目 次 エグゼクティブサマリー 重 要 な 所 見 はじめに 本 レポートの 範 囲 ラドウェアのセキュリティ 調 査 ERTの 調 査 ハックティビズムと アノニマスの 台 頭 アノニマスのプロジェクト アノニマスの 力 アノニマス 攻 撃 開 始 ケーススタディ: トルコ 政

Transcription

1 20 11 Global Application & Network Security Report & Network Security Report 2011 Global Application 2011 年 グローバルアプリケーション &ネットワークセキュリティレポート Smart Network. Smart Business.

2 目 次 エグゼクティブサマリー 重 要 な 所 見 はじめに 本 レポートの 範 囲 ラドウェアのセキュリティ 調 査 ERTの 調 査 ハックティビズムと アノニマスの 台 頭 アノニマスのプロジェクト アノニマスの 力 アノニマス 攻 撃 開 始 ケーススタディ: トルコ 政 府 への 攻 撃 アノニマス 攻 撃 ベクトルを 修 正 LOICに 続 く 攻 撃 手 法 ケーススタディ さまざまな 攻 撃 の 規 模 DoS 攻 撃 とAPTの 類 似 性 最 初 にダウンするのは インターネットサーバー とは 限 らない 概 要 ファイアウォールが 保 護 されて いない 場 合 に 起 きること ケーススタディ

3 DoS 攻 撃 の 脅 威 にさらされる 組 織 は 増 加 している 攻 撃 ツールのトレンド LOIC Mobile LOIC R.U.D.Y.(R-U-Dead Yet) THC-SSL-DoS 攻 撃 緩 和 技 術 概 要 攻 撃 緩 和 テクノロジー 速 度 制 限 と 帯 域 幅 管 理 振 る 舞 い 検 知 型 の 保 護 課 題 ステートフルインスペクション 地 理 情 報 検 知 型 の 保 護 ACLとRTBH シグネチャ(Flowspecを 含 む) 最 も 一 般 的 な DoS 緩 和 テクノロジー テクノロジーの 効 率 性 カウンターアタック まとめ ネットワークおよび セキュリティコミュニティへの 提 案 Smart Network. Smart Business.

4 01 エグゼクティブサマリー 2011 年 は DoS / DDoS 攻 撃 が 世 間 の 片 隅 から 踊 り 出 てメインストリームのセキュリティ 脅 威 となった 年 でした これに 最 も 大 きく 影 響 を 与 えた 要 因 は アノニマス 現 象 です この 緩 やかに 組 織 化 されたグループは 仮 想 空 間 で 社 会 的 抗 議 を 大 々 的 に 展 開 し 大 規 模 な 組 織 や 有 名 な 組 織 を 攻 撃 しています アメリカ 外 交 公 電 ウィキリークス 流 出 事 件 をめぐる 大 騒 動 が 起 きていた2010 年 12 月 に アメリカ 政 府 支 持 者 に 対 して 行 われた 彼 らの 大 規 模 な 作 戦 オペレーション ペイバッ ク ( 報 復 作 戦 )は 2011 年 のセキュリティシーンの 形 成 につながる 転 換 点 となりました その 後 世 界 中 で 同 様 の 攻 撃 が 見 られるようになりました アノニマスの 影 響 でDoS / DDoS 攻 撃 が 普 及 し セキュリティコミュニティだけでなく 一 般 大 衆 の 間 でもこれらの 攻 撃 が 知 られるようになりました 結 果 として DoS / DDoS 攻 撃 のターゲットも 変 わりました それまで 自 らのことを 主 要 なターゲットと 考 えてこなかった 金 融 部 門 も 攻 撃 を 受 け 脅 威 に 対 して 大 至 急 向 き 合 わざるを 得 なくなりました 政 府 のサイトは 従 来 からターゲットとされ てきましたが 2011 年 には 攻 撃 の 頻 度 が 大 幅 に 増 大 し ニュージーランドのような 自 分 たちは 危 険 にさらされないだろ うと 思 っていた 中 立 的 な 政 府 も 攻 撃 を 受 けました 2011 年 末 には 規 模 の 大 小 を 問 わず いかなる 組 織 もDoS / DDoS 攻 撃 を 受 ける 恐 れがないとは 言 えない という 結 論 が 導 き 出 されました

5 DoS 攻 撃 は 2011 年 にははるかに 組 織 的 でプロフェッショナルなものになりました 攻 撃 者 は 単 一 の 攻 撃 作 戦 で5 種 類 もの 攻 撃 ベクトルを 使 用 するようになり 攻 撃 はさらに 複 雑 化 しました ハッカーは ネットワークとアプリケーションを 同 時 に 攻 撃 する 手 法 を 今 まで 以 上 に 高 度 に 洗 練 させました また こ れらの 攻 撃 の 管 理 者 は 作 戦 を 戦 略 的 に 計 画 できるようになりました アノニマスなどのグループは ターゲットを 投 票 で 決 定 し 最 適 な 攻 撃 ツールを 選 択 し 作 戦 についての 広 報 活 動 を 行 い ツールをダ ウンロードして 攻 撃 に 参 加 できるユーザーを 募 集 しています 彼 らはまた 攻 撃 前 に 時 間 を 取 り ターゲットサイトに 対 するツールの 効 果 を 試 しています 攻 撃 中 は ボランティアの 参 加 者 のみに 頼 るのではなく 仲 間 の 有 能 なコンピューターハッカーを 活 用 し 他 の 効 果 的 なツールを 使 って 攻 撃 を 補 完 しています つまり DoS / DDoS 攻 撃 の 性 質 は 標 的 型 サイバー 攻 撃 (APT)よりもさらに 進 化 しており そのために 深 刻 さを 増 しています セキュリティコミュニティでは 攻 撃 の 緩 和 策 が 重 要 なテーマとなっています 多 くの 組 織 は 保 護 対 策 を 何 ら 実 施 していないか 不 十 分 な 保 護 対 策 しか 実 施 しておらず これらの 攻 撃 に 対 する 備 えができて いません 明 るい 面 を 見 れば 昨 年 の 大 々 的 なDoS / DDoS 攻 撃 によって 組 織 の 意 識 が 高 まり 組 織 は 今 まで 以 上 に 優 れた 高 機 能 な 攻 撃 緩 和 ソリューションを 採 用 するようになりました またセキュリティのエ キスパートは 攻 撃 緩 和 策 をさらに 拡 大 し 防 御 から 攻 撃 に 移 れるような 新 しいカウンターアタック( 反 撃 )テクノロジーを 開 発 しなければならないことを 認 識 しました

6 02 はじめに 本 レポートの 範 囲 ラドウェアの 本 セキュリティレポートは DoS / DDoS 攻 撃 およびその 緩 和 策 をテーマに ラドウェアによって 毎 年 作 成 さ れているレポートです 本 書 は セキュリティコミュニティ 全 体 を 読 者 として 想 定 しており 2011 年 のDoS / DDoS 攻 撃 およ びネットワークセキュリティに 関 するレポートの 決 定 版 として 作 成 されています 本 書 は 2つの 情 報 源 をベースとしてい ます 1つめの 情 報 源 は ラドウェアのセキュリティ 調 査 で この 調 査 では さまざまな 組 織 から 可 能 な 限 りベンダー 中 立 の 客 観 的 な 回 答 を 集 めます 2つめの 調 査 では ラドウェアのエマージェンシー レスポンス チーム(ERT)が 対 応 した40 のケースを 選 び 分 析 しました 上 記 の1つめの 調 査 対 象 からは 得 られない より 深 い 科 学 的 な 情 報 を 提 供 するため ラド ウェア 社 内 のDoS / DDoSのセキュリティエキスパートが 分 析 を 行 いました 本 レポートは 2011 年 におけるDoS / DDoS 攻 撃 の 状 況 を 分 析 し 有 益 でためになる 情 報 を 提 供 することを 目 標 としていま す 本 書 は 実 際 に 行 われた 攻 撃 の 種 類 その 被 害 者 およびこれらの 攻 撃 を 緩 和 するテクノロジーの 概 要 について 解 説 し ています 特 定 のソリューションのプロモーションではなく DoS / DDoSの 現 状 を 記 録 することのみを 意 図 しています ラドウェアのセキュリティ 調 査 ラドウェアのセキュリティ 調 査 は 2011 年 にDoS 攻 撃 と 対 峙 したネットワークオペレーターが 直 面 する 課 題 についての 事 実 や 具 体 的 な 情 報 を 集 めることを 目 的 としています この 調 査 は 4つのセクションに 分 かれた23の 質 問 で 構 成 され 以 下 のテーマを 取 り 上 げました 全 般 一 般 的 な 情 報 に 関 する 質 問 DoS / DDoSの 体 験 攻 撃 の 性 質 に 関 する 質 問 DoS / DDoSの 影 響 と 緩 和 策 攻 撃 の 影 響 と 緩 和 技 術 に 関 する 質 問 実 際 の 攻 撃 実 際 に 経 験 した 深 刻 度 の 高 い3つの 攻 撃 について その 他 の 詳 しい 情 報 を 得 るための 質 問

7 客 観 性 を 保 つため 調 査 票 は 主 にラドウェアのDoS 防 御 ソリューション(DefensePro)を 利 用 していない 組 織 に 送 られました ラドウェアは この 調 査 で135 件 の 回 答 を 得 ま した そのうち 大 部 分 は 現 時 点 でラドウェアの 顧 客 では ありません ラドウェアのセキュリティ 調 査 : あなたの 組 織 は 現 在 ラドウェアのDoS 防 御 製 品 (DefensePro)を 利 用 していますか? 以 下 の 各 グラフは 調 査 対 象 の 統 計 情 報 を 示 しています 図 1の 通 り 調 査 参 加 者 の80%は ラドウェアのDoS / DDoS 攻 撃 緩 和 ソリューションを 利 用 していない と 答 えています 図 2は 調 査 に 参 加 した 各 組 織 の 収 益 を 示 しています この 調 査 には 大 中 小 規 模 の 組 織 が 参 加 しました 図 3は 調 査 票 へ の 記 入 を 行 った 個 人 の 役 職 職 責 を 示 しています 記 入 者 の 多 くは セキュリティエンジニアやネットワークエンジニアで した この 調 査 に 参 加 した 経 営 者 や 役 員 は CISO CIO ITディ レクターなど 組 織 のセキュリティやネットワークを 担 当 する マネージャーでした はい 20.5% いいえ 79.5% 図 1: 客 観 性 を 保 つため 調 査 票 は 主 にラドウェアのDoS 防 御 製 品 を 利 用 していない 組 織 に 送 られました ラドウェアのセキュリティ 調 査 : あなたの 組 織 はどれほどの 年 間 収 益 を 上 げていますか? 40% 35% 10 億 米 ドル 以 上 30% 5 億 10 億 米 ドル 25% 1 億 5 億 米 ドル 20% 15% 5000 万 1 億 米 ドル 10% 1000 万 5000 万 米 ドル 5% 1000 万 米 ドル 以 下 0% 図 2:ラドウェアは 評 価 対 象 組 織 の 収 益 を 示 す 上 掲 のグラフの 通 り 規 模 の 大 小 を 問 わず さまざまな 組 織 を 調 査 しました

8 ラドウェアのセキュリティ 調 査 : 組 織 内 であなたは どんな 役 割 を 担 っていますか? ERTの 調 査 ERTが 本 レポートにどのよ うに 貢 献 しているか 理 解 するためには このチーム の 機 能 について 説 明 する 必 要 があります ラドウェ アの エ マ ージェンシー レスポンス チーム(ERT) は 緊 急 業 務 を 専 門 に 行 うスペシャリストのチーム で セキュリティや 製 品 のエキスパートが 予 防 的 な 現 場 での 対 応 をリアルタイムで 行 うことにより 現 存 する 脅 威 を 緩 和 できます ラドウェアのERTは DoS / DDoS 攻 撃 ネットワークエンジニア 25.9% セキュリティエンジニア 17% オペレーションエンジニア 3.7% 経 営 陣 28.1% 役 員 8.1% その 他 17% 図 3: 調 査 票 に 回 答 した 役 員 やマネージャーの 役 職 は CISO CIO ITディレクターなどでした にさらされている 顧 客 に 対 し リアルタイムの 支 援 を 提 供 します 具 体 的 には 顧 客 のネットワーク 設 備 に 直 接 アク セスし ファイルを 収 集 し 状 況 を 分 析 した 上 で 顧 客 と 協 議 します このサービスの 主 な 意 図 は 攻 撃 を 防 ぎ 顧 客 の 復 旧 を 支 援 することですが チーム 自 身 も 攻 撃 に 関 する 独 自 の 情 報 を 得 ることができます チームは 現 場 で 対 応 するた め 実 際 の 攻 撃 の 状 況 について リアルタイムの 情 報 を 入 手 できます 彼 らは 攻 撃 による 影 響 を 実 際 に 測 定 する ことができます つまりERTは Webサイトが 攻 撃 を 受 け た 時 に 何 が 起 きるかについて 深 い 知 見 を 持 っています ERTは 通 常 中 高 グレードの 攻 撃 作 戦 への 対 応 が 必 要 となる 場 合 のみに 召 集 されます 本 レポートで より 詳 細 な 分 析 を 提 供 するため ラドウェ アは 別 の 調 査 として ERTが 対 応 した40のケースを 選 ん で 分 析 しました このERTの 調 査 をもとに 行 われた 追 加 的 な 分 析 により 当 初 の 社 外 調 査 に 科 学 的 な 情 報 が 加 わ り 奥 行 きが 生 まれました

