DoS攻撃の中でも特に有名なF5アタックも含め、これまでに多くの対策が打たれ、事前に同IPからのアクセス回数を制限しておけば、DoS攻撃を対策することがかなり容易になってきました。

しかし、一挙に目視では対処しきれないほどの複数のIPから攻撃をしかけるDoS攻撃よりさらに厄介なDDoS攻撃（Distributed Denial of Service attack）が登場します。

DoS攻撃とDDoS攻撃で名称がややこしいですが、2つの攻撃のアルファベットの意味を考えると分かりやすいです。

• DoS攻撃・・・「Denial of Service attack」
• DDoS攻撃・・・「Distributed Denial of Service attack」

Dos攻撃は、直訳すると「サービス拒否攻撃」という意味です。DoS攻撃の頭に「Distributed」が付いて、DDoS攻撃「分散型サービス拒否攻撃」となります。

これまで攻撃拠点となるコンピューターが一つだったDoS攻撃が、複数のコンピューターから同時に受けることになったものがDDoS攻撃と言えます。

DDoS攻撃を仕掛けている犯人は、マルウェアなどで不正に乗っ取った複数のコンピューターのIPを活用してDoS攻撃を行ないます。
DDoS攻撃における「分散型」の意味は、1つのIPの攻撃ではなく、こうした複数のIPから分散的にDoS攻撃を使うことからきています。

DDoS攻撃の厄介なところは、不正に乗っ取った複数のIPを活用していることから

• ・攻撃元が次々と変わるため、選択してその特定のIPをブロックすることが非常に難しい点
• ・第三者のIPを踏み台にしているため、攻撃している犯人を割り出すことが難しい点

などが挙げられ、単純に同IPからのアクセス回数を制限するだけでは、十分な対処ができません。

この厄介なDDoS攻撃、そもそも誰がなんの目的で行なっているのでしょうか。
考えられる理由は下記5つです。

そもそもDDoS攻撃だけでは、マルウェアのように不正にデータを盗んだり、改ざんしたり、消去したりといったクラッキング行為を行うことはできません。
嫌がらせの動機は様々でしょうが、サイト運営者が困ることを目的としてDoS攻撃またはDDoS攻撃を仕掛ける人が一定数存在しています。

競合サイトをアクセスしづらい状態にするなどなんらかの営利目的を持っての妨害行為としてDDoS攻撃を仕掛ける場合があります。ライバル企業の犯行の可能性が疑われることも珍しくありません。

そのサイトの運営元に対するなんらかの抗議活動としてDDoS攻撃を仕掛ける場合があります。
政治問題に対する抗議活動として、DDoS攻撃を仕掛ける事例は過去に様々な国の政府を対象に実行されています。

企業などの特定の組織に対して、DDoS攻撃を事前に予告し、DDoS攻撃を引き換えにして身代金等様々な脅迫行為を行う場合があります。
特に2017年から仮想通貨サイトやFXサイトに対して、DDoS攻撃を悪用した脅迫行為が相次いでいます。
https://www.jpcert.or.jp/newsflash/2017092101.html

サイバー攻撃には、DDoS攻撃以外にも存在し、同時に複数のサイバー攻撃を用いることがあります。
例えば、DDoS攻撃を仕掛け、管理者がDDoS攻撃の対処をしている間に他のサイバー攻撃を行うなど、DDoS攻撃を目くらましとして使用される場合があります。

DDoS攻撃の中でも、複数の攻撃手法があります。ここではDDoS攻撃の種類を紹介していきます。

SYNフラッド攻撃は攻撃者が接続元IPを偽ってbotから接続要求（SYNパケット）を大量に送信する攻撃です。FINフラッド攻撃は切断要求（FINパケット）を大量に送信する攻撃です。双方の攻撃はシステムに負荷がかかりやすく、攻撃者はこのすきをついて不正アクセスを仕掛けてきます。

ACKフラッド攻撃は、ACKパケットを大量に送信することで接続するためのリソースを使用させ負荷をかける攻撃です。

UDPフラッド攻撃とは、偽装したIPアドレスからDDoS攻撃を実行します。UDPとはデータ受信をする仕組みの一つのことです。

Slow HTTP DoS Attackとは、少ないパケット数で長時間に渡りTCPセッションが継続するようにWebサーバのTCPセッションを占有することによって、通常のユーザがアクセスできないように妨害する攻撃です。

