This is the Trace Id: 177804e375c0dfd57f0cb62544bc0f7d

ホリデー シーズンの DDoS 攻撃対策:安全を確保するためのガイド

ダウンロード
共有
赤い感嘆符が付いたノート PC。
分散型サービス拒否 (DDoS) 攻撃は一年中発生していますが、ホリデー シーズンは、特に大きな話題になる深刻な攻撃が行われやすい時期です。 
DDoS 攻撃は、Web サイトまたはサービスに大量のトラフィックを殺到させて過負荷に陥らせる攻撃です。マルウェアに感染した個別のデバイス (ボット)、またはそのようなデバイス群から成るネットワーク (ボットネット) によって実行されます。DDoS 攻撃は数時間 (長い場合は数日) にわたって継続されることもあります。
  • 内容: DDoS 攻撃は、サイトやサーバーに誤ったトラフィックを殺到させ、サービスの中断やオフライン状態に追い込む攻撃です。
  • 理由: 犯罪者は、金銭的な理由、競合優位性の獲得、または政治的な理由のためにサイト所有者を恐喝する目的で DDoS 攻撃を仕掛けます。
  • 方法: サービスとしてのサイバー犯罪ビジネス モデルの DDoS サブスクリプション サービスを利用すれば、わずか USD$5 からの低コストで DDoS 攻撃を発注できます。1

IP ブーター (DDoS ストレッサー、IP ストレッサーとも呼ばれる) は、一言でいえば、サイバー攻撃者向け SaaS (サービスとしてのソフトウェア) です。この種のサービスを利用すれば、誰でも、コーディング スキルなしで、ボットネットを利用した大規模な DDoS 攻撃キャンペーンを開始できます。

  • その 1: 多くの組織において、ネットワークとアプリケーションの監視に充てられるリソースが減り、脅威アクターが容易に攻撃を実行できる状況が発生しやすくなるため。
  • その 2: トラフィック量が年中でも最大になるため (今年はシーズン中の売上が 1 兆 3,300 億米ドルに達する見込み)。特に eコマース Web サイトやゲームプロバイダーにおいて、IT スタッフが正当なトラフィックと不正なトラフィックを見分けることは困難になります。
  • その 3: 金銭的利益の獲得を狙う攻撃者にとって、平常時よりも大きなゲインを見込める機会が増えるため。企業の売上が年中で最大になる時期は、サービスのアップタイム維持が特に切実に求められる時期でもあります。

昨年、私たちは ホリデー シーズンにこのような攻撃が増加したことを指摘し、強固な防御の必要性を訴えました。

2022 年と 2023 年のホリデー シーズンにおけるサイバー攻撃の増加を示すグラフ

ホリデー シーズンのピーク時に Web サイトやサーバーのダウンタイムが発生すると、売上と顧客を失うことや、多額の復旧コストや、企業としての評判を失墜させることにつながります。特に、小規模な組織は攻撃の被害に遭った後の回復が難しい場合が多いため、いっそう深刻なダメージを受けます。

DDoS 攻撃には大きく分けて 3 つの種類があり、さらに、それらの各カテゴリ内にさまざまなサイバー攻撃の細かい分類があります。サイバー犯罪者がいっそう高度な攻撃手法を取り入れ続けていることに伴い (AI ベースの攻撃など)、新たな DDoS 攻撃ベクトルが日々出現しています。 場合によっては 1 つのネットワークに対して複数の攻撃タイプが併用され、その組み合わせに複数の異なるカテゴリが含まれることもあります。

帯域幅消費型攻撃: 帯域幅を標的として、ネットワーク レイヤーを圧倒的な量のトラフィックで溢れさせることを狙った攻撃です。

 

例: DNS (ドメイン ネーム サーバー) 増幅攻撃。公開 DNS サーバーを悪用して大量の DNS 応答トラフィックを標的に送りつけます。

プロトコル攻撃: リソースを標的として、レイヤー 3 およびレイヤー 4 プロトコル スタックの弱点を突く攻撃です。

 

