金銭を要求するDDoS攻撃が増加中
標的型攻撃の傾向としては高度で執拗、継続的な攻撃が増えている。ターゲットを定め相手が引っかかるであろう巧みな工夫がなされており、もはや攻撃を100%防御することは難しい。そのため防御と同時に、攻撃側に侵入されても被害を最小限にし、迅速に対処できる仕組みが重要となっている。
なかでも、DDoS(Distributed Denial of Service)では、頻繁に企業や組織が攻撃されている。有名になった「アノニマス」のように、当初は主義主張や政治的背景から狙われる組織が選ばれてきた。アーバーネットワークスのSE マネージャー 佐々木 崇氏は、「最近では脅しが目的なものも増えています」と指摘する。DDoS攻撃を止めて欲しければお金をよこせと脅す事例が増えているという。
「昨年くらいから脅迫被害が増えています。ビットコインを要求する“DD4BC”が有名で、表沙汰になっていないものも含めればかなりの数に上るでしょう」(佐々木氏)
DD4BCが要求したのは100ビットコイン(当時、およそ2万5,000ドル)程度だというが、止めてもらうためにお金を支払ってしまった組織もあるだろう。DD4BCが主に攻撃したのはオンラインギャンブルのサイトで、これらのサイトがダウンすれば、すぐにビジネスに大きな影響を及ぼす。他にも銀行やクレジット会社なども狙われ、攻撃者側はどういう組織ならば脅迫しやすいかを考慮し攻撃している。
もちろん、政治的な背景などによるDDoS攻撃も減っているわけではない。日本でも政府機関や自治体、大手企業などのサイトが日々攻撃を受けている。「日本もすでにサイバー戦争に巻き込まれています。今後は東京五輪もあり攻撃はさらに増えるでしょう。セキュリティに対する考え方を改めて見直す時です」と佐々木氏は強調する。
DDoS攻撃への対策ができていないと分かれば、その会社のサイトは他のセキュリティ対策も甘いとみなされる。そうなれば、標的型攻撃のターゲットになり、他のDDoS攻撃の踏み台にされる可能性も高まる。
ボリューム攻撃だけでなく、スロー攻撃にも対処できなければならない
具体的にDDoS攻撃への防御はどうすればいいのか。大手のキャリアやインターネットサービスプロバイダーなどは、DDoS攻撃を防御する各種サービスをすでに提供している。それらを契約している企業も多い。しかし、上位キャリアやプロバイダーによる防御ではサービスの観点上、場合によっては防ぎにくいDDoS攻撃もあると佐々木氏は述べる。
「DDoS攻撃は2つあります。1つがボリューム攻撃で大容量のアクセスでターゲットサイトを潰すものです。トラフィック量も増え、キャリアやプロバイダーにもインパクトが大きいので彼らに積極的に対策してもらえます。一方で通信量の少ないDDoS攻撃があります。ネットワークレイヤーの7で攻撃するアプリケーションレイヤー攻撃とよばれるものです。たとえばhttpのGETやPOSTを利用して、わざとゆっくりしたパケットを送る、複数セッションを張りっぱなしにするなどで、サーバー処理を遅くするスロー攻撃を仕掛けてくるのです」(佐々木氏)
スロー攻撃は、上位プロバイダーにはほとんど影響しない。現象的には単にアプリケーションのパフォーマンスが悪くなるだけだ。「たまたまサーバーの処理が遅いのかもしれません。スロー攻撃は簡単には見分けられないので、専用アプライアンスなどを入れ判断する必要があります」と佐々木氏は述べる。
アーバーネットワークスには、DDoSの検知と防御を行う「Arbor Networks SP/TMS」という製品がある。SP/TMSプラットフォームは、Arbor Networks SPとArbor Networks Threat Management System(TMS)の2つで構成される。Arbor SPはネットフロー情報を用いてモニタリングを行い、通信に含まれるDDoS攻撃を検知する。検知したDDoS攻撃情報からArbor TMSにトラフィックを迂回し、DDoS攻撃を防御する。TMSにはこれまでアーバーネットワークスが蓄積してきたノウハウを活かし、30種以上のDDoS防御策が搭載されている。Arbor SP/TMSは、ボリューム攻撃に大きな効果を発揮するものだ。
