検索
特集/連載

“古典的”攻撃が今も猛威 DoS攻撃の仕組みと最新対策を解説DoS攻撃に立ち向かう

企業の大きな脅威はランサムウェア攻撃だけではない。DoS攻撃も引き続き活発で、強固な対策が求められる。DoS攻撃の被害を避けるためには、どうすればいいのか。

Share
Tweet
LINE
Hatena

関連キーワード

サイバー攻撃 | マルウェア | セキュリティ


 サービス拒否攻撃(DoS攻撃)は、標的企業のシステムやサービスを利用できなくすることを目的とした攻撃だ。手口として、システムが処理できないほどの大量のデータを送信し、システムを停止させる。DoS攻撃に対抗するには、その種類や対策を知ることが重要だ。本稿はポイントを解説する。

DoS攻撃の種類や想定被害、予防策とは

 DoS攻撃の一種として分散型サービス拒否攻撃(DDoS攻撃)がある。DDoS攻撃では、IPアドレスが異なる多数のデバイスからトラフィックが送信される。そのため、攻撃元の特定やブロックが困難だ。DDoS攻撃は、侵入したコンピュータをbotネット(攻撃ネットワーク)として利用し攻撃の範囲を広げるパターンがよく見られる。なお、セキュリティ専門家によってはDDoS攻撃をDoS攻撃の一種ではなく、別のものと捉えることもある。

 DoS攻撃は以下の3つに分類される。

  • ボリュメトリック攻撃
    • ファイアウォールやルーターなどのネットワーク機器を大量のトラフィックで攻撃する。「ICMP」(インターネット制御メッセージプロトコル)や「UDP」(User Datagram Protocol)といった通信プロトコルを利用する手法もある。
  • プロトコル攻撃
    • こちらもネットワークインフラを対象とするが、プロトコルの動作を操作してIT資源を消耗させるのが特徴だ。
  • アプリケーション層攻撃
    • WebサイトやAPIを対象に、大量の「HTTP」リクエストを生成したり、複雑なレポート作成など大量のIT資源を消費するアプリケーション機能を実行したりする。

DoS攻撃による被害

 DoS攻撃を受けると、システムやサービスの停止によってビジネスが中断され、大きな被害が生じかねない。具体的にはどのような被害が考えられるかを、以下で見てみよう。

  • 金銭的損失
    • ビジネスに不可欠なシステムが停止することで、企業は金銭的損失を被る。短時間の停止でも、Eコマース業者では多数の取引が失われ、重大な経済的影響を与えかねない。
  • 修復コスト
    • DoS攻撃を受けた企業は、人件費も含め、システム修復のための費用が発生する。
  • 評判へのダメージ
    • 長時間のシステム停止は企業の評判に深刻なダメージを与え、顧客や株主がその企業のセキュリティ対策に疑問を抱くようになる恐れがある。

DoS攻撃の対策

 以下の対策を講じれば、DoS攻撃を防いだり攻撃の被害を抑えたりすることができる。

リスク評価

 まず、全てのIT資産を特定し、リスクを評価することが重要だ。特に、攻撃を受ける可能性が高いと考えられる重要なシステムやデータを把握することが欠かせない。次に、攻撃者が悪用できる脆弱(ぜいじゃく)性を特定する。

攻撃対象領域を減らすこと

 必要なセキュリティパッチを実施する他、不要なインターネット接続をなくすことで、アタックサーフェス(攻撃対象領域)を少なくする。

DoS攻撃予防サービスの利用

 Amazon Web Services(AWS)の「AWS Shield」やMicrosoftの「Azure DDoS Protection」など、ベンダーによるDoS攻撃予防サービスがある。企業はこれらを使えば、以下のことができる。

  • 企業のアプリケーションと公共インターネットの間に防御層を設ける。
  • 全てのトラフィックがまずサービス提供者のデータセンターに到達するようにする。
  • トラフィックの急増を分散する。
  • 不審なトラフィックの発信源に対し、一定期間内に受け入れるリクエスト数を制限する

DoS攻撃予防ツールの利用

 主に以下のDoS攻撃予防ツールがある。

  • Webアプリケーションファイアウォール(WAF)
    • 特定のURLやAPIエンドポイントを標的にした不正リクエストをフィルタリングする。
  • 不正侵入検知/防御システム(IDS/IPS)
    • ネットワークを監視し、DoS攻撃を示す異常なトラフィックパターンを特定する。危険と判断したら、トラフィックを自動ブロックできる。
  • ブラックホールルーティングのツール
    • システムを対象とした全てのトラフィックを無効にする。

DoS攻撃への対処計画

 DoS攻撃への対処計画には以下の要素を含む。

  • 各施策の明確な手順
  • 外部専門家のサポートを求めるタイミング
  • 事業継続計画(BCP)の策定
  • 社内外の関係者とのコミュニケーション方針

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

ページトップに戻る