Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

DDoS攻撃最新動向、新たな脅威にどう対抗するのか―アーバーネットワークスに訊く

edited by Security Online   2016/03/29 11:00

 企業のITシステムがさらされている脅威は多様化しており、セキュリティ対策の幅もかなり多岐にわたっている。そんな中、最近深刻な脅威となっているのが、複数のクライアントから大量のパケットを送信し、サーバーのサービスを不能にする「DDoS攻撃」だ。攻撃を受けるとビジネスが止まり、情報漏洩などで企業ブランドを大きく傷つけることになる。こうした脅威への対策は、アンチウィルスソフトウェアを入れるのと同様、もはやごく当たり前のことにもなりつつある。DDoS攻撃の実態と対策に詳しい、DDoS対策ソリューションベンダーのアーバーネットワークス 佐々木 崇氏に話を聞いた。

金銭を要求するDDoS攻撃が増加中

 標的型攻撃の傾向としては高度で執拗、継続的な攻撃が増えている。ターゲットを定め相手が引っかかるであろう巧みな工夫がなされており、もはや攻撃を100%防御することは難しい。そのため防御と同時に、攻撃側に侵入されても被害を最小限にし、迅速に対処できる仕組みが重要となっている。

アーバーネットワークス株式会社 SE マネージャー 佐々木 崇氏

アーバーネットワークス株式会社 SE マネージャー 佐々木 崇氏

 なかでも、DDoS(Distributed Denial of Service)では、頻繁に企業や組織が攻撃されている。有名になった「アノニマス」のように、当初は主義主張や政治的背景から狙われる組織が選ばれてきた。アーバーネットワークスのSE マネージャー 佐々木 崇氏は、「最近では脅しが目的なものも増えています」と指摘する。DDoS攻撃を止めて欲しければお金をよこせと脅す事例が増えているという。

 「昨年くらいから脅迫被害が増えています。ビットコインを要求する“DD4BC”が有名で、表沙汰になっていないものも含めればかなりの数に上るでしょう」(佐々木氏)

 DD4BCが要求したのは100ビットコイン(当時、およそ2万5,000ドル)程度だというが、止めてもらうためにお金を支払ってしまった組織もあるだろう。DD4BCが主に攻撃したのはオンラインギャンブルのサイトで、これらのサイトがダウンすれば、すぐにビジネスに大きな影響を及ぼす。他にも銀行やクレジット会社なども狙われ、攻撃者側はどういう組織ならば脅迫しやすいかを考慮し攻撃している。

 もちろん、政治的な背景などによるDDoS攻撃も減っているわけではない。日本でも政府機関や自治体、大手企業などのサイトが日々攻撃を受けている。「日本もすでにサイバー戦争に巻き込まれています。今後は東京五輪もあり攻撃はさらに増えるでしょう。セキュリティに対する考え方を改めて見直す時です」と佐々木氏は強調する。

 DDoS攻撃への対策ができていないと分かれば、その会社のサイトは他のセキュリティ対策も甘いとみなされる。そうなれば、標的型攻撃のターゲットになり、他のDDoS攻撃の踏み台にされる可能性も高まる。

ボリューム攻撃だけでなく、スロー攻撃にも対処できなければならない

 具体的にDDoS攻撃への防御はどうすればいいのか。大手のキャリアやインターネットサービスプロバイダーなどは、DDoS攻撃を防御する各種サービスをすでに提供している。それらを契約している企業も多い。しかし、上位キャリアやプロバイダーによる防御ではサービスの観点上、場合によっては防ぎにくいDDoS攻撃もあると佐々木氏は述べる。

アーバーネットワークス株式会社 SE マネージャー 佐々木 崇氏

 「DDoS攻撃は2つあります。1つがボリューム攻撃で大容量のアクセスでターゲットサイトを潰すものです。トラフィック量も増え、キャリアやプロバイダーにもインパクトが大きいので彼らに積極的に対策してもらえます。一方で通信量の少ないDDoS攻撃があります。ネットワークレイヤーの7で攻撃するアプリケーションレイヤー攻撃とよばれるものです。たとえばhttpのGETやPOSTを利用して、わざとゆっくりしたパケットを送る、複数セッションを張りっぱなしにするなどで、サーバー処理を遅くするスロー攻撃を仕掛けてくるのです」(佐々木氏)

 スロー攻撃は、上位プロバイダーにはほとんど影響しない。現象的には単にアプリケーションのパフォーマンスが悪くなるだけだ。「たまたまサーバーの処理が遅いのかもしれません。スロー攻撃は簡単には見分けられないので、専用アプライアンスなどを入れ判断する必要があります」と佐々木氏は述べる。

