目次エグゼクティブサマリー重要な所見はじめに本レポートの範囲ラドウェアのセキュリティ調査 ERTの調査ハックティビズムとアノニマスの台頭アノニマスのプロジェクトアノニマスの力アノニマス攻撃開始ケーススタディ: トルコ政

20 11 Global Application & Network Security Report & Network Security Report 2011 Global Application 2011 年グローバルアプリケーション &ネットワークセキュリティレポート Smart Network. Smart Business.

目次 01 02 03 エグゼクティブサマリー重要な所見はじめに本レポートの範囲ラドウェアのセキュリティ調査 ERTの調査ハックティビズムとアノニマスの台頭アノニマスのプロジェクトアノニマスの力アノニマス攻撃開始ケーススタディ: トルコ政府への攻撃アノニマス攻撃ベクトルを修正 LOICに続く攻撃手法ケーススタディ 04 05 06 さまざまな攻撃の規模 DoS 攻撃とAPTの類似性最初にダウンするのはインターネットサーバーとは限らない概要ファイアウォールが保護されていない場合に起きることケーススタディ

07 08 09 DoS 攻撃の脅威にさらされる組織は増加している攻撃ツールのトレンド LOIC Mobile LOIC R.U.D.Y.(R-U-Dead Yet) THC-SSL-DoS 攻撃緩和技術概要攻撃緩和テクノロジー速度制限と帯域幅管理振る舞い検知型の保護課題ステートフルインスペクション地理情報検知型の保護 ACLとRTBH シグネチャ(Flowspecを含む) 最も一般的な DoS 緩和テクノロジーテクノロジーの効率性 10 11 カウンターアタックまとめネットワークおよびセキュリティコミュニティへの提案 Smart Network. Smart Business.

01 エグゼクティブサマリー 2011 年は DoS / DDoS 攻撃が世間の片隅から踊り出てメインストリームのセキュリティ脅威となった年でしたこれに最も大きく影響を与えた要因はアノニマス現象ですこの緩やかに組織化されたグループは仮想空間で社会的抗議を大々的に展開し大規模な組織や有名な組織を攻撃していますアメリカ外交公電ウィキリークス流出事件をめぐる大騒動が起きていた2010 年 12 月にアメリカ政府支持者に対して行われた彼らの大規模な作戦オペレーションペイバック ( 報復作戦 )は 2011 年のセキュリティシーンの形成につながる転換点となりましたその後世界中で同様の攻撃が見られるようになりましたアノニマスの影響でDoS / DDoS 攻撃が普及しセキュリティコミュニティだけでなく一般大衆の間でもこれらの攻撃が知られるようになりました結果として DoS / DDoS 攻撃のターゲットも変わりましたそれまで自らのことを主要なターゲットと考えてこなかった金融部門も攻撃を受け脅威に対して大至急向き合わざるを得なくなりました政府のサイトは従来からターゲットとされてきましたが 2011 年には攻撃の頻度が大幅に増大しニュージーランドのような自分たちは危険にさらされないだろうと思っていた中立的な政府も攻撃を受けました 2011 年末には規模の大小を問わずいかなる組織もDoS / DDoS 攻撃を受ける恐れがないとは言えないという結論が導き出されました

DoS 攻撃は 2011 年にははるかに組織的でプロフェッショナルなものになりました攻撃者は単一の攻撃作戦で5 種類もの攻撃ベクトルを使用するようになり攻撃はさらに複雑化しましたハッカーはネットワークとアプリケーションを同時に攻撃する手法を今まで以上に高度に洗練させましたまたこれらの攻撃の管理者は作戦を戦略的に計画できるようになりましたアノニマスなどのグループはターゲットを投票で決定し最適な攻撃ツールを選択し作戦についての広報活動を行いツールをダウンロードして攻撃に参加できるユーザーを募集しています彼らはまた攻撃前に時間を取りターゲットサイトに対するツールの効果を試しています攻撃中はボランティアの参加者のみに頼るのではなく仲間の有能なコンピューターハッカーを活用し他の効果的なツールを使って攻撃を補完していますつまり DoS / DDoS 攻撃の性質は標的型サイバー攻撃 (APT)よりもさらに進化しておりそのために深刻さを増していますセキュリティコミュニティでは攻撃の緩和策が重要なテーマとなっています多くの組織は保護対策を何ら実施していないか不十分な保護対策しか実施しておらずこれらの攻撃に対する備えができていません明るい面を見れば昨年の大々的なDoS / DDoS 攻撃によって組織の意識が高まり組織は今まで以上に優れた高機能な攻撃緩和ソリューションを採用するようになりましたまたセキュリティのエキスパートは攻撃緩和策をさらに拡大し防御から攻撃に移れるような新しいカウンターアタック( 反撃 )テクノロジーを開発しなければならないことを認識しました

