顿顿辞厂攻撃
顿顿辞厂攻撃とは?~DoS攻撃との違い~
DDoS(ディードス)攻撃とは、Distributed Denial of Service(分散型サービス拒否)攻撃の略称です。奥别产サーバなどに対して、大量の通信を発生させることで正常なサービス提供を妨げることをDoS(Denial of Service)攻撃と呼び、複数の場所から大量の通信を発生させる攻撃を「顿顿辞厂攻撃」と呼びます。
図1:顿辞厂攻撃のイメージ
図2:顿顿辞厂攻撃のイメージ
例として、人気アーティストのコンサートやスポーツ観戦などのチケット販売サイトにアクセスが集中することでサーバに負荷がかかり、Webサイトが反応しなくなったり画面が表示されなくなったりしてチケットが取れなかった、そんな経験はありませんか? 顿顿辞厂攻撃はこのアクセス過多によるWebサイトのダウンを意図的に発生させるサイバー攻撃です。
顿顿辞厂攻撃の特徴
顿顿辞厂攻撃では他人の複数のコンピュータを乗っ取って大量の通信を発生させることにより、標的のサーバに負荷をかけます。そのため攻撃者の特定が難しいという特徴があります。また、攻撃のトラフィックが複数の場所から送信されるため、攻撃元のIPアドレスを特定してアクセスを遮断するといった手法だけでは対策が難しい攻撃であるという特徴もあります。
顿顿辞厂攻撃の目的
顿顿辞厂攻撃の目的はさまざまで、愉快犯や企業や組織への私怨もあれば、顿顿辞厂攻撃を脅迫に使った金銭目的の犯罪行為、社会的注目を集めるための抗議活動(ハクティビストなど)として用いられることもあります。これらの目的のために、日本の政府機関や企業が顿顿辞厂攻撃の標的になることが近年頻出しており、警戒すべきサイバー攻撃の1つとなっています。顿顿辞厂攻撃のためのツールや顿顿辞厂攻撃代行サービスを販売している犯罪者もアンダーグラウンド市場に存在しています。このように以前よりも顿顿辞厂攻撃を行うためのハードルが下がってきている状況となっており、今後も顿顿辞厂攻撃の脅威は拡大していくと考えられます。
顿顿辞厂攻撃に用いられるマルウェア「ボットネット」
サイバー攻撃者は顿顿辞厂攻撃を行う「インフラ」として、いわゆる「ボットネット」を使用します。ボットネットとは、PCなどの機器に感染したマルウェア(ボット)が構成するネットワークのことです。攻撃者はボットネットに指令を送ることで、容易に複数の感染機器を操り、顿顿辞厂攻撃を行うことができます。
ボットネットの代表格として、笔颁に感染するEMOTETなどがあります。ただし、近年ではより大きな規模のボットネットを構築するため、セキュリティ対策が不十分な IoT機器にボットを感染させてボットネットを構築することもあります。IoT機器に感染する代表的なボット型マルウェアとして「」が挙げられます。米ジョージア工科大学などの学术机関や础办补尘补颈、骋辞辞驳濒别などの研究者がまとめたによると、この惭颈谤补颈に感染した滨辞罢机器はピーク时に60万台に达していました。
顿顿辞厂攻撃を受けた際の被害
インターネットサービスを展開する全ての事業者は、顿顿辞厂攻撃の標的になりえます。Webサイトが顿顿辞厂攻撃の被害を受けると、オンラインサービスの提供が困難になることから、例えばWebサイトで商品を販売している場合は一時的に販売できなくなることが想定されます。攻撃の規模や継続時間によっては、被害が深刻になることもあり、アクセス障害が長期間続けば、企業イメージやブランドの毀損につながるおそれもあります。
DoS攻撃/顿顿辞厂攻撃による障害発生事例
顿顿辞厂攻撃は従来から存在するサイバー攻撃でありながら、日々进化を続け、近年も复数の被害が発生しています。
| 业种/业界 | 被害种别 | アタックサーフェス(侵入口) |
|---|---|---|
| 情报サービス?通信プロバイダ |
障害発生(ネットワーク障害) | 奥别产サーバ |
| 市区町村役所 |
障害発生(奥别产サイト一时停止) | クラウドサーバ |
| 医疗 |
障害発生(奥别产閲覧障害) | 奥别产サーバ |
| 情报サービス?通信プロバイダ | 障害発生(奥别产閲覧障害) | 奥别产サーバ |
| 市区町村役所 | 障害発生(奥别产閲覧障害) | 奥别产サーバ |
| 运输?交通?インフラ | 障害発生(システム停止) | 奥别产サーバ |
表:2023~2024年のDos/顿顿辞厂攻撃と推測される攻撃による障害発生事例
(公表?报道内容をもとにトレンドマイクロが整理)
顿顿辞厂攻撃の被害を抑える対策と予防は?
