DDoS攻撃とは 2

今回もDDoS攻撃について見ていきましょう。前回の続きから、DDoS攻撃に有効な対策・考え方について考えます。

DDoS攻撃対策はサービスに頼るべき

前回、DDoS攻撃の対策ではセキュリティソフトの導入が必須であると書きました。アーバーネットワークスは、通信事業者やISPなどのサービスプロバイダーが提供するDDoS攻撃対策サービスの活用を推奨しています。これはつまり、ネットワークの“上流”で攻撃を止めるという考え方です。

 

なぜ自前で対策を行うより、通信事業者/ISPなどのDDoS攻撃対策サービスを活用したほうが良いかといえば、それはサーバーの手前で大規模なDDoS攻撃を止めようと考えても、前述の通り、その前に回線がパンクしてしまうためだ。また、仮に回線は大丈夫だったとしても、大規模なDDoS攻撃に対抗できるハードウェアを自前で用意するには多大なコストが必要になる。

ならばユーザー企業と比べてはるかに太いバックボーン回線と強力なDDoS対策装置を有する通信事業者/ISPに任したほうが明らかに賢明である。

参考:FWやIPSでは防げない「最新型DDoS攻撃」の傾向と対策

DDoS対策の主流派サービス型となっており、実際にDDoS対策ソリューション市場で世界シェア1位を誇るアーバーネットワークスの売上も大部分がサービスプロバイダー向けとなっているそうです。

一方、同じく大手のアカマイは全く別のアプローチを取るといいます。アカマイの場合は、インターネットの“入口”に置かれた10万8000台以上のサーバーで分散制御を行います。

DDoS攻撃が大規模な攻撃を繰り出せるのは、大量のコンピュータが一斉に攻撃を仕掛けてくるからだ。逆にいえば、1台1台の攻撃はそれほどの脅威ではない。「分散型の攻撃に対して、対策も分散型で実施する。世界10万8000台のDDoS対策装置を購入すると考えてほしい」とアカマイ・テクノロジーズ プロダクト本部 プロダクト・マネージャーの松原達也氏は説明する。インターネットの入口で、DDoS攻撃が“洪水”となる前に無力化してしまうのがアカマイのソリューションである。

参考:FWやIPSでは防げない「最新型DDoS攻撃」の傾向と対策

DDoS攻撃には様々な種類があり、それぞれ「UDP flood攻撃」や「ACK flood攻撃」、「SYN flood攻撃」など、多くの攻撃名にflood=洪水という名前がつけられています。両社のサービスはこの“洪水”を“上流”で止めるか、“洪水”になる前に止めるか、ということが大きな違いでしょう。

もちろんこういったサービスに頼るだけでなく、セキュリティソフトの導入と同様に自社で行うことが可能な対策もあります。

  1. 同IPからのリクエスト(アクセス)回数を制限する
  2. Webサイトによるサービスの対象者が国内であれば、海外からのアクセスを制限する
  3. 大規模トラフィックに耐えうるサーバにする

DDoS攻撃では、海外サーバを経由して攻撃されるパターンが多くなっています。個別のIPアドレスでは特定が困難であるため、被害が拡大する前にしっかりと判断をし、見極めをつけることが重要です。

 

DDoS攻撃対策へのマインド

ここまでDDoS攻撃への対策について書いてきましたが、そもそもなぜPCが踏み台にされるのでしょうか。実はここには、PCのマルウェアへの感染が見られます。

「悪意のあるメールやサイトにマルウェアが潜んでいて、思わず開いてしまう」、「運営しているサイトが改ざんされ、マルウェアを仕掛けられてしまうことで、閲覧者が感染する」など、その要因は多岐に渡ります。前者の場合、怪しいメールのURLをクリックしない、むやみに広告をクリックしないといった心掛けが必要です。万が一クリックしてしまった場合に備え、セキュリティソフトの導入も不可欠です。後者の場合、Webサイトを改善されないようにWAFを導入し、常に最新の状態を保つことが重要です。こうした動きで、PCにマルウェア侵入の余地を防ぎ、脆弱性を無くすことにつながっていきます。自分自身がDDoS攻撃を生み出す端末にならないように心掛けましょう。

最後に

今日、Webサイトはほとんどの企業が独自のものを持っており、営業活動の一部となっています。企業自体のブランディングにもつながるからこそ、不具合があると致命的な機会損失に結びつきます。ましてや、個人情報の流出があった場合には信用問題に発展しかねません。また、もちろん今回取り上げたDDoS攻撃単体でなく、他の攻撃との組み合わせによって狙われる可能性もあります。コスト面との兼ね合いで、自社でできる範囲には最大限にセキュリティ対策をし、外部にサービスを委託することも必要になると言えるでしょう。