02 はじめに本レポートの範囲ラドウェアの本セキュリティレポートは DoS / DDoS 攻撃およびその緩和策をテーマにラドウェアによって毎年作成されているレポートです本書はセキュリティコミュニティ全体を読者として想定しており 2011 年のDoS / DDoS 攻撃およびネットワークセキュリティに関するレポートの決定版として作成されています本書は 2つの情報源をベースとしています 1つめの情報源はラドウェアのセキュリティ調査でこの調査ではさまざまな組織から可能な限りベンダー中立の客観的な回答を集めます 2つめの調査ではラドウェアのエマージェンシーレスポンスチーム(ERT)が対応した40 のケースを選び分析しました上記の1つめの調査対象からは得られないより深い科学的な情報を提供するためラドウェア社内のDoS / DDoSのセキュリティエキスパートが分析を行いました本レポートは 2011 年におけるDoS / DDoS 攻撃の状況を分析し有益でためになる情報を提供することを目標としています本書は実際に行われた攻撃の種類その被害者およびこれらの攻撃を緩和するテクノロジーの概要について解説しています特定のソリューションのプロモーションではなく DoS / DDoSの現状を記録することのみを意図していますラドウェアのセキュリティ調査ラドウェアのセキュリティ調査は 2011 年にDoS 攻撃と対峙したネットワークオペレーターが直面する課題についての事実や具体的な情報を集めることを目的としていますこの調査は 4つのセクションに分かれた23の質問で構成され以下のテーマを取り上げました全般一般的な情報に関する質問 DoS / DDoSの体験攻撃の性質に関する質問 DoS / DDoSの影響と緩和策攻撃の影響と緩和技術に関する質問実際の攻撃実際に経験した深刻度の高い3つの攻撃についてその他の詳しい情報を得るための質問

客観性を保つため調査票は主にラドウェアのDoS 防御ソリューション(DefensePro)を利用していない組織に送られましたラドウェアはこの調査で135 件の回答を得ましたそのうち大部分は現時点でラドウェアの顧客ではありませんラドウェアのセキュリティ調査 : あなたの組織は現在ラドウェアのDoS 防御製品 (DefensePro)を利用していますか? 以下の各グラフは調査対象の統計情報を示しています図 1の通り調査参加者の80%はラドウェアのDoS / DDoS 攻撃緩和ソリューションを利用していないと答えています図 2は調査に参加した各組織の収益を示していますこの調査には大中小規模の組織が参加しました図 3は調査票への記入を行った個人の役職職責を示しています記入者の多くはセキュリティエンジニアやネットワークエンジニアでしたこの調査に参加した経営者や役員は CISO CIO ITディレクターなど組織のセキュリティやネットワークを担当するマネージャーでしたはい 20.5% いいえ 79.5% 図 1: 客観性を保つため調査票は主にラドウェアのDoS 防御製品を利用していない組織に送られましたラドウェアのセキュリティ調査 : あなたの組織はどれほどの年間収益を上げていますか? 40% 35% 10 億米ドル以上 30% 5 億 10 億米ドル 25% 1 億 5 億米ドル 20% 15% 5000 万 1 億米ドル 10% 1000 万 5000 万米ドル 5% 1000 万米ドル以下 0% 図 2:ラドウェアは評価対象組織の収益を示す上掲のグラフの通り規模の大小を問わずさまざまな組織を調査しました

ラドウェアのセキュリティ調査 : 組織内であなたはどんな役割を担っていますか? ERTの調査 ERTが本レポートにどのように貢献しているか理解するためにはこのチームの機能について説明する必要がありますラドウェアのエマージェンシーレスポンスチーム(ERT) は緊急業務を専門に行うスペシャリストのチームでセキュリティや製品のエキスパートが予防的な現場での対応をリアルタイムで行うことにより現存する脅威を緩和できますラドウェアのERTは DoS / DDoS 攻撃ネットワークエンジニア 25.9% セキュリティエンジニア 17% オペレーションエンジニア 3.7% 経営陣 28.1% 役員 8.1% その他 17% 図 3: 調査票に回答した役員やマネージャーの役職は CISO CIO ITディレクターなどでしたにさらされている顧客に対しリアルタイムの支援を提供します具体的には顧客のネットワーク設備に直接アクセスしファイルを収集し状況を分析した上で顧客と協議しますこのサービスの主な意図は攻撃を防ぎ顧客の復旧を支援することですがチーム自身も攻撃に関する独自の情報を得ることができますチームは現場で対応するため実際の攻撃の状況についてリアルタイムの情報を入手できます彼らは攻撃による影響を実際に測定することができますつまりERTは Webサイトが攻撃を受けた時に何が起きるかについて深い知見を持っています ERTは通常中高グレードの攻撃作戦への対応が必要となる場合のみに召集されます本レポートでより詳細な分析を提供するためラドウェアは別の調査として ERTが対応した40のケースを選んで分析しましたこのERTの調査をもとに行われた追加的な分析により当初の社外調査に科学的な情報が加わり奥行きが生まれました