 アーバーネットワークスには、DDoSの検知と防御を行う「Arbor Networks SP/TMS」という製品がある。SP/TMSプラットフォームは、Arbor Networks SPとArbor Networks Threat Management System(TMS)の2つで構成される。Arbor SPはネットフロー情報を用いてモニタリングを行い、通信に含まれるDDoS攻撃を検知する。検知したDDoS攻撃情報からArbor TMSにトラフィックを迂回し、DDoS攻撃を防御する。TMSにはこれまでアーバーネットワークスが蓄積してきたノウハウを活かし、30種以上のDDoS防御策が搭載されている。Arbor SP/TMSは、ボリューム攻撃に大きな効果を発揮するものだ。

 アーバーネットワークスが提供するもう1つの製品が「Arbor Networks APS」だ。これは、パケットレベルのアプリケーション分析を活用し、アプリケーションへのDDoS攻撃を自動検知し阻止する。インライン型のアプライアンスで、企業ネットワークのファイアウォールやIPS(Intrusion Protection System)の上位に設置する。

 「Arbor SP/TMSとArbor APSは連携し、組み合わせて使うとさらに効果的です。Arbor APSであらゆるタイプのDDoS攻撃を検知し、Arbor SP/TMSを使って上流でその攻撃を防御してしまうことができます」(佐々木氏)

 アーバーネットワークスの強みは、DDoS攻撃対策に対する実績だ。そこから得られる膨大なノウハウがある。さらに、他社はいくつかあるセキュリティ対策の一つにDDoSを位置づけているが、アーバーネットワークスはDDoS対策を含むセキュリティソリューションのみに特化している点も大きなアドバンテージだ。結果、「大手キャリアやプロバイダーの多くが採用し始めていることも、我々の優位性を証明するでしょう」と佐々木氏は語る。

実際の攻撃を想定したリハーサルが重要に

 また、アーバーネットワークスでは、サイバー攻撃と企業内部ネットワークとの関係を可視化する、高度な脅威への対策プラットフォーム「Arbor Networks Spectrum」を提供している。

 「企業内部に潜んでいる脅威を見つけ防御するものです。標的型攻撃などは高度化しており、今や100%すべての攻撃を防げません。Spectrumは内部のネットワーク状況を監視し、侵入されPCなどに感染したマルウェアが起こす不正な挙動を検知します」(佐々木氏)

 アーバーネットワークスではマルウェアがどのような通信を行うのか、フィッシングサイトやC&Cサーバーの動きはどうなっているのかなどの情報を集め分析している。それらのフィードバックをDDoS攻撃防御に活かしている。こういった技術を応用し、内部のネットワークでマルウェアが起こす不正な動きを検知する。Spectrumを使うとマルウェアになぜ感染したかが把握でき、SOCやCSIRTなどで必要になるレポートも提供できる。

写真:「Security Days 2016」でのアーバーネットワークスの展示ブース DDoS攻撃への具体策を示すためにArbor APSとSpectrumが紹介された

「Security Days 2016」でのアーバーネットワークスの
展示ブース:DDoS攻撃への具体策を示すために
Arbor APSとSpectrumが紹介された

 「Spectrumはマルウェアの根源を掴むことにフォーカスした製品です。セキュリティ上の脅威の可視化を行う、いままでなかったカテゴリーの製品です。出入り口で攻撃を食い止めるのではなく、インシデントがあった際にいかに迅速にそれを食い止めるかのツールです」(佐々木氏)

 2016年3月3日、「Security Days 2016」が都内で開催されアーバーネットワークスも参加した。展示ブースでは、来場した企業顧客向けにDDoS攻撃への具体策を示すためにArbor APSとSpectrumが紹介された。

 「大規模なDDoS攻撃に目が行きがちで、アプリケーションに対するスロー攻撃などへの対策はまだまだこれからです。浸透はしてきていますが、我々のような会社がしっかりと情報発信し啓蒙する必要もあると考えています」(佐々木氏)

 Arbor APSは、アプライアンスだけでなくVMwareやKVMなどの仮想化環境で動くバーチャル版も提供している。バーチャル版は安価に始められ、中小規模の企業も多く導入している。またSpectrumは、データセンターから中小企業まですべての規模の組織に対応でき「今やファイアウォールを入れるのは当たり前ですが、Spectrumも今後はそれと同じような存在になるでしょう」と佐々木氏は述べる。

 DDoS攻撃の手法は今後ますます複雑化、高度化する。「いろいろな種類の攻撃が同時にやってくるような状況です。そんな動きに対応できるよう、製品をさらに進化させていきます」と佐々木氏。

 もちろん、どんなに良いツールがあっても使いこなせなければ意味がない。社内で脅威に対抗できるエンジニアを育て、日頃からインシデントに対するリハーサルを行っておくことも重要だと佐々木氏は強調した。

著者プロフィール

  • 谷川 耕一(タニカワ コウイチ)

    EnterpriseZine/DB Online チーフキュレーター かつてAI、エキスパートシステムが流行っていたころに、開発エンジニアとしてIT業界に。その後UNIXの専門雑誌の編集者を経て、外資系ソフトウェアベンダーの製品マーケティング、広告、広報などの業務を経験。現在はフリーランスのITジ...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5