9 03 DoS Denial of Service(DoS)とは インターネット のサイトがサービスを 提 供 できなくなる 状 態 を 意 味 します DoS 攻 撃 の 目 的 は サイト の 機 能 を 一 時 的 または 恒 久 的 に 停 止 させる ことです 攻 撃 者 が 使 用 する 最 も 一 般 的 な 手 法 では 所 定 のインターネットサービスに 大 量 のリクエストを 送 りつけます ターゲッ トは これらの 偽 のリクエストにリソースを 割 り 当 てなければならなくなるので 最 終 的 にターゲットのリソースが 枯 渇 し 正 規 ユー ザーへのサービスが 拒 否 されます その 他 の 手 法 では ソフトウェアの 脆 弱 性 や 設 計 上 の 弱 点 を 狙 うものがあります ハックティビズムと アノニマスの 台 頭 インターネットの 誕 生 以 来 ハッカーたちは 基 本 的 に フラッド を 生 成 す ることで 正 規 ユーザーによるサイトへのアクセスを 妨 害 し DoS / DDoS 攻 撃 を 行 ってきました これらのハックティビストの 自 警 団 は さまざま なインターネットツールを 使 って 主 に 政 治 的 な 理 由 のために 攻 撃 を 組 織 し 実 行 してきました これらのグループは その 詳 しい 機 能 について 知 ら ないままツールをダウンロードした 多 くの 素 人 ユーザーから 力 をかき 集 めて 増 大 させることができます 2011 年 には 政 治 的 攻 撃 の 手 法 が 全 体 DDoS Distributed Denial of Service(DDoS) 攻 撃 は 複 数 のシステムによって 行 われるDoS 攻 撃 です 効 果 的 な 攻 撃 を 実 施 するために は すべての 参 加 者 が 協 力 し 連 携 する 必 要 があります このような 協 力 は 例 えば ボッ トネットによって 実 現 されます ターゲット を 困 らせるのに 十 分 な 悪 意 あるトラフィック を 生 むためには 2 台 以 上 のコンピューター が 必 要 になるため ほとんどのフラッド 攻 撃 はDDoSです 的 に 洗 練 の 度 合 いを 増 しました ハックティビズム ハックティビズムとは 政 治 的 社 会 的 抗 議 の 形 式 としてデジタルツール を 使 用 すること と 定 義 できます 現 在 話 題 を 呼 んでいる 用 語 です ハック ティビストたちは 多 種 多 様 なツールを 使 って 自 らのメッセージを 広 めて います 例 えば Webサイトの 改 変 DoS 攻 撃 情 報 窃 盗 その 他 の 仮 想 干 渉 などの 手 法 があります ハックティビストたちは このような 市 民 的 不 服 従 の 姿 勢 に 基 づき 自 らの 政 治 的 目 標 を 実 現 し メッセージを 広 めるた フラッド フラッド 攻 撃 は 大 量 のトラフィックを 送 信 するDoS / DDoS 攻 撃 を 意 味 します この 手 法 では ターゲットのネットワークを 膨 大 な 量 のデータでサーバーを 大 量 のリクエスト で 溢 れかえらせることで DoSを 引 き 起 こし それ 以 外 の 処 理 を 行 えないようにします め さまざまな 活 動 を 行 っています 彼 らは インターネットは 安 全 でない と 示 すことで 自 らのメッセージに 説 得 力 を 持 たせています 今 日 最 も 悪 名 高 いハックティビストのグループは アノニマス です

10 ラドウェアのセキュリティ 調 査 : あなたが 経 験 したDoS / DDoS 攻 撃 は どのような 動 機 のもとで 行 われましたか? 身 代 金 4% その 他 4% アノニマスは インターネットに 精 通 し 緩 やかに 結 束 した ハックティビストの 集 団 を 指 す 用 語 で 彼 らは 自 身 のスキル を 使 って 自 らが 市 民 的 不 服 従 と 考 える 行 為 を 行 っています このグループのメンバーは 世 界 中 に 散 らばっているものの メンバーの 匿 名 性 を 保 つよう 努 める 仮 想 コミュニティに 発 展 しました アノニマスは 世 界 中 のIRCチャンネルやさまざ まなチャットルームからメンバーをリクルートしています ア ユーザーの 怒 り 12% 競 争 7% 政 治 的 理 由 / ハックティビズム 22% 動 機 不 明 50% ノニマスは 当 初 そのデジタル 的 に 結 びついたコミュニティ を 主 に 彼 らが 言 うところの エンターテインメント 業 界 の 権 利 を 侵 害 する 行 為 のために 使 っていました しかし ハック ティビズムが 掲 げる 目 標 は 多 様 化 し インターネットや 言 論 の 自 由 を 制 限 する 者 に 対 して 抗 議 を 行 うまでになりました アノニマスは コミックシリーズおよび 映 画 作 品 の V フォー ヴェンデッタ に 登 場 するガイ フォークスの 仮 面 を 図 4: 最 も 多 いのは 動 機 不 明 ですが 政 治 的 理 由 /ハックティビズム は 3 位 以 下 に 大 きな 差 をつけています 使 うことで 自 らのブランドを 作 り 出 し この 仮 面 は 有 名 にな りました メンバーは 全 員 そっくりで 見 分 けがつきません アノニマスのプロジェクト 昨 年 DoS / DDoS 攻 撃 の 動 機 が 大 きく 変 わったのは 主 に アノニマスが 政 治 的 目 標 を 掲 げたためでした 2011 年 には 彼 らが 選 んだターゲットへのDoS / DDoS 攻 撃 の ERTの 調 査 : 攻 撃 の 背 景 となった 動 機 話 題 が メディアのトップページを 飾 りました 攻 撃 を 免 れる 組 織 はありません アノニマスは 政 府 機 関 だけでな く 金 融 機 関 や 営 利 企 業 のサイトも 攻 撃 しました 彼 らは 通 常 政 治 的 理 由 や 大 義 に 基 づき 行 動 しています アノニ アノニマス 23% マスは 一 般 のコンピューターユーザーからほとんどの 力 を 得 ています アノニマス 内 部 のメンバーや 管 理 者 は 不 明 59% 政 治 的 理 由 / ハックティビズム 10% 身 代 金 8% コンピューターを 持 っているユーザーなら 誰 でも 簡 単 に ダウンロードできるツールに 頼 っています 図 5:2011 年 には ERTが 扱 ったケースのうち アノニマスによる 攻 撃 は ほぼ0%から23%まで 上 昇 しました 図 6:アノニマス

11 アノニマスの 力 アノニマスの 巨 大 な 攻 撃 力 は 技 術 的 知 識 を 持 たない 圧 倒 的 な 数 のユーザーに 支 えられています 彼 らは たとえこれ らのツールの 仕 組 みや 機 能 について 詳 しく 知 らなくても ア ノニマスの 戦 いに 参 加 することができます 非 常 に 多 くの 本 セクションのハイライト 2011 年 には アノニマスのためにDoS / DDoS 攻 撃 がメインストリームとなり その 脅 威 のレベルが 劇 的 に 上 がりました ユーザーが 攻 撃 に 参 加 するので アノニマスは Webサイト に 大 量 のデータを 送 りつけ 正 規 ユーザーへのサービスを 停 止 させるために 必 要 な 力 を 集 めることができます 2010 年 12 月 の 一 斉 攻 撃 開 始 オペレーショ ン ペイバック の 一 環 として 行 われた オペ レーション アベンジ アサンジ により ウィ アノニマス 攻 撃 開 始 世 間 を 騒 がせたアノニマスの 活 動 の 代 表 例 は オペレー ション アベンジ アサンジ (アサンジの 復 讐 作 戦 )です この キリークスの 所 有 者 への 支 援 を 停 止 した 金 融 機 関 が 攻 撃 されました これが2011 年 に 行 われた 多 くの 攻 撃 の 引 き 金 となりました 作 戦 は アメリカ 外 交 公 電 ウィキリークス 流 出 事 件 の 後 オ ペレーション ペイバック の 一 環 として 行 われました 2010 年 12 月 アノニマスは ウィキリークスの 創 始 者 であるジュリ アン アサンジを 支 持 することを 決 め ウィキリークスへの 送 金 停 止 を 求 めた 政 治 的 圧 力 に 屈 した 銀 行 やクレジットカー アノニマスは 簡 単 にダウンロードできるアプ リケーション(LOIC)を 公 開 し コンピューター やノートパソコンを 持 っていれば 誰 でもDoS / DDoS 攻 撃 に 参 加 できるようにしました ド 会 社 に 対 し DoS / DDoSを 仕 掛 けるよう 呼 びかけました 次 に アノニマスは 著 作 権 を 擁 護 し 著 作 権 侵 害 対 策 を 実 施 する 主 な 組 織 法 律 事 務 所 そして 個 人 に 対 してさえも さま ざまな 攻 撃 を 行 うようになりました これらの 攻 撃 は メディ アノニマスの 内 部 のメンバーは 一 般 ユー ザーによる 攻 撃 と 並 行 して さらに 洗 練 され た 攻 撃 を 行 います アで 詳 しく 報 道 され アノニマスは 悪 名 をとどろかせました 彼 らは 高 い 実 力 を 持 つ 洗 練 されたハッカーのグループであ るという 評 価 も 得 ました しかしアノニマスは 今 も 緩 やかに 結 束 した 組 織 であり リーダーも 公 式 には 決 まっておらず ほ アノニマスの 攻 撃 は 組 織 の 脅 威 となり 混 乱 を 巻 き 起 こすので ターゲットとなり 得 る 組 織 から 深 刻 に 恐 れられています とんどの 攻 撃 は 即 興 的 に 行 われます 誰 でもアノニマスの 名 のもとで 活 動 でき ハッカーとして 高 いスキルを 持 っていた り コンピューターマニアであったりする 必 要 はありません しかし メンバーの 中 には 真 のエキスパートも 存 在 します 前 述 の 通 り アノニマスは 技 術 的 知 識 を 全 く 持 たない 人 でもダウンロードして 使 用 できる 低 軌 道 イオンキャノン (LOIC)ツールを 公 開 することで アノニマスの 大 義 に 協 力 するよう 世 界 中 の 人 々に 呼 びかけています 分 かりやす い 動 画 のチュートリアルも 用 意 されています ユーザーは ツールをダウンロードしたら Webサイトの 投 稿 内 容 に 従 ってパラメーターを 入 力 するだけです この 力 を 攻 撃 に 利 用 することで アノニマスは 非 常 に 高 く 評 価 されている Webサイトにも 被 害 を 与 えることができました

12 ケーススタディ:トルコ 政 府 への 攻 撃 トルコ 政 府 は Web 上 の 危 険 な 情 報 から 若 者 を 守 るため という 口 実 のもと インターネットの 閲 覧 時 にフィルターを 追 加 適 用 することを 検 討 していました しかし このフィルターを 使 った 政 策 は 広 範 な 検 閲 につながる 可 能 性 があると 批 判 されました これは 言 論 の 自 由 の 侵 害 であり 政 府 による 検 閲 であるとアノニマスは 解 釈 し 抗 議 することに 決 めました アノニマスの 管 理 者 は 抗 議 への 一 般 大 衆 の 参 加 を 求 めるメッセージをインターネットに 掲 載 しました 図 7:アノニマスの 支 持 者 向 けに 攻 撃 方 法 を 指 示 するポスター このメッセージには ターゲットとなるサイト( 攻 撃 の 日 時 ( 現 地 時 間 で6 月 9 日 木 曜 の 午 後 6 時 または GMT + 3) および 攻 撃 に 参 加 するために 必 要 なツールをダウンロードできるWebサイトが 明 記 されていました この 事 前 予 告 の 後 アノニマスは LOIC 攻 撃 ツール( 攻 撃 ツールのセクションで 後 述 )をダウンロードしたボランティアたちによ る 支 援 のもと 複 数 の 主 要 な 政 府 サイトへの 攻 撃 を 開 始 しました このように アノニマスは 複 数 の 政 府 サイトに 対 する 攻 撃 作 戦 を 同 時 に 実 施 することで 政 府 による 検 閲 に 抗 議 しました この 攻 撃 作 戦 では LOICツールをダウンロードした 技 術 的 知 識 を 持 たない 数 千 人 ものコンピューターユーザーを 連 携 させることにより コンピューターのボットネットを 作 成 してフラッドを 生 成 しました アノニマスが 送 ったメッセージボー ドポスターには 明 確 な 指 示 が 記 載 されていたため 一 般 ユーザーでも 攻 撃 に 簡 単 に 参 加 できました この 攻 撃 作 戦 で は 複 数 のベクトルを 使 用 し いくつかの 異 なる 種 類 のメッセージが 各 サイトに 送 られました この 攻 撃 では 以 下 のベク トルを 送 信 しました

13 HTTP Getフラッド 攻 撃 Webアプリケーションのリソースをターゲットとし 攻 撃 中 にターゲッ トのURLを 改 変 する ポート80へのTCP 接 続 フラッド Webアプリケーションのリソースをターゲットとする SYNフラッド 攻 撃 サーバーのTCP/IPスタックをターゲットとする UDPフラッド 攻 撃 ネットワーク 帯 域 幅 のリソースをターゲットとする その 他 断 片 化 パケットのフラッドやリセットフラッドなどの 明 白 な 攻 撃 も 行 われました 攻 撃 の 帯 域 幅 のトラフィックは1Gbps 以 上 同 時 セッションの 数 は3,000,000 以 上 になりました 攻 撃 の 一 部 は ツールをダウンロードした 素 人 ユーザーによって 生 成 されていましたが その 他 のベクトルは 明 らか に アノニマス 内 部 のハッカーによって 実 行 されていました アノニマス 個 人 の 告 発 を 回 避 するために 攻 撃 ベクトルを 修 正 LOICツールには1つの 小 さな 問 題 があります すなわち ユーザーの 身 元 が 保 護 されないという 点 で す 足 跡 が 残 るため ユーザーの 本 当 のIPアドレスを 簡 単 に 追 跡 でき 実 際 に 既 に 逮 捕 されている 人 もいます アメリカでは 連 邦 Webサイトへの 攻 撃 があった 後 連 邦 捜 査 局 (FBI)が 捜 査 を 開 始 し 11 人 を 逮 捕 しました 他 の 国 々でも 逮 捕 者 が 出 ています このツールではユーザーが 匿 名 にならず こ れを 放 置 しておくとユーザーの 特 定 逮 捕 につながるため アノニマスの 多 くの 関 係 者 は このツール を 破 棄 することを 望 んでいます 攻 撃 を 継 続 するため アノニマスは #RefRefなどの 侵 入 をベースとする 新 しいツールを 開 発 していま す #RefRefは ソフトウェアの 脆 弱 性 を 狙 うように 設 計 されている プラットフォームに 中 立 的 なツー ルです JavaScriptとSQL 内 の 脆 弱 性 を 利 用 することで ターゲットのWebサイトに 圧 倒 的 な 被 害 を 与 えます このツールは ターゲットサイト 自 身 の 処 理 能 力 を 使 って リソースを 枯 渇 させると 言 われて います リソースの 枯 渇 は 以 前 より 存 在 する 攻 撃 ベクトルですが DoS / DDoS 攻 撃 の 強 い 力 を 好 む 攻 撃 者 からは 基 本 的 に 無 視 されてきました しかし このツールは 理 論 上 非 常 に 効 果 的 です テスト では 1つのマシンを 使 った17 秒 間 の 攻 撃 により サイトを42 分 もダウンさせることができました #RefRefが 効 果 的 なのは 一 般 的 な 脆 弱 性 を 利 用 しているからです この 欠 陥 は 既 に 知 られています が パッチはまだあまり 適 用 されていません 開 発 者 たちは (このツールが 特 定 されて 対 策 が 取 られ る 前 に) 有 名 サイトを 攻 撃 できるのは1 回 きりかもしれないと 思 っていますが 彼 らにとってはそれで 十 分 なのです 逆 に 言 えば 脆 弱 性 を 持 ったターゲット 候 補 が 多 数 存 在 し ツールがブロックされる 前 なら 少 なくとも1 回 は 攻 撃 できる 可 能 性 があるからです #RefRefツールの 効 果 には 疑 問 が 残 ります が アノニマスが 現 在 進 んでいる 方 向 性 が 分 かります