例: SYN (同期パケット) フラッド攻撃。提供されているサーバー リソースを消費し尽くし、サーバーを利用できない状態を引き起こします。

リソース レイヤー攻撃: Web アプリケーション パケットを標的として、ホスト間のデータ転送を中断させる攻撃です。

 

例:  HTTP/2 Rapid Reset 攻撃。HEADERS の後に RST_STREAM が続く形の HTTP 要求を一定数送りつけ、このパターンを繰り返して、標的の HTTP/2 サーバー上に大量のトラフィックを発生させます。

DDoS 攻撃の標的にされることを完全に回避する方法はありませんが、先を見越して計画と準備をしておけば、より効果的な防御を確立しやすくなります。

それを前提にしたうえで、トラフィックが特に増大するホリデー シーズンには異常の検出が難しくなる可能性があることを認識する必要があります。

  • リスクと脆弱性を評価する: まず、組織内のアプリケーションのうち、パブリック インターネットと接点があるものを特定します。また、アプリケーションが想定外の挙動を示し始めたときにすぐ対応できるよう、正常時における挙動をよく確認しておきます。
  • 十分な保護を確実に適用する: DDoS 攻撃が年中で最も活発化するホリデー シーズン中は、あらゆる規模の攻撃に対応できる高度な緩和機能を備えた DDoS 攻撃対策サービスが必要です。具体的に注目すべきサービス内容としては、トラフィック監視機能、お使いのアプリケーションの事情に合った保護機能、DDoS 攻撃からの保護に関するテレメトリ/監視/アラート機能、そして、早期対応チームによるサービス体制などが挙げられます。
  • DDoS 対応戦略を策定する: DDoS 攻撃を見つけ、軽減し、迅速な回復を実現しやすくするには、対応戦略を立てておくことが重要です。戦略に不可欠な構成要素の 1 つは、役割と責任範囲を明確に定めた DDoS 対応チームを編成することです。DDoS 対応チームには、攻撃を特定、軽減、監視するための方法を熟知していることと、社内の関係者や顧客との調整能力が必要です。
  • 攻撃発生中にサポートを求める: 攻撃が実際に行われていると考えられる場合は、適切な技術を持つ専門家 (常設の DDoS 対応チームなど) に連絡し、進行中の状況における攻撃調査と、攻撃が終了してからの事後分析についてサポートを求めます。
  • 攻撃発生後に教訓を確認し、対策に取り入れる: 攻撃を受けた後は、可能な限り早く平常状態の回復に努める一方で、リソースの監視を継続しながら攻撃後の振り返り作業を実施することが重要です。攻撃後の分析作業においては、以下の事項を必ず検討します。
  • アーキテクチャにスケーラビリティがないことが原因で、サービスやユーザー エクスペリエンスの中断が発生した部分はあるか。
  • 最も深刻な影響を受けたアプリケーションやサービスはどれか。
  • DDoS 対応戦略はどの程度の効果を発揮したか。どのような点に改善の余地があるか。

関連記事

広範さと実効性において深刻化が進む、東アジア発のデジタル脅威

東アジアの脅威情勢は変化しています。中国はサイバー工作と影響工作 (IO) の両方を広範に展開しており、北朝鮮はサイバー脅威アクターの手法をますます巧妙化させています。こうした状況下で台頭しつつある新たなトレンドを探ります
詳細情報

イランがサイバー対応の影響工作に注力し、その効果を増大中

Microsoft 脅威インテリジェンスは、イラン発で展開されるサイバー対応の影響工作が増加していることを発見しました。新しい手法の詳細や、今後脅威が発生しそうな領域など、脅威に関するさまざまな分析情報をご覧ください。
詳細情報

ウクライナ戦争のデジタル戦線で展開されるサイバー工作、影響工作

Microsoft 脅威インテリジェンスが、ウクライナにおけるサイバー工作と影響工作の状況を 1 年にわたって調査した結果と、サイバー脅威の新たなトレンド、そして、2 年目に入ったウクライナ戦争にこれから起きることを解説します
詳細情報

Microsoft Security をフォロー