「DDoS 攻撃」の怖さ — たったひとつの冴えた言いかた

前回か前々回で未見のAI関連のSF映画を取り上げたのですが、実はその時点では日本公開されておらず、先週から公開されたそうです。なかなか時間が取れずに見に行けないのですが、ジャンルが「SFスリラー」になっていまして、スリラーなんだ、とちょっと吃驚した技術部長です。

今回もとりとめもない枕からAIの関連事例を取り上げようかと思ったのですが、最新のDDoS攻撃(ディードス、分散型サービス停止攻撃)の事例で興味深いものがありましたのでその事例と、その事例を読む中で感じた怖さなどを説明してみようかと思います。DDoS攻撃という言葉がわからない方は、一旦「怖さその3」まで飛ばしてお読みいただいても構いません。

---

事例：「DDoS-For-Hire」(DDoS依頼受付)の出品を削除したらDDoS攻撃を受けた例
5月末の事例ですが、「自分の技術や作品をオンライン上で売買する」マーケットプレースサービスを展開するFiverrで「5ドルでDDoS攻撃します」というサービスが出品者から提供されていることをセキュリティ会社が発見し、Fiverr に通報しました。Fiverr が通報を受けサイトを調査したところ、実際にDDoS攻撃の提供を申し出ている出品者を確認したため、FiverrはDDoS攻撃サービス を提供している出品を全て削除しました。すると2日後、Fiverrは6時間にわたるDDoS攻撃を受けてしまい、サイトがダウンしてしまいました。

怖さその1: 手軽な実行環境と攻撃対象の拡大
セキュリティ会社の「今DDoS攻撃が危険ですよ」という警告でも良く記載されていると思いますが、本来DDoS攻撃は大規模かつ強力な攻撃として広まったもので、逆に金融や大企業や政府など強固なセキュリティを持つ有名どころ向けの攻撃方法と思われたり、「うちなんかを攻撃しても意味ないし、うちは中小だから大丈夫」など、対岸の火事だと捉えられる事が多いと感じています。

しかしこの事例のように、DDoS攻撃は5ドル程度で手軽に行う事ができ、しかもオンラインのマーケットプレースでも少し調べれば実際に提示されていることを確認できます(実際には「悪用厳禁、サーバ帯域テストツール」などと名称をちょっと変えていたりしますが)。 「ちょっとムカついたのでDDoS 攻撃」という通り魔的な犯行もあります。「ムカついたのでDDoS 」が可能になると、中小企業や有名ではないという事実は免罪符にはなりません。賞味期限切れの小麦粉を置いたり針を混入するのと同様、ネットチラシの妨害のためにDDoS攻撃などは、いま、ここにある危機だと思います。

怖さその2: アドレス偽装による匿名性と対処の難しさ
DDoS 攻撃を行う実際の手法を考えると、ウィルスに感染しているPC で構成されるボットネットなどを利用する方法などは、そのボットネット自体や、それを維持する悪意ある人間への対処が可能です。つまり悪意ある人間をどうにか捕まえてボットネットを撲滅するとか、ボットネットの動向を把握して対策する、などの対処方法が可能ですし、実際にセキュリティ各社は世界中のボットネットの動向を監視しており、警察はボットネットやウィルスの摘発もおこなっていますね。

しかし、DNS (URLなどのドメイン名をIPアドレスに変換)やNTP(サーバの時刻同期) というインターネットに必要な機能を提供する公共的な、公開されているサーバを利用する攻撃についてはどうでしょう。いわゆる増幅型攻撃です。増幅攻撃の怖さはその規模だけではなく、アドレスが偽装されているので攻撃元の特定が出来ない点にもあります。UDPという、「アドレスが本当に正しいかチェックするよりはさっさと処理してそのアドレスに返す方がよい」という、安全性より速さを優先してしまった仕組みがあまりにもインターネットに深く関わっているため、UDPが持つ本質的な弱点、アドレス偽装への対処を完全に行う事は難しいのです。

はい、ここまではある程度ご存知の事だと思いますが、じつは僕が読んでいる途中で気付いて、一番怖いなと思ったのは次の、言葉としての難しさです。ためしに、DDoS 攻撃を全く知らないつもりで始めから読んでいただくと、言いたい事が伝わるのではないかと思います。

怖さその3: 「DDoS攻撃」という言葉が持つ、「やっている事の単純さ」と、「言葉の難解さ」のギャップ
「DDoS 攻撃」については、他の攻撃や情報セキュリティリスクに比べて、認知度が低いです。そもそも読めない人の方が多いとか、「分散型サービス停止攻撃」と言われても意味がわからないなど、単語としての根本的な問題点があるのではないかとも思います。別の攻撃方法、例えば「標的型攻撃」や「情報流出」などは日本でもいくつか事件が起きて話題になりましたし、攻撃の内容についてもわかりやすい(詐欺とか横領とか窃盗など、犯罪の類型として簡単に理解出来る)のですが、DDoS 攻撃についてはセキュリティに詳しい人間や、よく攻撃を受けたり被害が出ている業界(金融やEコマース、オンラインゲームなど)以外はよくわからない人の方が多かったり、DDoSを「大人数でサーバを攻撃する方法」と単純に捉えている人もまだいます(「F5砲」はDDoSですが、F5砲だけがDDoSではないのです)。手軽さと危険性、追跡の難しさを考えると、その怖さを理解するため、もっとわかりやすい言葉で広まった方がいいと思います。

たとえば、宅配ピザ屋さんにこっそり侵入して現金や顧客情報を盗むのが「標的型攻撃」だとすると、「注文受付電話にいたずら電話が鳴り止まない」のがDDoS 攻撃です。世界中からかかってくるので電話番号が多すぎ、その電話番号も偽装されていて、誰がいたずらしているのか電話局でもわからない、となるとその攻撃の凶悪さがわかるかもしれません。誰がいたずらしてるのか分からなければ対応のしようもありませんし、いたずらが収まるのを待つか、受付の電話番号の数を増やすしかなく、売上やコストに大きな影響がある宅配ピザ屋さんには死活問題ですね。

---

実際は政府のサイトがダウンしたり大手ゲーム会社のサーバがダウンするなど、日本でもDDoSは大きな被害をもたらしニュースにもなっているのですが、「Webサイト(サーバ)がダウン」したニュースが流れた時に、「誰かがこっそり侵入してスイッチを切ってしまった」という理解をしている人が多いのではないでしょうか。 時代の最先端を行くITで話題の攻撃が、まさか「いたずら電話が鳴り止まない」とか「道路が渋滞で塞がれた」のと同じ単純な話だとは思わないのかもしれません。

ということで、単純だからこそ強力で、手軽に実行されるかもしれないDDoS(ディードス)攻撃をわかりやすく理解してもらうために、「いたずら電話型攻撃」とか「業務妨害攻撃」「過剰アクセス攻撃」など、日本向けのわかりやすい名称を考えた方がいい思うのですが、いかがでしょうか。あまりわかりやすくすると逆効果かもしれませんし、何か上手な言い方などございましたら是非教えていただければ、と思います。

---

インターナップのDDoS攻撃対策サービス

DDoS攻撃対策に代表される外部向けシステムのセキュリティ対策は、情報の保護など内部のセキュリティ同様に重要ですが、最も有効な方法はわかりにくいものです。インターナップ・ジャパンでは、想定される状況や予算に合わせて選べるようラインナップしています。

▶DDoS攻撃対策サービスのご案内