アーバーネットワークスが提供するもう1つの製品が「Arbor Networks APS」だ。これは、パケットレベルのアプリケーション分析を活用し、アプリケーションへのDDoS攻撃を自動検知し阻止する。インライン型のアプライアンスで、企業ネットワークのファイアウォールやIPS(Intrusion Protection System)の上位に設置する。
「Arbor SP/TMSとArbor APSは連携し、組み合わせて使うとさらに効果的です。Arbor APSであらゆるタイプのDDoS攻撃を検知し、Arbor SP/TMSを使って上流でその攻撃を防御してしまうことができます」(佐々木氏)
アーバーネットワークスの強みは、DDoS攻撃対策に対する実績だ。そこから得られる膨大なノウハウがある。さらに、他社はいくつかあるセキュリティ対策の一つにDDoSを位置づけているが、アーバーネットワークスはDDoS対策を含むセキュリティソリューションのみに特化している点も大きなアドバンテージだ。結果、「大手キャリアやプロバイダーの多くが採用し始めていることも、我々の優位性を証明するでしょう」と佐々木氏は語る。
実際の攻撃を想定したリハーサルが重要に
また、アーバーネットワークスでは、サイバー攻撃と企業内部ネットワークとの関係を可視化する、高度な脅威への対策プラットフォーム「Arbor Networks Spectrum」を提供している。
「企業内部に潜んでいる脅威を見つけ防御するものです。標的型攻撃などは高度化しており、今や100%すべての攻撃を防げません。Spectrumは内部のネットワーク状況を監視し、侵入されPCなどに感染したマルウェアが起こす不正な挙動を検知します」(佐々木氏)
アーバーネットワークスではマルウェアがどのような通信を行うのか、フィッシングサイトやC&Cサーバーの動きはどうなっているのかなどの情報を集め分析している。それらのフィードバックをDDoS攻撃防御に活かしている。こういった技術を応用し、内部のネットワークでマルウェアが起こす不正な動きを検知する。Spectrumを使うとマルウェアになぜ感染したかが把握でき、SOCやCSIRTなどで必要になるレポートも提供できる。
「Spectrumはマルウェアの根源を掴むことにフォーカスした製品です。セキュリティ上の脅威の可視化を行う、いままでなかったカテゴリーの製品です。出入り口で攻撃を食い止めるのではなく、インシデントがあった際にいかに迅速にそれを食い止めるかのツールです」(佐々木氏)
2016年3月3日、「Security Days 2016」が都内で開催されアーバーネットワークスも参加した。展示ブースでは、来場した企業顧客向けにDDoS攻撃への具体策を示すためにArbor APSとSpectrumが紹介された。
「大規模なDDoS攻撃に目が行きがちで、アプリケーションに対するスロー攻撃などへの対策はまだまだこれからです。浸透はしてきていますが、我々のような会社がしっかりと情報発信し啓蒙する必要もあると考えています」(佐々木氏)
Arbor APSは、アプライアンスだけでなくVMwareやKVMなどの仮想化環境で動くバーチャル版も提供している。バーチャル版は安価に始められ、中小規模の企業も多く導入している。またSpectrumは、データセンターから中小企業まですべての規模の組織に対応でき「今やファイアウォールを入れるのは当たり前ですが、Spectrumも今後はそれと同じような存在になるでしょう」と佐々木氏は述べる。
DDoS攻撃の手法は今後ますます複雑化、高度化する。「いろいろな種類の攻撃が同時にやってくるような状況です。そんな動きに対応できるよう、製品をさらに進化させていきます」と佐々木氏。
もちろん、どんなに良いツールがあっても使いこなせなければ意味がない。社内で脅威に対抗できるエンジニアを育て、日頃からインシデントに対するリハーサルを行っておくことも重要だと佐々木氏は強調した。