DDoS攻撃に対する誤解と攻撃の緩和戦略：対DDoS攻撃戦略【前編】

DDoS攻撃は政治的な意図（抗議など）によるものが多く、頻度も低くかった。だが現在は異なる。「自社には関係ない」という認識は改めなければならない。だがどうすればいいのか。

[Sebastian Klovig Skelton，Computer Weekly]

　DDoS攻撃は大して費用がかからず調整も容易だ。ネットワークインフラの処理能力を上回るトラフィックを送信するだけでいい。DDoS攻撃に成功すると、標的はほんの数分オフラインになるだけだが、事業の遂行能力は完全に停止する。

　多くの企業はDDoS攻撃を大きな脅威とは認識していない。他のサイバー攻撃よりも頻度が低く、その緩和策には多くのコストがかかり、政治的動機を持つ攻撃者が多いという認識があるためだ。

リスクとコストの認識

　Akamai Technologiesでセキュリティおよび戦略部門のディレクターを務めるリチャード・ミース氏は本誌のインタビューに答えて、Webアプリケーションへの攻撃に比べてDDoS攻撃の頻度は「桁違いに低い」と語った。

　Webアプリケーションへの攻撃が増えていることから、その対策に投資するメリットは分かりやすい。DDoS攻撃については、そのリスクを受け入れる方が容易だと考えられているとミース氏は補足する。

　CloudflareのCTO（最高技術責任者）ジョン・グラハム＝カミング氏は、「自社がDDoS攻撃の標的になるとは限らない」という感覚から、DDoS攻撃の緩和策の採用を控えるかもしれないと補足する。

併せて読みたいお薦め記事

• DDoS攻撃を阻止するトラフィックスクラビング
• 「DDoS攻撃＝大規模攻撃」は勘違いだった？　実際の攻撃手法はこれだ
• DDoS攻撃の目的は「サービス妨害よりも怖い」攻撃のカモフラージュ
• 5Gの普及で「大規模DDoS攻撃」の危険性が高まる理由とは？
• シーケンス番号予測攻撃、中間者攻撃、DDoS攻撃とは？　TCP/IPを襲う攻撃

　「注目を集めたDDoS攻撃は政治的動機から行われたものが多い。そのため、『当社はAnonymousに狙われるようなことには関係していない』『当社は政治的活動を行っていないのでそのようなことが起きる恐れは低い』という考えに陥りやすい。残念ながら、DDoS攻撃の多くは単なる経済的動機にすぎない」（グラハム＝カミング氏）

　2020年は身代金を要求するDDoS攻撃が増えている。この場合、犯罪者は「攻撃の標的にしない」あるいは「攻撃を停止する」ことを条件にして金銭を要求する。

　「攻撃者は非常に組織化されているため、企業はDDoS攻撃をビジネス上のリスクの一つと考える必要がある」（グラハム＝カミング氏）

　これまでのDDoS攻撃緩和策は非常に高価だった。だがクラウドの普及によってコストが下がり、手頃な価格になっていると同氏は付け加える。

　NominetでCISO（最高情報セキュリティ責任者）を務めるキャス・グールディング氏によると、DDoS攻撃は頻度が少ないものの、ここ数年大幅に増加しており、攻撃の規模は「指数関数的に高まっている」という。

緩和戦略

　グラハム＝カミング氏によると、緩和策を実装する前に自社のデジタル資産全体に関連するデューデリジェンスを実施する必要があるという。攻撃者は既に実践している。

　「特にランサムウェア攻撃を仕掛ける攻撃者は、攻撃する価値のあるものを考え抜いている。攻撃者は攻撃に最適な標的を把握するために偵察している。自社がインターネットに公開しているものを調査すれば、攻撃者がどこを狙う恐れがあるかが分かる。次に、インターネットに公開する必要のあるものを確認する。公開する必要があれば、それに役立つサービスがある」（グラハム＝カミング氏）

後編では、DDoS攻撃に隠されたさらなる脅威と、DDoS攻撃の効果的な緩和策を紹介する。