14 本 セクションのハイライト アノニマスは LOICを 使 用 した 時 期 の 後 攻 撃 の 際 に ユーザーの 大 規 模 な 参 加 に 依 存 しなくなりました これは 既 にいくつ かの 国 で 実 施 され 始 めていた 法 的 措 置 か ら 支 持 者 を 守 るためでした LOICに 続 く 攻 撃 手 法 ケーススタディ アノニマスは 最 近 のある 攻 撃 において 抗 議 の 動 画 メッ セージをYouTubeで 公 開 しました また アノニマスの Twitterのフィードにはリンクが 投 稿 され ユーザーはそこか らLOICツールをダウンロードして 作 戦 に 参 加 するように 呼 びかけられました ほかに LOICツールを 使 ってアノニマス の 攻 撃 に 参 加 したユーザーは 特 定 されて 逮 捕 されたとい う 事 実 を 指 摘 した 自 分 を 救 え というユーザー 向 けの 警 アノニマスは LOICを 補 完 するため 内 部 で のハッキング 活 動 に 注 力 し 始 めました それ には 例 えば 巨 大 な 力 による 攻 撃 を 行 うので はなく ソフトウェアの 脆 弱 性 を 狙 う#RefRef などのツールの 開 発 が 含 まれます 告 メッセージも 発 信 されました にもかかわらず 攻 撃 は 続 き ERTの 分 析 によると アノニマスのこれらのDoS / DDoS 攻 撃 が 成 功 したのは LOICツールの 大 々 的 な 使 用 のみによ らないことが 判 明 しました アノニマスの 内 部 の 人 間 は よ り 洗 練 された 方 法 やツールを 利 用 できたため LOICを 使 っ て 巨 大 な 攻 撃 力 を 生 成 できるボランティアのみに 頼 る 必 要 アノニマスは 無 秩 序 でリーダーが 存 在 しない がなくなったのです にもかかわらず 目 標 達 成 の 手 段 は 進 化 し 続 けていることから 彼 らが 脅 威 であるのは 変 わりません 最 初 のLOIC 戦 略 がうまくいかな いことを 理 解 した 後 は 脆 弱 性 を 狙 い 侵 入 これは 以 前 よりもはるかに 洗 練 された 攻 撃 で 以 下 のよう な 複 数 の 脆 弱 性 を 狙 ったサイバー 攻 撃 ベクトルが 使 われま した をベースとする 新 しいツールを 開 発 するよう になりました 過 剰 なUDPフレームのフラッド(1Gbps 以 上 ) 複 数 のLOIC DoSツールによるTCP 攻 撃 複 数 のLOIC DoSツールによるUDP 攻 撃 複 数 のMobile DoS LOIC(HTTPフラッド) ポート80 ポート53 および 無 作 為 のポートへの 複 数 のUDPフラッド(300 Mbps 以 上 ) #RefRef DoSツールによる 攻 撃 (アノニマスが 独 自 に 開 発 初 登 場 ) TCP 断 片 のフラッド

15 04 さまざまな 攻 撃 の 規 模 DoS / DDoS 攻 撃 は 深 刻 な 脅 威 であり その 高 い 成 長 率 は 企 業 と 政 府 の 両 方 にとって 大 きな 問 題 です DoS / DDoS 攻 撃 は 今 後 も 組 織 を 狙 い 続 ける 公 算 が 大 きいため インターネットのセキュリティ 担 当 者 は 攻 撃 の 内 容 を 詳 しく 正 確 に 把 握 し 測 定 することが 重 要 です ほとんどのインターネットサイトは 脆 弱 性 を 内 包 しているため 一 般 的 な 組 織 が 自 らのサイトが 攻 撃 を 受 ける 可 能 性 およびその 攻 撃 の 規 模 を 予 測 するのは 困 難 です 本 セクションでは DoS / DDoS 攻 撃 の3 種 類 と これらの 攻 撃 の 測 定 評 価 方 法 について 解 説 します 主 なDoS / DDoS 攻 撃 は 通 常 50 GbpsのUDP 攻 撃 により サイトXが 攻 撃 された や 30M PPSのDNS 攻 撃 により サイ トYが 攻 撃 された などのように 測 定 用 語 を 使 って 報 告 されます 50Gbpsや30M PPSといった 数 字 は 平 均 的 な 読 者 に とって 分 かりやすく 複 雑 な 状 況 を 若 干 理 解 しやすくできるからです しかし こうした 規 模 の 測 定 方 法 では DoS / DDoS 攻 撃 の 実 際 の 内 容 を 説 明 できず 最 低 限 の 情 報 しか 提 供 できません DoS / DDoS 攻 撃 を 評 価 する 際 攻 撃 の 規 模 のみが 重 要 であるとする 考 え 方 は 神 話 に 過 ぎず それではサイトの 攻 撃 時 に 何 が 起 きているか 分 かりません 攻 撃 の 規 模 と 種 類 の 両 方 について 理 解 することが 重 要 です 攻 撃 の 規 模 が 大 きいほ ど 被 害 も 深 刻 になる と 考 えるのは 誤 りです 実 際 は 攻 撃 の 種 類 もとても 重 要 です 例 えば アプリケーションレベルの 小 規 模 なHTTPフラッドは ネットワークへの 大 規 模 なUDPフラッドよりも 深 刻 な 被 害 をもたらす 可 能 性 があります 1つめの 点 として 組 織 は 大 規 模 な 攻 撃 に 備 えなければならない という 考 えは 正 しいとは 限 りません 実 際 のところ 普 通 の 平 均 的 な 組 織 が 強 烈 な 攻 撃 を 受 ける 可 能 性 はほとんどありません ラドウェアのセキュリティ 調 査 の 参 加 者 に 彼 ら が 経 験 した 最 大 規 模 の 攻 撃 の 帯 域 幅 を 尋 ねました 図 8は 多 くの 攻 撃 の 規 模 が 大 きくないことを 示 しています 調 査 結 果 によると 攻 撃 の32%は10Mbps 以 下 で 76%は1Gbps 以 下 でした

16 32% ラドウェアのセキュリティレポート: 21% 23% 攻 撃 の 帯 域 幅 図 8:ほとんどの 攻 撃 は 大 規 模 ではありませんが 9% 9% 大 きな 被 害 をもたらす 可 能 性 もあります 6% 10 Mbps 以 下 10 Mbps 100 Mbps 100 Mbps 1 Gbps 1 Gbps 5 Gbps 5 Gbps 10 Gbps 10 Gbps 以 上 メディアの 報 道 は 大 規 模 な 攻 撃 をセンセーショナルに 伝 えます 恐 らく 各 組 織 はこのために 大 規 模 な 攻 撃 に 備 えるこ とが 必 要 と 感 じ その 防 御 策 を 取 るようになるのでしょう しかし 攻 撃 の 規 模 だけでなく 種 類 も 考 慮 することが 重 要 で す すべての 攻 撃 を 同 じ 基 準 で 測 定 するのは 正 確 ではありません 2つめの 点 として 1 秒 あたりのバイト 数 (BPS)や1 秒 あたりのパケット 数 (PPS)といった 単 位 で 攻 撃 を 測 定 するのも 正 し いとは 限 りません パケット 数 が 大 きければ 大 きいほど 攻 撃 も 深 刻 であるという 論 理 に 従 うと 10MbpsのUDPフラッドは 5MbpsのHTTPフラッドよりも 深 刻 であるということになりますが これは 必 ずしも 正 しくありません 40% 39% 30% 27% 20% 26% 23% 18% 24% ラドウェアのセキュリティレポート: 10% 8% ネットワーク 攻 撃 とアプリケーション 攻 撃 の 帯 域 幅 0% 8% 14% 10 Mbps 10% 以 下 10 Mbps 100 Mbps 100 Mbps 1 Gbps 3% 図 9: 一 般 に アプリケーション 攻 撃 の 帯 域 幅 は ネットワーク 攻 撃 の 帯 域 幅 よりも 小 さいですが 同 等 以 上 の 被 害 をもたらします 1 Gbps 5 Gbps 5 Gbps 10 Gbps 0% アプリケーション 攻 撃 ネットワーク 攻 撃 10 Gbps 以 上

17 図 9の 表 は ネットワークフラッドとアプリケーションフラッドの 違 いを 示 しています 報 告 されているネットワーク 攻 撃 の 種 類 にはUDP ICMPおよびSYNフラッド アプリケーション 攻 撃 の 種 類 にはHTTP HTTPSおよびSMTPが 含 まれます アプ リケーションフラッドの 規 模 はネットワークフラッドよりもはるかに 小 さいのは 明 白 ですが これは 攻 撃 の 深 刻 度 や 被 害 の 大 小 を 意 味 しません DoS / DDoS 攻 撃 を 評 価 する 際 は 測 定 の 基 準 を 攻 撃 の 種 類 と 合 わせる 必 要 があります UDPフラッドとHTTPフラッドを 比 較 するのは 無 意 味 です UDPフラッドの 適 切 な 測 定 基 準 は 帯 域 幅 とPPSですが HTTPフラッドの 測 定 基 準 は1 秒 あたり のトランザクション 件 数 同 時 接 続 数 および1 秒 あたりの 新 規 接 続 数 です 重 要 なのは 攻 撃 によってどんな 被 害 が 生 じ るかという 点 です UDPフラッドは より 大 規 模 で 危 険 なように 見 えますが HTTP 接 続 をベースとする 攻 撃 は UDP 攻 撃 よ りもはるかに 少 ないトラフィックで より 多 くの 損 害 をもたらすことができます ERTが 対 応 したさまざまなケースで それ ほど 強 烈 でない 攻 撃 でも 深 刻 な 被 害 が 出 る 場 合 があることが 確 認 されました 攻 撃 の 測 定 基 準 は 攻 撃 の 種 類 によって 以 下 のように 分 けられます 攻 撃 の 種 類 説 明 測 定 基 準 備 考 ブルートフォース 完 全 なネットワーク 接 続 を 確 Mbps( 帯 域 幅 )とPPS(1 秒 あ 攻 撃 者 は 接 続 を 維 持 するた ( 巨 大 な 力 )フラッド 立 しなくても 可 能 な 限 り 大 たりのパケット 数 )で 測 定 めにリソースを 割 り 当 てる 必 UDPフラッド ICMPフラッド 量 のデータやパケットでネッ 要 がない S Y N フラッド アウトオブ トワークを 攻 撃 ステートのTCPフラッド(RST フラッド FIN+ACKフラッド など) 接 続 ベースのフラッド アプリケーション 層 を 大 量 の 1 秒 あたりのHTTPトランザク 攻 撃 者 が 正 規 の 接 続 を 確 立 HTTPフラッド SMTPフラッド データで 溢 れさせる ション 件 数 同 時 接 続 数 お する 必 要 がある よび1 秒 あたりの 新 規 接 続 数 で 測 定 スローレート 特 定 の 脆 弱 性 や 設 計 上 の 欠 これらの 攻 撃 はそれぞれユ 攻 撃 の 測 定 基 準 は 攻 撃 方 法 R.U.D.Y 陥 を 狙 う ニークであるため 攻 撃 を ごとに 異 なるが 攻 撃 の 測 定 (Are You Dead Yet) 測 定 するのは 難 しい 例 えば 自 体 が 無 意 味 な 場 合 もある Slowloris Sockstress R.U.D.Y. 攻 撃 の 強 度 は 同 時 接 続 数 と 攻 撃 者 数 でしか 測 定 できない

18 しかし 各 組 織 はどんな 種 類 や 規 模 の 攻 撃 を 想 定 すれば よいのか またDoS / DDoS 攻 撃 に 備 えるためにどんな 対 策 を 実 施 できるのか という 疑 問 は 残 ります パラメー ターを 単 一 の 業 界 に 絞 り 込 んでも この 疑 問 に 答 えるの は 容 易 ではありません 例 えば eコマースのサイトは ど んな 攻 撃 を 想 定 すればよいでしょうか? 残 念 ながら 現 時 点 では 決 まった 答 えはありません DoS / DDoS 攻 撃 の 種 類 と 規 模 はあまりに 多 様 であるため どんな 形 でも 正 確 な 予 測 を 行 うのは 不 可 能 です ERTが 対 応 した 多 くのケースでは 顧 客 は 攻 撃 に 対 する 準 備 ができていませんでした 適 切 な 種 類 や 規 模 の 攻 撃 に 対 する 準 備 ができていなかったのではなく DoS / DDoS 緩 和 ソリューションを 導 入 していなかったので す ファイアウォールやアンチウイルスのセキュリティソ リューションは 実 装 していても DoS / DDoSを 緩 和 する 対 策 は 取 られていませんでした 結 論 として DoS / DDoS 攻 撃 をレビューし 分 析 する 際 は 適 切 なマトリックスで 攻 撃 を 測 定 することが 重 要 で す ERTがこれまでに 確 認 した 攻 撃 の 規 模 は 実 に 多 様 で あるため 迫 り 来 る 攻 撃 の 規 模 を 明 確 に 予 測 することは 不 可 能 です このような 状 況 にかかわらず 多 くの 組 織 は 全 く 準 備 を 行 っていません そのためDoS / DDoS 攻 撃 の 頻 度 や 深 刻 度 を 認 識 し 攻 撃 に 対 して 一 定 の 予 防 策 を 取 る 必 要 があります

