「DDoS攻撃」とは何か ~進化し続けるDoS攻撃~

スタッフブログ

どうも、弱い頭をフル回転させながら今日も元気に勉強している谷口です。

私は今、お盆から一週間開催されたとあるアプリゲームでの推しのイベントやそのアプリゲームでの新曲発売等があったため、その余韻に浸りながら生活しています。心身ともに負担のかかるアプリゲームのため、生活に多少の支障をきたしながらも充実した日々を送っています。

さて、前回の記事はサイバー攻撃の一つである「DoS攻撃」について紹介しましたが、今回はそのDoS攻撃の進化版である「DDoS攻撃」を紹介します。
前回の記事の続きとなるため、先にそちらから読んで頂いたほうが読みやすいと思います。下にリンクをはっておくので是非一読お願いします。
前回の記事:「DoS攻撃」とは何か ~その種類や対策、流れについて~

それでは、どうぞ。

DDoS攻撃について

前回の記事で挙げた、ネットワークやシステムの脆弱性を突く「脆弱性型のDoS攻撃」と、サーバやシステムが処理しきれないほどの大量のデータを送り付ける「Flood型のDoS攻撃」。これらは前回の記事にあるように様々な対策が講じられたことにより、効果は薄くなり始めました。
そしてそんな頃、Flood型のDoS攻撃を継ぐ「DDoS攻撃(Distributed DoS attack)」という新たなサイバー攻撃が生まれました。

DDoS攻撃は訳すと「分散型サービス妨害攻撃」となり、複数台のコンピュータから攻撃させるFlood型のDoS攻撃のことです。
Flood型のDoS攻撃は一台のコンピュータからの攻撃だったのに対し、DDoS攻撃は複数台のコンピュータからの攻撃、つまり攻撃元を「分散」させたDoS攻撃のことです。

それではDDoS攻撃の種類をそれぞれ見ていきましょう。

協調分散型DoS攻撃

まずは「協調分散型DoS攻撃」といわれる攻撃についてです。
この攻撃はトロイの木馬などのマルウェアを使って行います。

マルウェア(malicious software)は直訳すると「悪意があるソフトウェア」であり、悪用や盗聴(データを盗み見ること)をしたり、不具合を起こしたりするソフトウェアのことです。

そしてトロイの木馬は、悪意のないプログラムのように装い、ユーザを信用させてコンピュータに侵入し、コンピュータを悪用・盗聴するマルウェアのことです。
フィッシングメール、TwitterやFacebookなどのSNS、Webサイトなどから攻撃者が用意したURLにアクセスさせ、とんだ先で悪意のあるソフトウェアをユーザにダウンロードさせることでトロイの木馬を侵入させる、という手口がよくあるパターンです。

因みにそのほかにも、ここ数年で「ドライブバイダウンロード」と呼ばれる方法でマルウェアを侵入させる手口が増えています。ドライブバイダウンロードとは、OSやソフトウェアの脆弱性を突くサイバー攻撃です。悪意のないプログラムに装うことなくサイトなどにアクセスしただけで、勝手にマルウェアをダウンロードします。
何となく分かると思いますが、ドライブバイダウンロードはマルウェアのダウンロードなどを勝手に行ってしまうためユーザが気づくことが難しいです。そのためトロイの木馬より厄介です。

とまあ少し長めの説明をしたのですが、つまり協調分散型DoS攻撃は、攻撃者がトロイの木馬などのマルウェアを使い、他のユーザのコンピュータを大量にのっとり、そのコンピュータ(踏み台)を使って攻撃対象に大量のデータを送り付ける攻撃です。

従来のFlood型のDoS攻撃のように大量のデータを送り付けるのは同じですが、コンピュータが複数台のため大量のIPアドレスが使用出来ます。そのためFlood型のDoS攻撃の時に対策として行っていた、特定のIPアドレスをブロックすることや攻撃者を特定することなどでは防ぐことが難しくなりました。