DNSフラッド攻撃とは、1つまたは複数のDNSサーバに対して、大量のリクエストを送信することで、通常のユーザからの名前解決を妨害する攻撃です。

実際にDDos攻撃を受けた被害事例を見てみましょう。

インターネットの基盤サービスを提供する企業を狙った大規模なDDoS攻撃攻撃が行われ、ツイッターやアマゾンだけでなく、ソニー、米決済大手ペイパル、ニューヨーク・タイムズなど米メディア大手、米動画配信大手ネットフリックスなどで障害が発生しました。

2016年10月にMiraiが行ったDDoS攻撃では、米国のセキュリティ情報サイトやDNSサービスを提供する企業が停止し、連鎖的にTwitterやSpotifyといったサービスも利用できなくなりました。

イスラエルによるパレスチナ攻撃に抗議したハッカー集団「Anonymous(アノニマス)」は、イスラエルによるパレスチナ攻撃の抗議活動として、イスラエル政府が保有する複数のサイトに対してDDoS攻撃を行ないました。この攻撃でイスラエル政府や銀行系を中心に、約600におよぶウェブサイトがダウンしています。

では、DDoS攻撃はどのように対処すれば良いのでしょうか。
下記に代表的な対策方法を紹介します。

DoS攻撃の対策として使用されるこの手法は、抜本的なDDoS攻撃への対策にはならないまでも、1つのIPからの攻撃を軽減できる点で、DDoS攻撃の被害を少なくする効果があります。
それに合わせて、特に頻繁に攻撃を仕掛けるIPを特定し、地道ではありますが、そのIPからのアクセスを遮断する対策も場合によっては有効です。

例えば、日本向けのサイトであれば、アクセス許可を日本に限定してしまうのも有効な対策になります。
日本の企業が受けるサイバー攻撃は海外のサーバーを経由して行われるケースが多いからです。
また、不正の乗っ取られたIPは世界中に散らばっている場合が多く、特定の国のアクセスを遮断することで分散されたDoS攻撃を軽減する効果があります。

上記2つの対策はあくまで軽減策であり、抜本的な対策として、DDoS攻撃の対策ツールを導入することが効果的です。

特に昨今注目されているのが、WAF(Web Application Firewall)です。
ウェブアプリケーションファイヤーウォールの略で、「ワフ」と呼ばれています。

WAFは簡単に言えば、ネットワーク経由のサイバー攻撃からwebアプリケーションを防御するセキュリティツールです。
従来のセキュリティ対策ではサーバー上に置かれているwebアプリケーションには効果が薄いと問題視されていました。
WAFはファイアウォールの一種ですが、一般的なファイアウォールとは違い、データの中身をアプリケーションレベルで解析できるのがWAFの大きな特徴です。

現在では、WAFがサイバー攻撃からの防御策として最も効果的な選択肢の一つと言われており、WAFの登場当初は導入が複雑で導入コストが高いことが問題だったのですが、近年ではクラウド型WAFなどの登場もあり、導入難易度もコストもかなり下がっています。

今回は従来のDoS攻撃が悪質化したDDoS攻撃について紹介しました。

システムに負荷をかける攻撃であるため、御社のシステムが破壊されてしまうリスクは無視できないでしょう。またDoS攻撃とは違い、複数からの同時に狙われることにより、対処に日数や予算が必要となる場合も多いです。しかし、最近ではコスト的にも使いやすいWAFサービスも多くなってきています。

従来のセキュリティ対策にWAFを追加するところから、DDoS攻撃のセキュリティ対策を始めてみてはいかがでしょうか？

DDoS攻撃対策を選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAFも選択肢が多いですが、導入しやすいものとしておすすめするものに「攻撃遮断くん」があります。

システム変更不要のため最短翌営業日で導入でき、ユーザー側での運用は一切必要ないため低価格かつ簡単に高セキュリティを実現できます。

クラウド型WAF「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

https://www.shadan-kun.com/
（2018/4/20 執筆、2019/11/15修正・加筆）