19 05 DoS / DDoS 攻 撃 とAPTの 類 似 性 DoS / DDoS 攻 撃 は 以 前 から 行 われてきました もともとは 巨 大 な 攻 撃 力 によってトラフィックを 停 止 させるネットワーク フラッドとして 始 まり インターネットのパイプを 詰 まらせるUDPフラッドや ファイアウォールを 制 圧 するSYNフラッド などの 例 が 挙 げられます 後 にハッカーたちがHTTP SMTP その 他 のフラッド 攻 撃 を 用 いてアプリケーションレベルま で 上 る につれ より 洗 練 された 攻 撃 が 行 われるようになりました 今 日 でも 保 護 対 策 を 更 新 しておらず 新 しいトラ フィックレートに 対 応 できないサイトは 多 数 存 在 するため 大 規 模 なフラッドを 作 り 出 すのは 簡 単 です これらの 攻 撃 で は コンピューターのリソースの 弱 点 を 突 くことで メモリに 過 大 な 負 荷 をかけ コンピューターを 使 えないほど 遅 くしま す しかし ネットワーク 攻 撃 とアプリケーション 攻 撃 のいずれかがなくなることはありません ラドウェアのセキュリティ 調 査 : 種 類 および 帯 域 幅 ごとの 攻 撃 件 数 アプリケーション 54% SMTP 9% VoIP 2% ネットワーク 46% HTTPS 13% TCP SYNフラッド 25% ICMP 6% IPv6 2% HTTP 21% UDP 7% DNS 9% TCP その 他 6% 図 10:ネットワーク 攻 撃 とアプリケーション 攻 撃 は 共 存 しています

20 アプリケーション 攻 撃 は ネットワーク 攻 撃 よりも 少 しだけ 多 く 行 われていますが 図 に 示 されている 通 り アプリケーションレベルのフラッドは ネットワークレベルのフラッドと 共 存 しています 昨 年 ア プリケーションフラッドとネットワークフラッドの 数 にそれほど 変 化 はありませんでした しかし DoS / DDoS 攻 撃 の 性 質 は 変 化 しています 2011 年 に 見 られた 最 大 の 変 化 は 攻 撃 作 戦 の 多 様 化 です 攻 撃 者 は ネットワークフラッドとアプリケーションフラッドを 組 み 合 わせて 複 数 の 攻 撃 ベ クトルをブレンドし 場 合 によってはスローレート 攻 撃 も 織 り 交 ぜるようになりました 昨 年 は このよ うなマルチベクトル 攻 撃 が 激 増 しました ERTが アノニマスやその 他 の 攻 撃 者 による 攻 撃 作 戦 を 分 析 したところ 単 一 の 作 戦 に4 5つの 攻 撃 ベクトルが 含 まれるケースも 多 々 見 受 けられました 攻 撃 者 は 最 適 な 攻 撃 ベクトルを 見 つけるまでベクトルを 次 々と 試 したり 単 一 の 大 きなベクトルよりも 甚 大 な 被 害 を 与 えるために2つのベクトルを 組 み 合 わせたりします しかし たとえ1つでもベクトルが 機 能 すれば 商 業 Webサイトは 深 刻 なダメージを 受 けることがあります DoS / DDoS 攻 撃 作 戦 がAPTと 似 てきたのは さまざまな 攻 撃 ベクトルをブレンドするようになったた めだけではありません 例 えば アノニマスの 攻 撃 では 攻 撃 の 目 標 日 時 を 決 めてから Webサイトへ の 投 稿 チャットルーム Twitter Facebookなどを 通 じ 攻 撃 に 参 加 するよう 呼 びかけることに 多 大 な 労 力 を 費 やします そして 攻 撃 の1 2 日 前 に ツールの 効 果 を 事 前 に 確 認 するため 短 い 最 終 調 整 (10 分 間 のテストなど)を 行 います ERTは ある 金 融 機 関 に 対 する 攻 撃 で 攻 撃 者 が 被 害 者 にとって 最 も 重 要 で 被 害 が 大 きくなる 時 間 を 意 図 的 に 選 んだことに 気 づきました また 彼 らは 全 般 に 豊 富 な 資 金 源 を 持 っています APTの 主 な 特 徴 の1つは 今 日 のハッカーたちの 中 でも 最 高 レベルのプロフェッショナリズムを 備 えているという 点 です その 好 例 はスタックスネットと いうワームです 発 電 所 工 場 イランのウラン 濃 縮 施 設 などの 産 業 用 システムをターゲットにした 初 のマルウェアです

21 さらに 攻 撃 者 たちは 巨 大 な 攻 撃 力 やアプリケーション レベルのフラッドのほかにも 強 力 なツールを 持 ってい ます 彼 らはSlowloris Sockstress RUDYなどのツール を 使 って スローレート 攻 撃 も 仕 掛 けています(これらの ラドウェアのセキュリティレポート: スローレート 攻 撃 を 受 けたことは ありますか? ツールの 詳 細 については 攻 撃 ツールのトレンド セク ションで 解 説 ) これらのツールは 設 計 上 の 欠 陥 を 可 能 な 限 り 利 用 することで 少 量 のトラフィックでもサービス を 停 止 させ ダウンさせることができます しかし 図 11の 通 り これらのツールはまだそれほど 普 及 していません 結 論 として DoS / DDoS 攻 撃 はさらに 洗 練 の 度 合 いを 増 し 性 質 もAPTに 似 てきています これは 攻 撃 者 の 継 続 的 な 活 動 にも 表 れています 攻 撃 の 計 画 立 案 は 向 上 し 攻 撃 のタイミングは 注 意 深 く 選 ばれ 攻 撃 期 間 中 には 最 も 大 きな 被 害 をもたらす 攻 撃 ベクトルが 見 つかるまで 複 数 の 攻 撃 ベクトル(ネットワーク アプリケーション ス ローレート)が 用 いられます 俯 瞰 的 なセキュリティの 視 はい 9.7% いいえ 90.3% 図 11: 昨 年 スローレート 攻 撃 は 増 えましたが まだ 大 きな 脅 威 にはなっていません 点 から 見 ると DoS / DDoS 攻 撃 は 本 質 的 にAPTと 似 てき ただけでなく APTシーン 全 体 の 中 における 強 力 な 武 器 あるいは 構 成 要 素 となりつつあります その 好 例 は ソ ニー ピクチャーズに 対 する 攻 撃 です この 作 戦 では 最 初 の 段 階 で 大 規 模 なDoS / DDoS 攻 撃 が 仕 掛 けられまし たが これは 後 の 機 密 情 報 を 盗 むための 攻 撃 のカモフ ラージュだったと 考 えられています

22 06 最 初 にダウンするのは インターネットサーバーとは 限 らない インターネットは セキュリティよりも 機 能 性 を 重 視 して 設 計 されているため DoS 攻 撃 に 対 して 脆 弱 なネットワークエンティティ も 含 まれています Webサーバーが 攻 撃 を 受 けても Webサーバーが 最 初 にダウンするエンティティになるとは 限 りません DoS 攻 撃 が 成 功 するのは 単 純 に インターネットサーバーに 容 量 の 限 界 があるからです 例 えば cnn.comがhttpフラッドの 攻 撃 を 受 けたら 恐 らくWebサーバーがダウンするでしょう しかし 他 のネットワークエンティティも 被 害 を 受 ける 可 能 性 がある ことは 既 に 広 く 知 られています インターネットのパイプが 詰 まり ルーター ファイアウォール IPS ロードバランサー SQLサー バーなどが 攻 撃 の 影 響 を 受 けることがあります ファイアウォールとIPSは ネットワークセキュリティを 提 供 するよう 設 計 されて いますが DoS 攻 撃 の 影 響 を 受 けます 実 際 一 連 のリンクの 中 で 最 も 弱 いのはファイアウォールであることも 多 いのです ラドウェアのセキュリティ 調 査 : どのサービスやネットワーク 要 素 が DoSのボトルネックになっていますか (ボトルネックになったことがありますか)? 30% 27% 24% 8% 4% 5% インターネットの パイプ ファイアウォール IPS/IDS ロードバランサー (ADC) 攻 撃 を 受 けている サーバー SQLサーバー 図 12: 必 ずしも 攻 撃 されているインターネットサーバーだけでなく インターネットのパイプとファイアウォールもDoSの 被 害 を 受 ける 可 能 性 があります

23 サイトの 攻 撃 者 たちも このことをよく 理 解 しているようです 彼 らが1パケットあたり1500バイトのUDPフラッドを 送 信 す る 場 合 その 意 図 は Webサーバーを 攻 撃 することではなく インターネットのパイプを 詰 まらせることです しかし ERT の 経 験 によると UDPフラッドやその 他 のネットワーク 攻 撃 は 長 続 きしません これらは 非 常 に 見 えやすく 比 較 的 防 ぎや すいからです 攻 撃 者 たちは SYNフラッドやその 他 の 接 続 ベースのフラッド(TCPやUDP)を 利 用 すると サーバーよりも ファイアウォールに 被 害 を 与 えやすくなることも 理 解 しているようです 攻 撃 を 防 ぐためにこれらのネットワーク 要 素 を 常 に 更 新 するよう 努 めても 解 決 策 にはなりません ネットワークデバイ スは たとえそれぞれ 異 なるセキュリティ 機 能 を 備 えたファイアウォールやIPSでも DoS / DDoS 攻 撃 に 対 応 するよう 設 計 されていません 最 高 の 解 決 策 は すべての 関 連 エンティティを 保 護 できるDoS / DDoSソリューションを 展 開 し 適 切 に 配 置 することです 組 織 が 内 部 で 展 開 を 行 う 場 合 は ISPが 非 常 に 高 速 な 攻 撃 の 最 中 でもパイプをクリーニングできるこ と あるいは 少 なくとも 攻 撃 中 にパイプの 容 量 を 素 早 く 増 やせることを 確 認 する 必 要 があります ファイアウォールが 保 護 されていない 場 合 に 起 きること ケーススタディ 最 近 ある 大 手 オンライン 旅 行 代 理 店 は 大 量 のHTTPページフラッドで 攻 撃 されました 同 社 のサイトに 過 剰 な 負 荷 を かけ サーバーが 通 常 のリクエストに 対 応 できないようにさせるため 4,000 人 以 上 の 攻 撃 者 が3 日 間 にわたってサイトに 猛 攻 を 加 えました 同 社 は 当 初 Webサーバー 上 で 悪 意 あるクライアントへのアクセスを 拒 否 する 保 護 対 策 を 講 じてい ました 悪 意 あるクライアントは ユーザーエージェントのパラメーターによって 認 識 していました これらのリクエストは Accept-Language HTTPヘッダーによって 簡 単 に 見 分 けられましたが この 防 御 機 構 をもってしても 部 分 的 なサービス 停 止 は 免 れませんでした 同 社 は 次 に DoS / DDoS 緩 和 ハードウェアをインストールし 同 じ 保 護 対 策 をコピーしてハー ドウェアにもペーストました このハードウェアは 専 用 のリソースを 持 っていたため Webサーバーは 攻 撃 に 対 処 する 必 要 がなくなり その 機 能 は 復 旧 しました しかし リソースの 過 負 荷 は ネットワークの 他 の 場 所 へ 移 動 しました 同 社 のセキュリティスタッフは ファイアウォールのセッションテーブルが 最 大 限 の 危 険 なレベルに 到 達 しようとしている ことに 気 づきました そこでDoS / DDoS 緩 和 ハードウェアをファイアウォールの 前 に 最 配 置 し ファイアウォールを 過 剰 な 負 荷 から 守 りました 防 御 機 構 をファイアウォールの 前 に 最 配 置 したところ IPの 攻 撃 が 止 まり ファイアウォールには 正 規 のトラフィックのみが 来 るようになりました HTTPページフラッドを 緩 和 する 保 護 ポリシーを 設 定 したら 攻 撃 が 緩 和 されてWebサーバーが 復 旧 し ファイアウォールのリソースは 通 常 の 状 態 に 戻 りました トラフィックの 概 要 ファイアウォールの 接 続 テー ブルが 危 険 なレベルに 到 達 200,000 接 続 テーブルが 低 減 ファイアウォールを 保 護 するためにDoS 緩 和 ソリューションを 再 配 置 接 続 テーブルが 通 常 の 状 態 に 戻 る 接 続 数 : :52 17:53 17:54 17:55 17:56 NAT Xlates:635 図 13:ファイアウォールのスナップショット DoS 緩 和 策 によってファイアウォールを 保 護 した 時 の ファイアウォールの 状 態 のスナップショット 攻 撃 緩 和 ハードウェアによるファイアウォールの 保 護 が 発 動 した 瞬 間 接 続 数 は 安 全 な 水 準 に 戻 りました

24 07 DoS / DDoS 攻 撃 の 脅 威 にさらされる 組 織 は 増 加 している アノニマスは DoS / DDoS 攻 撃 をより 広 範 な 洗 練 された 領 域 に 持 ち 込 みました ハックティビストのようなハッカーたちは 従 来 主 に 政 府 のサービスや 政 治 的 なサイトをターゲットとしてきました しかしアノニマスは 活 動 の 場 を 広 げ 金 融 機 関 エネ ルギー 部 門 そして 変 わった 例 を 挙 げれば 麻 薬 カルテルなどの 新 しいターゲットも 設 定 するようになりました 今 日 では どん なサイトでも 以 前 より 攻 撃 を 受 けやすくなっているため アノニマスのようなグループによるDoS / DDoSの 脅 威 に 備 えておく のが 得 策 です 2011 年 には アノニマス 型 のハッカーが 攻 撃 対 象 を 拡 大 し 金 融 機 関 エネルギー 部 門 そしてこれまでは 事 態 を 対 岸 の 火 事 として 傍 観 していた 多 くのサイトをも 狙 うようになりました アノニマスは 基 本 的 にリーダーを 持 たない 組 織 であるため 一 定 のコンピュータースキルさえあれば 誰 でも 理 由 の 有 無 を 問 わず 所 定 のターゲットに 対 して 攻 撃 を 開 始 できます このため 多 くの 組 織 は 全 く 準 備 ができていない 状 態 でDoS / DDoS 攻 撃 を 受 けます 彼 らはこのような 問 題 を 経 験 したことがなく DoS / DDoS 攻 撃 の 被 害 者 になることも 想 定 していないため 何 の 防 御 機 構 も 持 っていません これらの 組 織 は サービスおよびオンライン 状 態 を 維 持 するため ソリューションを 素 早 く 見 つけ 展 開 する 必 要 があります 図 14: 対 するアノニマスの 攻 撃 アノニマスは グラフィックバナーを 使 って 支 持 者 をリクルートしています