そのため協調分散型DoS攻撃に対して、OSやアプリのアップデートやセキュリティソフトの導入、サービス対象を日本国内だけに限るのなら海外からのアクセスを遮断する、などの従来から行っていた対策に加え、100%防げるわけではないものの、同じIPアドレスからのアクセスを制限するという対策も取られ始めました。

このように多くの対策が取られた結果、協調分散型DoS攻撃より更に複雑なものに進化した攻撃が生まれました。それが「DRDoS攻撃(Distributed Reflective DoS attack)」です。

DRDoS攻撃

この攻撃ではまず、攻撃者が多数のコンピュータに対して何らかのデータを送信するところから始まります。この時攻撃者は、送信元を「攻撃したい相手」(以下、攻撃対象)に偽装します。するとデータの受信先は、送信元である(正確には、送信元として偽装された)攻撃対象にデータを送り返します。
つまり、本来は受信先から攻撃者に返ってくるはずだったデータが、攻撃対象宛に大量に送られるということです。これがDRDoS攻撃です。
この時送り付けられたデータが大きければ大きいほど、攻撃対象に負荷がかかります。

因みにDRDoS攻撃を訳すと「分散反射型DoS攻撃」となります。これは攻撃者から見た時に、このデータの流れが「反射」したように見えることからこの名称がつきました。

もう少し分かりやすくするために、このDRDoS攻撃を人間の世界で例えてみます。
AさんとBさんは仲が悪く、Aさんは何かいい嫌がらせはないかと考えていました。その時Aさんは、とある嫌がらせを思いつきました。それはBさんの住所宛に大量の出前を頼む、というものでした。
そしてAさんは、早速Bさんの住所宛に大量の出前を頼み、何も知らないBさんは注文した記憶のない大量の出前が届き、Aさんの思惑通り困り果ててしまいました。
一番上の説明で考えるとAさん=攻撃者、Bさん=攻撃対象、出前の店=受信先となります。

とまあ私なりに分かりやすく説明するとこんなところです。例え話なのでそこまで厳密なものではないのですが、ふんわりとこんなもの、と理解していただけたら嬉しいです。

でもこれだったら協調分散型DoS攻撃のほうが厄介なように感じますよね。効率よく大量のデータを送り付けることが出来ますから。
でも大丈夫です。この説明だけではDRDoS攻撃の厄介さは分からないと思いますが、この攻撃はちゃんと厄介です。

DRDoS攻撃には主に「DNSアンプ攻撃」や「Smurf攻撃」と呼ばれる攻撃があります。Smurf攻撃は現在ではしっかりとした対策が取られておりほとんどが防げますが、DNSアンプ攻撃は防ぐことが難しい厄介な攻撃です。

ではDNSアンプ攻撃とはどれほど厄介な攻撃なのかを説明したいと思います、といいたいところですが、DNSアンプ攻撃は色々と説明しなければいけないことがあり長くなってしまうため、今回の記事はここまでにして次回の記事に回したいと思います。

終わりに

はい、お疲れさまでした!私も疲れました!本当は今回でDoS攻撃・DDoS攻撃についての記事は書き終えるつもりだったのですが、ちょっと無理でしたね。
サイバー攻撃は正式な攻撃名があるものばかりではなく、新たな攻撃発見後に誰かが攻撃名を付けてそれが広まっていく、というような攻撃名の付け方のため色々調べていくうちにどの攻撃名が本当なのか分からなくなったりして、とても大変でした。
そして今更ですが私の記事では意味が分かりやすかったり、調べた中でよく使われているなと思ったりした攻撃名を使っているため、記事で挙げた攻撃名が正解ではないこともあります。というかそもそも正解がないものもあると思います。そこはご了承ください。

さて、結構長ったらしく書きましたが今回はここまでです。ここまで読んで下さりありがとうございます。次回の記事は応用情報技術者試験間近に書くことになりそうな予感がします。怖いですね。頑張ります。