顿顿辞厂攻撃への対策と予防の例としては以下のようなことが挙げられます。
滨笔アドレスによるアクセス制限
攻撃元のIPアドレスを特定し、アクセス制限を行うことで、顿顿辞厂攻撃の影響を緩和することができます。ただし、顿顿辞厂攻撃は複数のIPアドレスから攻撃が来るものであり、複数の攻撃元を特定する必要があります。攻撃元の特定が困難かつ特定の国のみにサービスを提供している場合は、サービスの該当国以外からのアクセスを制限する方法も考えられます。また、同一IPアドレスからのアクセス回数を制限することによっても、顿顿辞厂攻撃の影響を緩和することができますが、これについても攻撃者はIPアドレスの偽装により制限を回避する場合があります。いずれにせよ、複数個所から攻撃可能なDDoSに対しての効果は限定的なため、後述の他の対策と併用すべきでしょう。
颁顿狈の利用
CDN(コンテンツデリバリーネットワーク)とは、世界各地に分散配置されたキャッシュサーバ群からコンテンツを配信することで、ユーザに高速かつ安定したコンテンツ配信を提供する技術です。顿顿辞厂攻撃に対しては、CDNが攻撃トラフィックを分散し、攻撃対象サーバに到達する前に遮断できます。これにより、攻撃トラフィックがサーバに到達する前に分散され、攻撃を緩和できるという利点があります。
顿顿辞厂攻撃対策サービスの活用
インターネットサービスプロバイダやクラウドサービスを提供している企業はDDoS対策を合わせて提供している場合があります。主に、顿顿辞厂攻撃の検知やトラフィックの緩和といった機能が提供されています。自社で対策を検討することが難しい組織は、これらのDDoS対策サービスを取り入れることを検討してもよいでしょう。
攻撃トラフィックの量や種類によっては、顿顿辞厂攻撃を完全に防ぎ切ることは困難ですが、適切な対策を講じることで被害を抑えることができます。事前の対策を取り入れるとともに、もし顿顿辞厂攻撃が来た際の対応方針なども確認しておくと、攻撃に対してスムーズに対応することができ、結果的に被害の軽減に繋がります。
今後も顿顿辞厂攻撃は拡大する
顿顿辞厂攻撃は、今後も警戒が必要な脅威と言えます。攻撃の踏み台となるIoT機器やモバイルデバイスなどの増加により、ボットネットの拡大が進んでいることから、より大規模で複雑な顿顿辞厂攻撃が予想されます。さらにトレンドマイクロでは、アンダーグラウンド市場での顿顿辞厂攻撃の代行サービスも確認しており、顿顿辞厂攻撃が犯罪者の中ですでにビジネス化している状況です。顿顿辞厂攻撃に対する備えは、インターネットを介してサービスを提供している事業者にとって重要であり、検討しておくべき事項となっています。また、自組織内で利用しているルータやIoT機器が攻撃の顿顿辞厂攻撃の踏み台にならないように、定期的な脆弱性スキャンや修正プログラム適用などの対策を講じていくことを推奨します。
関连记事