25 図 15:アノニマスの ニュージーランド 議 会 に 対 する 攻 撃 アノニマスはこのバナーを 使 って 攻 撃 に 参 加 するボランティアを 募 集 しました 2011 年 にアノニマスが 実 行 した 攻 撃 のうち 最 も 目 立 った のは 言 論 の 自 由 インターネットのオープン 性 の 確 保 誤 りとされている 状 況 を 正 す 行 為 などに 関 するものでし た 例 えば アノニマスは 原 子 力 エネルギーに 対 して 抗 議 するため フランスで 多 数 の 原 子 炉 を 運 転 しているフ ランス 電 力 公 社 を 攻 撃 しました またアノニマスはこれま で 政 治 的 理 由 から 多 くの 攻 撃 を 行 ってきましたが その 流 れの 中 で インターネットの 自 由 を 規 制 する 法 案 を 提 出 した 通 常 は 報 道 される 機 会 も 少 ないニュージーラン ド 議 会 をターゲットにしました 図 16: オペレーション アベンジ アサンジ での 対 するアノニマスの 攻 撃 アノニマスは このTwitterアカウントを 使 いながら リアルタイムで 攻 撃 対 象 (MasterCard)に 関 する 支 持 者 向 けの 指 示 を 出 し 攻 撃 ツールも 提 供 しました 図 17のグラフは 2011 年 にラドウェアのERTが 対 応 した DoS / DDoS 攻 撃 の 概 要 を 顧 客 の 種 類 別 に 示 していま ERTの 調 査 : 顧 客 の 種 類 別 の 攻 撃 発 生 率 す グラフの 通 り 金 融 オンラインゲーム および 官 公 庁 の 各 部 門 で 最 も 多 くの 攻 撃 が 発 生 しています 特 に 金 融 機 関 からは ERTの 支 援 を 要 請 するリクエストが 多 数 寄 携 帯 電 話 会 社 2% eゲーミング 25% せられましたが これは 攻 撃 の 件 数 が 多 かっただけでな く ほとんどの 金 融 機 関 はこうした 攻 撃 に 対 する 備 えが 全 くできていなかったことによるものでした 金 融 部 門 は 2010 年 以 前 にはDoS / DDoS 攻 撃 を 経 験 したことがな 金 融 サービス 28% 官 公 庁 25% かったため DoS / DDoS 緩 和 ソリューションへの 投 資 は 行 っていませんでした 対 照 的 に 2011 年 以 前 にも 攻 撃 を 受 けたことがあるオンラインゲームサイトは 全 般 に 比 eコマース 15% ISP 5% 較 的 準 備 ができていました オンラインゲーム 産 業 は 長 年 にわたるDoS / DDoS 攻 撃 のターゲットで あらかじめ ソリューションに 投 資 していたことから 金 融 部 門 よりも 被 害 を 抑 えることができました 図 17:ERTが 昨 年 対 応 したケースの 大 部 分 の 顧 客 は 金 融 部 門 官 公 庁 eゲーミングの 3つの 領 域 のいずれかに 属 していました 特 に 金 融 部 門 は 攻 撃 の 件 数 が 多 かっただけでなく DoS / DDoS 攻 撃 に 対 する 備 えができていた サイトが 少 なかったことから 最 も 深 刻 な 部 門 でした

26 被 害 を 受 けたサイトのトレンド 低 ラドウェアのERTは 官 公 庁 部 門 でも 同 様 の 傾 向 を 確 認 しました 一 部 の 官 公 庁 は 2011 年 の DoS / DDoS 攻 撃 に 対 し 他 の 官 公 庁 よりも 準 中 高 ISP 備 ができており 落 ち 着 いて 対 処 することがで きました 例 えば アメリカとイスラエルの 政 府 は 2011 年 以 前 にDoS / DDoS 攻 撃 を 受 けてい 金 融 官 公 庁 たため ニュージーランド 政 府 よりも 備 えがで きていました eコマース eゲーミング 携 帯 電 話 会 社 複 数 の 情 報 源 を 組 み 合 わせて 作 成 された 図 18 は 2011 年 に 攻 撃 の 状 況 がどのように 変 化 し たか Webサイトの 種 類 別 に 示 しています 矢 印 は 2011 年 に 攻 撃 の 件 数 が 増 えた 方 向 性 を 表 しています 官 公 庁 部 門 が 中 央 に 移 動 し ア 2011 年 2011 年 以 前 図 18:2011 年 には 官 公 庁 および 金 融 部 門 が 最 も 大 きな 被 害 を 受 けましたが eゲーミングの 脅 威 レベルは 以 前 と 変 わらず 中 高 でした ノニマスの 最 大 のターゲットになりました 金 融 部 門 でも 同 様 のトレンドが 見 られました eコ マースでも 攻 撃 件 数 が 若 干 増 えましたが オン ラインゲーム 携 帯 電 話 会 社 ISPの 各 部 門 では 大 きな 変 化 は 見 られませんでした 結 論 として 2011 年 には 多 くの 組 織 がDoS / DDoS 攻 撃 の 脅 威 にさらされました 以 前 からリ スクにさらされている 組 織 もありましたが その リスクも 高 まりました その 他 の 種 類 の 組 織 に ついては 大 幅 な 変 化 が 見 られました これが 2012 年 にどのように 変 化 するか 予 測 するのは 困 難 です アノニマスは 2011 年 にDoS / DDoS 攻 撃 を 非 常 にポピュラーなものにしましたが そのアノニマスも ありふれた 手 法 による 攻 撃 ではサイトをダウンさせることができなくなり 現 在 では 目 標 を 達 成 するための 新 しい 手 法 を 模 索 しているところです

27 08 攻 撃 ツールのトレンド さらに 多 くのDoS / DDoSツールが 利 用 可 能 に 本 セクションでは 2011 年 に 最 も 頻 繁 に 使 用 された4つのDoS / DDoS 攻 撃 ツールについて 解 説 します これらのツール はよく 知 られており よく 研 究 されています 本 セクションでは これらを 改 めて 細 かく 分 析 するのではなく 各 ツールの 主 な 特 徴 をまとめ これらの 違 いを 明 らかにし それぞれのコンセプトを 説 明 することを 目 的 とします 本 セクションでは 以 下 の4つのツールについて 説 明 します LOIC Mobile LOIC R.U.D.Y. THC-SSL-DoS LOIC 低 軌 道 イオンキャノン (LOIC)は オープンソースのネットワーク 負 荷 テストおよびDoS 攻 撃 アプリケーションです 当 初 はPraetox Technologiesが 開 発 していましたが 後 にパブリックドメインで 公 開 されました 図 19:LOICのGUI

28 LOICは フラッド 攻 撃 ツールです フラッド 攻 撃 ツールは ネットワークやアプリケーションのリソース を 消 費 する 大 量 のトラフィックを 生 成 することで 正 規 ユーザーへのサービスの 質 を 低 下 させたり サービスそのものを 提 供 できない 状 態 にします このツールは Microsoft WindowsやMac OS X 上 で 動 作 し 大 量 のTCP UDP およびHTTPパケットを 生 成 して 特 定 のホストのサービスを 妨 害 するた めに 非 正 規 のパケットであふれさせるDoS 攻 撃 をターゲットサイトのサーバーに 対 して 実 行 します 1 台 のコンピューターだけでは 大 抵 のウェブサーバーを 圧 倒 するのに 十 分 な 量 のTCP UDP または HTTPリクエストを 一 度 に 生 成 することはできません 大 きな 被 害 を 与 えるには 数 千 台 のコンピュー ターを 単 一 のサイトに 集 中 させる 必 要 があります 中 央 管 理 者 が 特 定 のターゲットを 攻 撃 するプロ セスを 制 御 することで さらに 効 果 的 な 攻 撃 が 可 能 になります LOICツールは 無 作 為 にコンピュー ターを 集 めてネットワーク 接 続 を 生 み 出 し ターゲットのWebサーバーに 膨 大 な 量 の 偽 のリクエスト を 送 りつけます インターネットリレーチャット(IRC)モードでは LOICツールを 使 ってIRCチャンネルに 接 続 し IRC TOPICメッセージ 経 由 でターゲットや 設 定 の 情 報 を 受 け 取 ることができます これは ハイブマインド ( 集 団 意 識 )モードとも 呼 ばれます LOICの ハイブマインド 機 能 を 使 用 すれば コンピューターを 持 っている 人 なら 誰 でも IRCサーバーにそのコピーを 置 き アノニマスのような 第 三 者 にこれらを 制 御 させて 単 一 のターゲットを 狙 うことができます このように コンピューターを 持 っている 人 なら 誰 でも アノニマスの 攻 撃 に 簡 単 に 参 加 できるようになります 特 にコンピューターの 専 門 知 識 やスキ ルを 身 につける 必 要 はありません LOICツールは Project Chanology Operation Payback OpSony などを 含 む アノニマスが 大 きな 組 織 に 対 して 行 った 複 数 の 有 名 な 攻 撃 作 戦 で 使 用 されています ウィキリークスに 反 対 の 立 場 を 取 る 企 業 や 組 織 のWebサイトへの 攻 撃 をアノニマスが 統 率 した2010 年 12 月 8 日 から10 日 までの 間 に LOICは3 万 回 以 上 ダウンロードされたと 報 告 されています LOICは 多 くの 攻 撃 者 によって 使 用 さ れ 多 くのサイトをダウンさせました このツールはIPをスプーフィングせずに 本 物 のIPを 使 用 するので 攻 撃 者 の 身 元 が 割 れる 可 能 性 が あります 攻 撃 のトラフィックも パソコン 上 でソフトウェアを 実 行 していた 数 百 人 のボランティアたち も 全 体 的 にそれほど 洗 練 されていたわけではありません ほとんどのボランティアたちは LOICが 発 信 元 のパソコンやIPアドレスを 匿 名 化 する 機 能 を 備 えていないことを 全 く 知 りませんでした 実 際 DoS / DDoS 脅 威 の 大 半 は アノニマスの 内 部 のメンバー つまりボランティアよりも 高 いスキルを 持 つハッカーたちによるものでした 攻 撃 がTorなどの 匿 名 化 ネットワークを 経 由 していない 場 合 受 信 者 は 追 跡 可 能 なIPアドレスの 記 録 を 取 ることができます この 情 報 を 使 って ISPが 保 管 しているログをもとに DoS / DDoSに 参 加 した 個 別 のユーザーを 特 定 することができます アメリカを 含 む 複 数 の 国 では IP 情 報 に 基 づき 攻 撃 者 への 法 的 措 置 が 取 られています 2011 年 1 月 27 日 には Operation Payback の 攻 撃 に 関 連 して イギリスで5 人 が 逮 捕 されました また2011 年 6 月 には Web 攻 撃 に 関 与 した3 人 のLOICユーザーがスペインで 逮 捕 されました 2011 年 6 月 14 日 に は 国 レベルでのインターネット 検 閲 の 導 入 に 抗 議 して 政 府 のWebサイトを 攻 撃 した 容 疑 で トルコ

29 警 察 が32 人 を 逮 捕 したという 報 道 がありました これら の 個 人 は 抗 議 活 動 の 一 環 としてLOICツールを 使 ったア ノニマスのメンバーであるとされています このような 事 件 のために 2011 年 の 終 わりにかけて LOICの 人 気 は 下 火 になっていきました LOICのハイライト 2011 年 にアノニマスが 使 った 主 要 な 攻 撃 ツールです Mobile LOIC 素 人 でもDoS / DDoS 攻 撃 に 効 果 的 に 参 加 す ることが 可 能 になります 単 一 の 組 織 でも ハイブマインド モードを 利 用 すれば すべての 参 加 者 をIRCチャンネ ル 経 由 で 単 一 のターゲットに 集 中 させること ができます アノニ マス は ソーシャル ネットワーク Facebook Twitter RSSなどで ツールを 使 用 する 参 加 者 を 募 集 しています このツールは 参 加 者 を 匿 名 化 せず 参 加 者 の 本 物 のIPを 開 示 し 結 果 的 に 逮 捕 や 起 訴 につ ながる 可 能 性 もあることから 危 険 です 図 20:Mobile LOI Mobile LOICは LOICのオンライン Web 版 です Javaの スクリプトをベースとし HTMLページ 内 で 提 供 されてい るHTTP DoSツールで Webリクエストを 生 成 するループ を 実 行 する100 行 のシンプルなコードによって 構 成 され ています そのオプションは 非 常 に 少 なく HTTPフラッド しか 実 行 できません 適 当 なメッセージをテキストに 加 えることができます パソコンで 使 用 するLOICと 異 なり URLのランダム 化 やIRCボットネット( ハイブ )による 遠 隔 制 御 などの 複 雑 なオプションには 対 応 していません このツールは 様 々なブラウザ 上 で 実 行 でき 遠 隔 アクセ ス 可 能 な 柔 軟 性 を 備 えています 攻 撃 のオーガナイザー は 通 常 ページをホストしているWebサイトのURLを 投 稿 し このツールを 使 って 特 定 のターゲットを 攻 撃 するよ う 他 のユーザーに 呼 びかけます HTMLページがWebサ イト 上 でホストされている 場 合 は Webブラウザだけで も 攻 撃 が 可 能 なため 攻 撃 者 はスマートフォンを 使 って 攻 撃 を 行 うこともできます 関 連 リンク LOIC ウィキペディア 低 軌 道 イオンキャノンへの 対 策 ヨタム ベンエズラ

30 Mobile LOICのハイライト LOICのモバイル 版 は インストールが 不 要 で Webブラウザさえあれば 使 用 できるた め スマートフォンやタブレットでも 実 行 可 能 です UDPおよびTCPフラッドには 対 応 しておらず HTTPフラッドのみに 対 応 しています ホストブラウザを 使 用 することで 多 くの 面 で 正 規 リクエストと 似 たリクエストを 生 成 できます LOICと 同 様 ホストの 本 物 のIPを 使 用 します 基 本 的 なWebチャレンジはクリアできます が URL 内 に 不 変 の 部 分 があるため これを 使 って 攻 撃 を 検 出 することができます 関 連 リンク Mobile LOICは 以 下 の3つのパラメーターを 設 定 するだけ で 実 行 できるため 操 作 がとても 簡 単 です ターゲットのURL 攻 撃 するターゲットのURL を 指 定 します から 始 まります 1 秒 あたりのリクエスト 数 1 秒 あたりに 送 信 し たいリクエストの 数 を 指 定 します 付 加 するメッセージ HTTPリクエストのURL 内 で 送 信 するメッセージパラメーターの 内 容 を 指 定 します ツールの 検 出 このツールはLOICと 同 様 攻 撃 者 の 本 物 のIPを 使 用 し ユーザーの 識 別 情 報 を 開 示 してしまうため 安 全 でない と 考 えられています さらに 送 信 される 各 HTTPリクエス トには IDパラメーターが 含 まれています このパラメー ターの 値 は 時 間 によって 変 わりますが 最 初 の 数 バイト は 今 後 数 年 間 変 わりません この 値 を 使 って 攻 撃 のト ラフィックを 確 実 に 検 出 し 緩 和 することができます しかしこのツールは LOICを 含 む 他 のほとんどのツールより も リダイレクトやCookieなどのHTTPWebチャレンジを 巧 みにクリアすることができます(Webチャレンジについては 攻 撃 緩 和 技 術 のセクションで 詳 述 ) Mobile LOICは ア クセス 元 のブラウザのHTTP 実 装 を 利 用 するため 例 えば リクエストのHTTPヘッダーは ブラウザの 設 定 によって 決 ま ります 他 の 攻 撃 ツールは 自 らのHTTPレイヤーを 実 装 す るため 通 常 チャレンジをクリアできません このシンプル なアプローチでは 本 物 のブラウザから 攻 撃 が 行 われるた め Mobile LOICと 正 規 ユーザーを 区 別 するのは 困 難 です Mobile LOICへの 対 策 ヨタム ベンエズラ R.U.D.Y.(R-U-Dead-Yet) 近 年 ではスローレート 攻 撃 が 注 目 を 集 めています SlowlorisやSockstressなどのツールは 設 計 上 の 弱 点 を 突 き 驚 くほど 低 レートのフラッドでDoSを 引 き 起 こすこ とができます ApacheやApacheベースのWebサーバー しか 攻 撃 できないSlowlorisと 異 なり R.U.D.Y.はあらゆる Webサイトを 攻 撃 できます R.U.D.Y.の 名 前 は チルドレン オブ ボドムのアルバム Are You Dead Yet? に 由 来 しています スローHTTP POSTリク エスト (2010 年 11 月 に 公 開 )として 知 られる 新 しいWebサ イト 攻 撃 技 術 が 実 装 されています インタラクティブなコン ソールメニューで 動 作 し 任 意 のURL 内 のフォームを 自 動 的 に 検 出 します ユーザーは POST 攻 撃 でどのフォームや フォームフィールドを 使 用 するか 選 択 することができます

31 正 規 ユーザー 各 パケット 間 で 10 秒 の 遅 延 攻 撃 者 図 21:R.U.D.Y. 関 係 図 このツールは HTTP POSTリクエストを 送 信 しますが リ クエスト 全 体 を 単 一 のパケットで 送 るのではなく データ を 分 割 して1バイトごとに 送 ります サーバーのリソース を 消 耗 させるため 1バイトごとにパケットを 分 け 10 秒 間 隔 で 送 信 します Webサーバーは その 基 本 的 な 挙 動 として HTTPヘッダーが 送 信 を 完 了 するまで 待 つ 性 質 を 備 えています サーバーは コンテンツ 長 フィールドの ルールに 従 い メッセージ 本 文 全 体 の 送 信 が 完 了 する まで 待 つ 必 要 があります この 挙 動 により Webサーバー は 遅 い 接 続 や 間 欠 的 な 接 続 を 利 用 しているユーザーに 対 応 することができます このように サーバーが 接 続 を 開 いたままにしておくため 攻 撃 者 はこの 性 質 を 利 用 し Webサーバーの 接 続 数 の 上 限 に 達 するまで 多 数 の 接 続 を 同 時 に 開 くことで DoSを 発 生 させます フォームを 備 えているあらゆるWebサイト つまりHTTP POSTリクエス トを 受 け 付 けるWebサイトは この 種 の 攻 撃 に 対 して 脆 弱 です R.U.D.Y.のハイライト 2010 年 11 月 に 公 開 された 設 計 上 の 弱 点 を 突 くツールです 比 較 的 少 量 のトラフィックを 生 成 すること で D o Sを 引 き 起 こせるスローレ ート 攻 撃 ツールです HTTP POSTリクエスト 全 体 を 一 度 に 送 信 するので は なく 1 0 秒 間 隔 で 1 バ イトず つ 送 ることで 接 続 を 長 時 間 維 持 します サーバーのリソースの 上 限 に 達 するまで 多 数 の 接 続 が 同 時 に 繰 り 返 し 開 かれます このツールは より 少 ない 接 続 でサーバーのリソースの 上 限 に 到 達 し 大 きな 被 害 を 与 えることができるため 非 常 に 効 率 的 です その 意 味 で スローレート 攻 撃 はぴっ たりの 名 前 です ホストのハードウェアの 機 能 にかかわら ず サービスを 妨 害 できます しかしこれらの 攻 撃 は 各 1 バイトのデータを 含 むパケットを 間 欠 的 に 送 信 すること によって 行 われるため 異 常 なトラフィックとして 検 出 す ることもできます 関 連 リンク H...t...t...p...p...o...s...t - ウォン オン チー&トム ブレナン

32 THC-SSL-DoSのハイライト SSLレイヤーを 直 接 攻 撃 します 非 対 称 攻 撃 サーバーに 攻 撃 者 の15 倍 のリソースを 消 費 させます 攻 撃 者 は SSL 再 ネゴシエーション オプ THC-SSL-DoS このツールでは 1 台 のコンピューターを 使 ってSecure Sockets Layer(SSL) 実 装 の 有 名 な 弱 点 を 狙 い Webサーバーをオフライ ンにします インターネットに 接 続 された1 台 のコンピューター さえあれば このツールで 攻 撃 を 成 功 させることができます そ の 理 由 は この 攻 撃 が 非 対 称 であるからです つまり 単 一 のク ライアントリクエストで サーバーに 通 常 の15 倍 のリソースを 消 費 させることができます ションを 利 用 することにより 同 じ 接 続 で 大 量 の 再 計 算 を 繰 り 返 し 行 わせます また 単 純 に 新 しい 接 続 を 開 くだけでも 同 じ 効 果 が 得 られます スローPOST Mobile LOIC THC-SSL-DoS HTTP SSL SYNフラッド TCP/IP 関 連 リンク THC-SSL-DOS 公 式 サイト The Hacker s Choice ウィキペディア 非 対 称 攻 撃 攻 撃 者 が 比 較 的 少 量 のリソースで 不 釣 り 合 いなほど 大 量 のリソースを 被 害 者 に 消 費 させ ることができる 場 合 そのDoS / DDoS 攻 撃 は 非 対 称 攻 撃 であると 考 えられます 被 害 者 が 消 費 することを 強 いられるリソースの 例 とし ては メモリ CPUの 処 理 作 業 帯 域 幅 が 挙 げ られます これらの 攻 撃 は 増 幅 攻 撃 とも 呼 ばれます ICMPフラッド ネットワーク 図 22:THC-SSL-D0S このツールは 特 にSSLレイヤーをターゲットにします SSLは 一 般 に 機 密 データをサーバー 間 またはサーバーとエ ンドユーザーの 間 で 転 送 する 際 に データが 他 者 に 見 られてし まうことを 防 ぎます 具 体 的 には SSLハンドシェイク と 呼 ばれ るプロセスの 中 で 安 全 なチャンネルを 確 立 します CPUを 消 費 するSSLハンドシェイクは 1 回 のみ 行 われるので サーバーは 頻 繁 なSSLハンドシェイクに 対 応 するよう 設 計 されていません しかし このプロトコルには 新 しい 秘 密 鍵 を 作 成 する 際 に 使 用 する 再 ネゴシエーション オプションがあります THC-SSL-DoSツールは SSL exhaustion として 知 られる 状 況 ( 鍵 の 再 ネゴシエーションを 繰 り 返 す)を 作 り 出 すことで サー バーを 攻 撃 します この 攻 撃 では 再 ネゴシエーションにより サーバーのCPUは 攻 撃 者 よりも15 倍 のリソースを 消 費 するよう 強 いられ その 意 味 で 非 対 称 な 攻 撃 が 行 われます たとえサー バーが 再 ネゴシエーション オプションに 対 応 していなかった としても 攻 撃 者 は 代 わりに 新 しいSSL 接 続 を 開 き 同 じ 効 果 を もたらすことができます しかし この 攻 撃 は 短 時 間 のうちにSSLハンドシェイクが 頻 繁 に 行 われることから 検 出 可 能 です

33 攻 撃 の 種 類 説 明 消 費 するリソースの 種 類 DNS 増 幅 DNSリクエストのサイズは DNSリプライよりも 本 質 的 に 小 さい と 言 えます 回 答 が 長 いQNameを 注 意 深 く 選 択 することで あ るいはDNS 結 果 を 制 御 することでも 攻 撃 者 は 最 大 80 倍 の 効 果 を 実 現 できます 帯 域 幅 DNS 反 復 攻 撃 DNS 反 復 リクエストは 簡 単 に 生 成 できます これによってDNS サーバーは 他 のDNSサービスにクエリを 行 い 新 しいリクエス トを 生 成 し 回 答 を 待 ってから クライアントに 答 えます 複 数 種 SNMP 増 幅 SNMP Get-Bulkリクエストは サーバーに 大 きなデータの 応 答 を 送 らせます 帯 域 幅 SNMPアタック は そのためのツールとして 知 られています

34 09 攻 撃 緩 和 技 術 概 要 DoS / DDoS 攻 撃 の 被 害 を 受 けるインターネットサイトは 常 に 存 在 するため リスクを 管 理 することが 重 要 です ネット ワークセキュリティにより なるべく 素 早 く 攻 撃 を 特 定 し 分 析 し 緩 和 する 必 要 があります 攻 撃 が 検 出 された 場 合 の 最 初 のステップは 攻 撃 を 特 定 し その 特 徴 を 調 べ 定 量 化 することです 攻 撃 をより 早 期 に 特 定 し 緩 和 することで 被 害 も より 軽 減 できます ほとんどのインターネットサイトで 長 年 にわたって 展 開 されている 標 準 的 な 保 護 デバイスとしては ルーター ファイア ウォール IPS 専 用 のDoS / DDoS 緩 和 システムなどが 挙 げられます これらのツールは 広 く 普 及 しています またMulti- Router Traffic Grapher(MRTG)は ネットワーク 上 のトラフィック 負 荷 を 監 視 し 測 定 します 本 セクションでは DoS / DDoS 攻 撃 を 緩 和 するために 実 際 に 使 われているテクノロジーについて 解 説 します ラドウェアの セキュリティ 調 査 ERTの 実 地 経 験 様 々な 組 織 との 全 般 的 な 意 見 交 換 などから 得 られた 情 報 を 組 み 合 わせて 説 明 します 攻 撃 緩 和 テクノロジー サービスおよびネットワーク 容 量 の 拡 大 ブルートフォース 攻 撃 を 受 けた 組 織 は 攻 撃 の 最 中 にコンテンツ 配 信 ネットワーク(CDN)にアプローチしてサイトをホス トしてもらうことで トラフィック 容 量 を 比 例 的 に 増 やすことができます CDNは アクセス 帯 域 幅 と 冗 長 性 を 拡 張 してデー タへのアクセスを 向 上 し アクセスレイテンシを 減 らすことにより 攻 撃 を 克 服 できる 容 量 を 備 えています この 手 法 はシ ンプルで 洗 練 されていませんが 実 用 的 なソリューションで 一 定 のコストがかかります 問 題 はダイナミックページで こ れらはCDNでは 保 持 されないため これらのページが 攻 撃 を 受 けた 場 合 このソリューションは 役 に 立 ちません しかし 仮 想 化 とクラウドベースのサービスの 普 及 が 進 んでいることから このソリューションは 今 まで 以 上 に 頻 繁 に 利 用 される ようになってきています

35 もう1つのソリューションは 社 内 でハードウェアを 追 加 してWebサーバーの 容 量 を 拡 大 することで す これはほとんどの 組 織 にとって 有 用 性 が 比 較 的 低 い 選 択 肢 ですが Webサーバーが 非 常 に 弱 い サイトには 防 御 レイヤーをもう1つ 作 るという 意 味 でも 推 奨 できます 例 えば 多 くの 政 府 系 サイト は 正 規 ユーザー 率 が 低 いため 非 常 に 弱 いサーバー(1 秒 あたり1,000 件 のHTTPリクエストに 対 応 で きないサーバーなど)で 実 行 されています このようなサイトが 攻 撃 を 受 けると たとえ 保 護 機 構 が 機 能 している 場 合 でも 緩 和 対 策 を 回 避 した 一 部 の 攻 撃 により サービスがダウンしたり サービスの 質 が 低 下 したりすることがあります レート 制 限 と 帯 域 幅 管 理 このテクノロジーでは 一 部 のトラフィックのみを 目 的 地 へ 届 け その 他 のトラフィックはドロップしま す 例 えば ある 組 織 は DNSサーバーで1 秒 あたり10,000 件 のリクエストのみを 受 け 付 けています こ れにより サービスを 維 持 し 挙 動 を 予 測 の 範 囲 内 に 収 めることができます より 洗 練 されたレート 制 限 では 1つのIPや 接 続 あたりのアクションを 設 定 できます レート 制 限 は 攻 撃 の 影 響 を 抑 え 予 測 の 範 囲 内 に 収 められるだけでなく DoSにつながる 可 能 性 が ある 正 規 トラフィックも 低 減 できる 重 要 な 技 術 です 洗 練 されたレート 制 限 は 攻 撃 を 極 めて 予 測 可 能 な 形 に 封 じ 込 めることができるため 今 後 も 効 果 的 な 手 法 として 利 用 されていくでしょう レート 制 限 は 通 常 初 期 対 応 として 使 われます 攻 撃 を 素 早 く 緩 和 し 少 なくとも 部 分 的 にサービスを 復 旧 させることができるからです これを 実 現 することで その 他 のより 外 科 的 なテクノロジーを 利 用 でき る 余 地 が 生 まれます 振 る 舞 い 検 知 型 の 保 護 このテクノロジーは 攻 撃 の 最 中 のトラフィックを 分 析 します 共 通 のパターンを 見 つけてリアルタイ ムのフットプリントを 作 成 することで 攻 撃 をブロックします ほぼすべての 攻 撃 には 独 自 のフットプリ ントパターンがあり それを 使 ってブロックできるという 考 え 方 がベースとなっています しかし ユニークなリアルタイムのフットプリントを 特 定 する 作 業 は 予 測 可 能 なプロセスではありませ ん 一 部 のケースでは フットプリントは 正 確 で 攻 撃 のみをブロックできます その 他 のケースでは フットプリントが 広 すぎるか 狭 すぎるため 誤 検 出 や 検 出 漏 れが 生 じます DoS / DDoS 攻 撃 下 では 一 定 の 誤 検 出 や 検 出 漏 れは 許 容 できますが そうなると 顧 客 はチャレンジベースのテクノロジーを 支 持 するようになります にもかかわらず 攻 撃 者 は 若 干 の 努 力 をすればチャレンジをクリアできるため やはり 振 る 舞 い 検 知 型 の 保 護 が 唯 一 の 有 効 で 確 実 な 攻 撃 緩 和 テクノロジーということになります そ のためこのアプローチは 防 御 者 の 全 体 的 な 戦 略 の 中 で 重 要 な 役 割 を 持 っています 最 大 のメリッ トが 得 られる 方 法 の1つは 振 る 舞 い 検 知 型 のテクノロジーとチャレンジベースのテクノロジーの 両 方 を 組 み 合 わせることです 最 初 に 振 る 舞 い 検 知 型 のテクノロジーで 攻 撃 の 特 徴 を 把 握 してから その フットプリントを 作 成 して 分 類 します 次 に 攻 撃 をブロックする 代 わりに チャレンジベースのテクノロ ジーによって 緩 和 します これにより ネットワークへの 干 渉 を 最 小 限 にとどめることができます

36 チャレンジ このテクノロジーは 攻 撃 をリダイレクトします 攻 撃 の 最 中 例 えば 緩 和 技 術 で 同 じページにHTTP 302リダイレクトを 送 ります 通 常 のブラウザを 使 用 している 正 規 ユーザーは このチャレンジに 対 し て 応 答 しますが 攻 撃 者 のスクリプトは このチャレンジに 対 しては 上 手 く 対 応 することができません HTTP DNS TCPでは 他 の 種 類 のチャレンジも 利 用 できます このテクノロジーは 予 測 可 能 で 大 半 の 攻 撃 に 対 して 効 果 的 です しかし 執 拗 な 攻 撃 者 は 攻 撃 ツールを 修 正 してチャレンジをクリアすること もあります( 検 出 漏 れ) また チャレンジをクリアできない 正 規 のクライアント ブラウザ スクリプトを ブロックしてしまうこともあります( 誤 検 出 ) セキュリティポートフォリオでこの 種 のチャレンジを 提 供 しているソリューションは 増 えています なぜなら チャレンジの 性 質 上 正 規 クライアントをブロックし てしまうことがあっても その 挙 動 は 極 めて 予 測 可 能 であり DoS / DDoS 攻 撃 の 発 生 時 には 一 般 に 許 容 できるという 意 味 で チャレンジは 非 常 にクリーンなテクノロジーであると 考 えられているからです ステートフルインスペクション このテクノロジーは プロトコル 状 態 に 合 致 しない 多 くのフラッド 攻 撃 をブロックすることができま す 例 えばFIN+ACKフラッドは SYNパケットが 事 前 に 送 られないため ブロックされます このテク ノロジーは 予 測 可 能 で 特 定 種 類 の 攻 撃 に 対 して 非 常 に 効 果 的 です しかしもちろん プロトコル 状 態 に 合 致 している 攻 撃 をブロックすることはできません また 他 の 保 護 対 策 と 比 べると より 多 くのリ ソースを 消 費 するため 大 量 のフラッドに 対 応 するのは 困 難 です 地 理 情 報 検 知 型 の 保 護 この 技 術 は 攻 撃 者 の 地 理 的 な 所 在 ( 国 )を 特 定 し これらの 地 域 をブロックします これはほとんどの 場 合 手 動 で 行 われます これは 攻 撃 を 抑 制 する 予 測 可 能 かつ 効 果 的 なアプローチで 初 期 対 応 の1つで もあります しかし これらの 地 域 からアクセスする 正 規 ユーザーもブロックすることになるので 攻 撃 者 が 広 く 分 散 している 場 合 は 効 果 的 ではありません グローバルな 組 織 にとっては 効 果 が 薄 い 手 法 です 例 を 挙 げると ERTが 対 応 したあるケースでは 攻 撃 を 受 けた 顧 客 が 自 国 以 外 のすべての 国 からの ユーザーをブロックしました これによってサービスは 営 業 ができるレベルまで 復 旧 しましたが 会 社 の 経 営 陣 は この 保 護 対 策 を3 日 以 上 継 続 することを 認 めませんでした この 顧 客 は その 間 に 次 の オプションを 検 討 する 必 要 がありました ACLとRTBH 単 純 に 言 えば ブラックリスト 作 成 と 定 義 できるACLでは 攻 撃 のSRC IPやネットワークを 手 動 で 検 出 し ブロックします Remotely-Triggered Black Hole(RTBH)は ルーターで 実 施 するACLの 一 種 です 手 動 検 出 の 作 業 では セキュリティのエキスパートやネットワークエンジニアが 攻 撃 者 のIPを 見 つけ てブラックリストに 載 せる 必 要 があります この 手 順 そのものはシンプルかつ 予 測 可 能 で 効 果 を 発 揮 する 場 合 もあります しかし フラッドが 分 散 している 場 合 や 攻 撃 が 正 規 トラフィックと 混 ざっている 場 合 は 効 果 が 不 十 分 です このアプローチは あくまで 個 別 の 攻 撃 に 対 するソリューションです ERT の 経 験 では 手 動 によるブラックリスト 作 成 のみを 行 うのは 対 策 として 不 十 分 で 複 数 の 保 護 対 策 の うちの1つとして 用 いれば 効 果 を 発 揮 する 場 合 があります

37 シグネチャ(Flowspecを 含 む) 攻 撃 の 特 徴 を 把 握 したら どのトラフィックが 悪 質 で 排 除 するべきか 判 断 するのに 役 立 つ シグネチャ ( 別 名 フットプ リント )を 作 成 することができます ほとんどのシグネチャは DoS / DDoS 攻 撃 緩 和 システム IPS FW およびルーター (Flowspec)に 内 在 しています DoS / DDoS 攻 撃 に 対 するシグネチャは サービス( 最 も 一 般 的 なのはIPS 製 品 )として 事 前 に 提 供 されるか 攻 撃 の 最 中 に 通 常 はセキュリティのエキスパートによってリアルタイムで 作 成 されます 例 えば 前 章 では シグネチャを 使 ってMobile LOICを 検 出 する 方 法 を 説 明 しました(HTTPリクエスト 中 の 一 定 のパターン) 主 なデメリットは 攻 撃 作 戦 の 最 中 に 攻 撃 のベクトルやパターンが 常 に 変 化 してシグネチャが 決 まらない 場 合 には 対 応 が 難 しいという 点 です それでも この 手 法 で 一 部 の 攻 撃 をブロックすれば 他 のテクノロジーを 使 って 残 りの 攻 撃 をブ ロックしやすくなります 最 も 一 般 的 なDoS / DDoS 緩 和 テクノロジー 説 明 メリット デメリット ネットワーク 容 量 の 拡 大 シンプル 高 コスト レート 制 限 予 測 可 能 でサービスをダウンさせない 正 規 トラフィックについてもドロップし てしまう 振 る 舞 い 検 知 型 ほとんどの 攻 撃 には 何 らかのフットプ リントがあるので 検 出 可 能 予 測 不 能 特 に 攻 撃 が 正 規 トラフィッ クと 似 ている 場 合 はフットプリントが 正 確 でないことがある チャレンジ チャレンジの 大 半 は 予 測 可 能 で 効 果 的 洗 練 された 攻 撃 はチャレンジを 突 破 することも ステートフルインスペクション フラッド 攻 撃 をブロック リソースを 消 費 ACL( 地 理 情 報 検 知 型 の 保 護 ) 特 定 地 域 からのアクセスを 予 測 可 能 な 形 で 効 果 的 にブロック 正 規 ユーザーについてもブロックして しまう ACL(その 他 )とRTBH 予 測 可 能 でシンプル 大 量 のフラッドに 対 して 効 果 的 でない Flowspec シグネチャやフットプリントを 作 成 して 攻 撃 をブロック 攻 撃 パターンを 特 定 する 必 要 あり 帯 域 幅 管 理 テクノロジー 予 測 可 能 で 攻 撃 を 抑 制 できる 正 規 トラフィックを 排 除 洗 練 された 攻 撃 に 対 して 効 果 的 でない

38 テクノロジーの 効 率 性 ラドウェアのセキュリティ 調 査 : 攻 撃 緩 和 テクノロジーの 実 際 の 使 用 状 況 20% 19% 14% 11% 9% 8% 7% 5% 3% 3% 1% 緩 和 策 なし レート 制 限 振 る 舞 い 検 知 型 の 保 護 ステートフルインスペクション 帯 域 幅 管 理 ACL(その 他 ) ACL( 地 理 情 報 検 知 型 の 保 護 ) サービスおよびネットワーク 容 量 の 拡 大 チャレンジ(Webチャレンジなど) Flowspec RTBH 図 23: 単 一 のテクノロジーだけではDoS / DDoS 攻 撃 をブロックできません 完 全 な 防 御 を 実 現 するために 必 要 なのは 様 々な 技 術 を 組 み 合 わせて 使 用 することです 図 23は ラドウェアのセキュリティ 調 査 に 基 づき さまざまなテクノロジーの 実 際 の 使 用 状 況 を 示 しています 回 答 者 に は 彼 らがどんな 攻 撃 を 経 験 したか( 最 大 3つ) それらをブロックできたかどうか およびどんなテクノロジーを 使 った か 質 問 しました 実 際 の 保 護 対 策 としては 効 率 性 と 可 用 性 の 兼 ね 合 いでテクノロジーが 選 ばれていることが 明 らかに なりました 比 較 的 新 しいチャレンジテクノロジーなどよりも 以 前 からあるレート 制 限 振 る 舞 い 検 知 型 の 保 護 ステート フルインスペクションといったテクノロジーが 多 く 利 用 されているのはそのためです しかし いわゆる 特 効 薬 が 存 在 しないことも 分 かっています DoS / DDoS 攻 撃 を 防 ぐためのソリューションは 複 数 の 異 なるテクノロジーで 構 成 されなければなりません それが 多 種 多 様 な 攻 撃 緩 和 テクノロジーが 存 在 していて 必 要 とさ れている 最 大 の 理 由 となります 顧 客 はそれぞれ 異 なるニーズを 持 っている 例 えば WebチャレンジはHTTPフラッドに 対 して 非 常 に 効 果 的 なソリューションで 現 在 ではほとんどのHTTPフ ラッドを 防 ぐことができます ある 顧 客 はこのソリューションを 支 持 し 称 賛 するかもしれませんが このソリュー ションを 決 して 活 用 しない 顧 客 も 存 在 します なぜなら 正 規 のスクリプトや 自 社 環 境 で 一 般 的 に 使 われている その 他 のアプリケーションもブロックしてしまう 可 能 性 があるからです 各 テクノロジーの 守 備 範 囲 は 限 られている 各 テクノロジーは それぞれ 一 部 のDoS / DDoS 攻 撃 にしか 対 応 していないため 部 分 的 なソリューションにしかなり 得 ませ ん 例 えば SYN cookiesは L4チャレンジをベースとする 優 れたテクノロジーですが SYNフラット 以 外 には 対 応 していません 非 対 称 ネットワーク 非 対 称 ネットワークでは デバイスですべてのトラフィックを 確 認 できる 保 証 がないため 一 部 のテクノロジーで は 制 約 が 発 生 します 例 えば チャレンジベースおよび 状 態 ベースのテクノロジーでは 2 種 類 のパケットを 確 認 す る 必 要 がありますが 確 認 できる 保 証 がないため テクノロジーとして 成 立 しません しかしながら 非 対 称 ネット ワーク( 特 にインバウンド 方 向 )に 特 化 したテクノロジーについては この 限 りではありません

39 10 DoS / DDoSは 戦 争 である DoS / DDoS 攻 撃 は 字 義 通 りの 戦 争 や 戦 闘 とも 似 ているため セキュリティスタッ フは 攻 撃 や 対 応 について 話 す 際 しば しば 戦 争 用 語 を 使 用 します 攻 撃 カウン ターアタック 防 御 策 情 報 収 集 などにつ いて 議 論 する 場 合 は 仮 想 上 の 戦 いでは なく まるで 地 上 戦 が 行 われているかのよ うに 話 します 戦 争 用 語 には 悪 い 意 味 合 いが 含 まれていることもありますが 状 況 を 説 明 する 場 合 は 最 適 な 言 語 です 攻 撃 者 は ターゲットを 視 認 できます 攻 撃 は 爆 撃 と 似 ており 相 手 に 深 刻 な 被 害 を 与 えます 攻 撃 は 数 時 間 のこともあれ ば 数 日 にわたることもあります この 期 カウンターアタック DoS / DDoS 攻 撃 は これまで 悪 意 あるパケットをブロックすることで 抑 え られてきました しかし その 他 の 方 法 でDoS / DDoS 攻 撃 を 止 めることも 考 えられます 最 近 では 防 戦 一 方 の 戦 略 は 攻 撃 者 が 常 に 有 利 になって しまうので 最 も 有 効 なアプローチではないことが 分 かってきました サ イトを 保 護 するためには 何 らかの 攻 撃 のアクションを 取 ることが 効 果 的 です 攻 撃 者 に 対 する 攻 撃 は カウンターアタック ( 反 撃 )と 呼 ばれます DoS / DDoS 攻 撃 について 話 す 際 は 論 理 的 な 思 考 を 助 けるため しばし ば 戦 争 用 語 を 使 用 します 戦 争 では 攻 撃 を 受 けたら カウンターアタック を 行 うのが 普 通 です しかし これには 多 くの 問 題 があります DoS / DDoS 攻 撃 は 本 質 的 に 非 対 称 的 な 戦 争 で 防 御 者 は 法 律 を 守 る 組 織 ですが 攻 撃 者 はそうではありません たとえ 相 手 が 違 法 な 存 在 であっても 社 会 的 地 位 のある 組 織 が 法 律 に 反 する 可 能 性 がある 反 撃 作 戦 を 行 うという 考 え は 当 然 ながら 法 的 倫 理 的 問 題 を 伴 います 間 中 は 両 サイドとも 戦 術 を 忙 しく 操 作 したり 修 正 したりしています 2011 年 の 状 況 のように 攻 撃 が 複 雑 になればなる ほど 仮 想 上 の 攻 撃 は 実 世 界 の 戦 争 と 似 てきます 戦 争 で 土 地 に 被 害 が 出 るよう に 仮 想 上 の 戦 闘 では インターネットに 被 害 が 及 びます

40 保 護 されている データセンター の 領 域 サービス プロバイダー の 領 域 攻 撃 者 の 領 域 カウンターアタック 分 散 型 の 攻 撃 作 戦 図 24:カウンターアタック 誤 解 を 避 けるために カウンターアタック という 用 語 を 明 確 に 定 義 する 必 要 があります 当 社 の 定 義 では カウンター アタック とは 攻 撃 者 による 攻 撃 の 成 功 確 率 に 影 響 を 及 ぼすあらゆる 行 為 を 意 味 します DoS / DDoS 攻 撃 の 場 合 カ ウンターアタックとは 攻 撃 の 効 果 に 影 響 を 与 えること(パーセンテージで 示 す)を 意 味 し 理 想 は 相 手 の 攻 撃 力 を 完 全 に (100%) 無 力 化 させることです カウンターアタックには 多 くの 方 法 があり 最 も 効 果 的 なのは 攻 撃 者 のコンピューターネットワークを 逆 にハッキングし て 干 渉 を 止 めさせることです しかし この 行 為 の 適 法 性 には 疑 問 が 残 ります 反 撃 に 出 るためのもう1つの 方 法 は 攻 撃 者 側 のISPに 攻 撃 をブロックするようリクエストすることです このアクションは 違 法 ではありませんが 時 間 がかかるた め 実 行 できた 頃 には 既 に 戦 争 が 終 わっていることもあります ファイアウォールやIPSなどのセキュリティシステムは 脅 威 が 検 出 された 場 合 さまざまな 応 答 を 送 ることができます 例 えば 検 出 されたDoS 攻 撃 のパケットは 攻 撃 で 既 に 生 成 されているトラフィック 以 上 のトラフィックを 生 成 しないことか ら ひそかにドロップ(サイレントドロップ)することができます その 他 のケースでは 攻 撃 にTCP RSTパケットが 送 られ たら 接 続 をリセットし 攻 撃 の 接 続 を 遮 断 できます いずれにしても 攻 撃 者 のIPを 一 時 的 または 恒 久 的 にブラックリスト に 載 せることができます 非 常 に 興 味 深 い 点 として DoS 攻 撃 ツールは 以 上 のような 基 本 的 なアクションを 送 り 返 すと さまざまな 応 答 を 返 してき ます 各 攻 撃 ツールを 注 意 深 く 研 究 することで 最 も 効 果 的 な 対 応 ( 遅 くさせたり 停 止 させたりする)を 見 つけられる 可 能 性 があります 以 下 のグラフに 示 されている 通 り 攻 撃 が 検 出 された 後 でも 攻 撃 者 はトラフィックを 送 り 続 けました サイレントドロッ プによる 攻 撃 緩 和 策 では 一 部 のトラフィックしか 停 止 できませんでした しかし カウンターアタック ドロップとRST の 図 では 攻 撃 のトラフィックが 減 っていることが 分 かります

41 セキュリティ 研 究 者 は 攻 撃 緩 和 システムが 攻 撃 者 に 対 して 実 行 できる さらに 変 わったカウンターアタックのアクションも 研 究 しているところです あるTCP 応 答 を 利 用 すると 攻 撃 側 に 影 響 を 与 えられる 可 能 性 があります 具 体 的 には 相 手 にパ ケットを 送 り ウィンドウサイズがゼロであると 知 らせます つ まり 送 信 者 に 対 して 新 しい 情 報 を 入 れるスペースがないと いうメッセージを 送 ることになります 正 規 クライアントは 通 常 そのメッセージを 考 慮 して 通 信 を 一 時 停 止 します 攻 撃 者 も 同 様 にこのメッセージを 考 慮 して 新 規 により 大 きなウィン ドウサイズが 利 用 可 能 になるまで 攻 撃 を 一 時 停 止 することが あるようです(もちろん 攻 撃 を 受 けているサイトがウィンドウ サイズを 拡 大 することはありません) 図 27によると この 攻 撃 緩 和 対 策 は 他 の 対 策 よりも 有 効 で またサイレントドロップ よりもはるかに 効 果 的 であることが 分 かります 図 25:カウンターアタック LOICに 対 するサイレントドロップの 効 果 サイレントドロップのアクションは LOICツールを 部 分 的 にしか 抑 えられていません 結 論 として 今 後 はDoS / DDoS 攻 撃 を 防 御 し 吸 収 するだけで は 不 十 分 かもしれません 悪 意 あるトラフィックやサイトをダ ウンさせようという 試 みに 対 して 反 撃 し カウンターアタックを 実 施 することができれば ハッカーたちとのイタチごっこのよ うな 戦 いを 従 来 よりも 公 平 な 立 場 で 行 えるようになるかもし れません 攻 撃 が 今 まで 以 上 に 強 力 になり 洗 練 されてくるに つれて この 能 力 はさらに 重 要 になってくるでしょう 図 26:LOICに 対 するドロップとRSTの 効 果 RSTのアクションの 方 が LOICツールを 抑 えられています 詳 細 セキュリティ 対 策 は 防 御 だけではない アヴィ チェスラ セキュリティ? 防 御 攻 撃 それとも 両 方? カール ハー バーガー Mobile LOICへの 対 策 ヨタム ベンエズラ 低 軌 道 イオンキャノンへ(LOIC)の 対 策 ヨタム ベンエズラ 図 27:カウンターアタック LOICに 対 するウィンドウサイズゼロの 効 果 このアクションは LOICを 完 全 に 抑 えています カウンターアタックの 重 要 性 通 常 防 御 者 に 対 して 攻 撃 者 が 常 に 持 っている 優 位 性 を 排 除 します 攻 撃 者 がどこにいても 物 理 的 精 神 的 にリソースを 消 耗 させることで 当 初 の 予 定 よりも 早 期 に 攻 撃 を 放 棄 させます すべてのネットワーク 領 域 の 境 界 線 を 超 え エンドツーエンドで 攻 撃 トラフィックを 一 掃 します 防 御 側 のネットワーク 領 域 を 仮 想 的 に 拡 大 し 攻 撃 側 まで 到 達 させます

42 11 まとめ ネットワークおよびセキュリティコミュニティへの 提 案 本 レポートは 2011 年 のセキュリティトレンドについて 解 説 しています 主 に ラドウェアのERTが 実 施 した2つの 調 査 の 結 果 を 説 明 しています このまとめのセクションでは 本 レポートの 内 容 に 基 づき ラドウェアのERTの 意 見 や 提 案 を 記 述 します DoS / DDoS 攻 撃 は2012 年 も 続 く 見 込 み 全 般 に 2011 年 は DoS / DDoS 攻 撃 がメインストリームに 躍 り 出 て 攻 撃 が 従 来 以 上 に 複 雑 化 した 年 となりました こ のトレンドは 頭 打 ちになったか 2012 年 も 引 き 続 き 拡 大 するかはまだ 分 かりません 2011 年 の 終 わりにかけて DoS / DDoS 攻 撃 は 若 干 減 少 しましたが それでもラドウェアのERTは DoS / DDoS 攻 撃 が 今 後 なくなることはないだろうと 考 えています 2011 年 にはDoS / DDoS 攻 撃 が 広 く 普 及 し ニッチ 分 野 からメインストリームへと 台 頭 してきました DoS / DDoS 攻 撃 は 今 後 もセキュリティのニッチ 分 野 に 戻 ることはないでしょう 詳 細 については ハックティビズムとアノニマスの 台 頭 をお 読 みください APTの 脅 威 は 増 大 しており DoS / DDoS 攻 撃 は そのツールの1つとして 利 用 されています エストニア グルジア 韓 国 な どで 行 われた 政 治 的 なサイバー 犯 罪 の 攻 撃 では DoS / DDoS 攻 撃 が 全 体 の 中 で 重 要 な 役 割 を 担 いました 詳 細 については DoS 攻 撃 とAPTの 類 似 性 をお 読 みください DoS / DDoS 攻 撃 に 備 える 常 に 大 規 模 なDoS / DDoS 攻 撃 が 仕 掛 けられるとは 限 りませんが それでも 攻 撃 緩 和 ソリューションを 用 意 しておくこと が 重 要 です 多 くのシステムは 安 全 性 に 問 題 があります ラドウェアのERTは 多 くの 組 織 がDoS / DDoSソリューションを 導 入 していないことを 知 っています DoS / DDoS 攻 撃 から 身 を 守 るためには 何 よりも 攻 撃 を 防 ぐという 強 い 意 志 が 必 要 です 詳 細 については さまざまな 攻 撃 の 規 模 をお 読 みください

43 安 価 なDoS / DDoS 保 護 機 能 はDoS / DDoS 攻 撃 緩 和 ソリューションとして 不 十 分 単 一 のDoS / DDoS 攻 撃 緩 和 機 能 を 導 入 するだけでは 不 十 分 です それだけでは 真 のDoS / DDoS 攻 撃 緩 和 ソリューション になりません そのことを 証 明 するラドウェアのERTの 短 いケーススタディを 以 下 に 説 明 します ある 組 織 は 2011 年 に 不 意 を 突 かれてDoS / DDoS 攻 撃 の 奇 襲 を 受 けました 攻 撃 者 は 執 拗 で 攻 撃 を 長 引 かせるために 攻 撃 ベクトルの 変 更 を 繰 り 返 していることが 明 らかに 伺 えました 状 況 は 深 刻 で 組 織 はファイアウォールやIPSのプロバイダーを 含 む 取 引 関 係 があ るすべてのセキュリティ 業 者 を 呼 び 出 し どの 機 能 を 使 用 すれば 攻 撃 を 止 められるか? と 尋 ねました この 組 織 は ファ イアウォールやIPS 単 体 ではDoS / DDoS 攻 撃 緩 和 ソリューションとして 機 能 しないことを 知 らず 導 入 済 みのツールに 誤 っ た 期 待 を 持 っていました 導 入 済 みのセキュリティツールは 何 らかのDoS / DDoS 攻 撃 緩 和 機 能 を 備 えていたため 組 織 は 偽 りの 安 心 感 を 抱 いていましたが これらの 機 能 はDoS / DDoS 攻 撃 緩 和 ソリューションとは 程 遠 い 存 在 です 例 えば 多 く のファイアウォールは SYNフラッドを 防 ぐテクノロジーを 備 えていますが HTTPフラッドには 対 応 できません ラドウェアの ERTは 通 常 DoS / DDoS 攻 撃 を 受 けて 最 初 にダウンする 可 能 性 が 高 いセキュリティ 製 品 を 守 るために 召 集 されます 詳 細 については 最 初 にダウンするのはインターネットサーバーとは 限 らない をお 読 みください DoS / DDoS 攻 撃 緩 和 ソリューションの 有 効 な 位 置 づけ DoS / DDoS 攻 撃 に 対 して 脆 弱 な 各 種 のネットワーク 要 素 をすべて 守 るためには 一 式 のDoS / DDoS 攻 撃 緩 和 ソリュー ションが 必 要 です 基 本 的 に DoS / DDoS 攻 撃 緩 和 ソリューションは トラフィックの 経 路 内 で ネットワーク 要 素 の 最 前 段 に 配 置 する 必 要 があります 通 常 は ファイアウォールの 前 に 導 入 することで ファイアウォール ロードバランサー イ ンターネットサービス その 他 の 社 内 サーバーなどを 守 ります ルーターは 一 般 にフラッドを 通 過 させることができるた め ルーターを 守 る 必 要 はありません しかし 組 織 の 領 域 内 でどんなソリューションを 展 開 しても インターネットのパイプが 飽 和 して 詰 まることは 防 げませ ん この 場 合 は ISPが 大 規 模 なネットワーク 攻 撃 を 解 消 し パイプをクリーンな 状 態 で 維 持 できるかどうか 確 認 すること が 重 要 です その 際 は ISP 自 身 のDoS / DDoS 攻 撃 緩 和 テクノロジーに 期 待 するか パイプの 帯 域 幅 を 必 要 に 応 じて 素 早 く 拡 大 するサービスを 利 用 します 詳 細 については 最 初 にダウンするのはインターネットサーバーとは 限 らない のケーススタディをお 読 みください 複 数 のテクノロジーで 構 成 されたDoS / DDoS 攻 撃 緩 和 ソリューションを 利 用 さまざまな 組 み 合 わせの 攻 撃 ベクトルと 戦 うためには 複 数 のテクノロジーで 構 成 されたDoS / DDoS 攻 撃 緩 和 ソリューション を 利 用 する 必 要 があります 各 テクノロジーは それぞれ 有 効 範 囲 が 限 られており 1 種 類 の 攻 撃 にしか 対 応 できません 例 え ば WebチャレンジはHTTPフラッド SYN cookieはsynフラッド シグネチャはスローレート 攻 撃 に 対 して 最 も 有 効 です あらゆる 攻 撃 ベクトルから 身 を 守 るためには さまざまな 保 護 対 策 をブレンドした 攻 撃 緩 和 ソリューションを 利 用 する 必 要 があります 詳 細 については DoS 攻 撃 とAPTの 類 似 性 をお 読 みください 攻 撃 ベクトルにはさまざまな 種 類 がありますが 攻 撃 の 規 模 も 実 にさまざまです 組 織 にとっては 将 来 受 けうる 攻 撃 の 規 模 を 予 測 することは 困 難 ですが 予 測 を 行 うということは 重 要 です 例 えば ある 組 織 は 2Gbpsのネットワークフラッド 2M PPSのSYNフラッド および1 秒 あたりのトランザクション 件 数 が100,000 件 のHTTPフラッドに 対 する 防 御 策 を 講 じたいとい う 希 望 を 持 っていたとします このような 前 提 があれば 組 織 はソリューションをテストし DoS / DDoS 攻 撃 緩 和 ソリューショ ンが 有 効 かどうか 検 証 することができます 詳 細 については さまざまな 攻 撃 の 規 模 をお 読 みください