03 DoS Denial of Service(DoS)とはインターネットのサイトがサービスを提供できなくなる状態を意味します DoS 攻撃の目的はサイトの機能を一時的または恒久的に停止させることです攻撃者が使用する最も一般的な手法では所定のインターネットサービスに大量のリクエストを送りつけますターゲットはこれらの偽のリクエストにリソースを割り当てなければならなくなるので最終的にターゲットのリソースが枯渇し正規ユーザーへのサービスが拒否されますその他の手法ではソフトウェアの脆弱性や設計上の弱点を狙うものがありますハックティビズムとアノニマスの台頭インターネットの誕生以来ハッカーたちは基本的にフラッドを生成することで正規ユーザーによるサイトへのアクセスを妨害し DoS / DDoS 攻撃を行ってきましたこれらのハックティビストの自警団はさまざまなインターネットツールを使って主に政治的な理由のために攻撃を組織し実行してきましたこれらのグループはその詳しい機能について知らないままツールをダウンロードした多くの素人ユーザーから力をかき集めて増大させることができます 2011 年には政治的攻撃の手法が全体 DDoS Distributed Denial of Service(DDoS) 攻撃は複数のシステムによって行われるDoS 攻撃です効果的な攻撃を実施するためにはすべての参加者が協力し連携する必要がありますこのような協力は例えばボットネットによって実現されますターゲットを困らせるのに十分な悪意あるトラフィックを生むためには 2 台以上のコンピューターが必要になるためほとんどのフラッド攻撃はDDoSです的に洗練の度合いを増しましたハックティビズムハックティビズムとは政治的社会的抗議の形式としてデジタルツールを使用することと定義できます現在話題を呼んでいる用語ですハックティビストたちは多種多様なツールを使って自らのメッセージを広めています例えば Webサイトの改変 DoS 攻撃情報窃盗その他の仮想干渉などの手法がありますハックティビストたちはこのような市民的不服従の姿勢に基づき自らの政治的目標を実現しメッセージを広めるたフラッドフラッド攻撃は大量のトラフィックを送信するDoS / DDoS 攻撃を意味しますこの手法ではターゲットのネットワークを膨大な量のデータでサーバーを大量のリクエストで溢れかえらせることで DoSを引き起こしそれ以外の処理を行えないようにしますめさまざまな活動を行っています彼らはインターネットは安全でないと示すことで自らのメッセージに説得力を持たせています今日最も悪名高いハックティビストのグループはアノニマスです

ラドウェアのセキュリティ調査 : あなたが経験したDoS / DDoS 攻撃はどのような動機のもとで行われましたか? 身代金 4% その他 4% アノニマスはインターネットに精通し緩やかに結束したハックティビストの集団を指す用語で彼らは自身のスキルを使って自らが市民的不服従と考える行為を行っていますこのグループのメンバーは世界中に散らばっているもののメンバーの匿名性を保つよう努める仮想コミュニティに発展しましたアノニマスは世界中のIRCチャンネルやさまざまなチャットルームからメンバーをリクルートしていますアユーザーの怒り 12% 競争 7% 政治的理由 / ハックティビズム 22% 動機不明 50% ノニマスは当初そのデジタル的に結びついたコミュニティを主に彼らが言うところのエンターテインメント業界の権利を侵害する行為のために使っていましたしかしハックティビズムが掲げる目標は多様化しインターネットや言論の自由を制限する者に対して抗議を行うまでになりましたアノニマスはコミックシリーズおよび映画作品の V フォーヴェンデッタに登場するガイフォークスの仮面を図 4: 最も多いのは動機不明ですが政治的理由 /ハックティビズムは 3 位以下に大きな差をつけています使うことで自らのブランドを作り出しこの仮面は有名になりましたメンバーは全員そっくりで見分けがつきませんアノニマスのプロジェクト昨年 DoS / DDoS 攻撃の動機が大きく変わったのは主にアノニマスが政治的目標を掲げたためでした 2011 年には彼らが選んだターゲットへのDoS / DDoS 攻撃の ERTの調査 : 攻撃の背景となった動機話題がメディアのトップページを飾りました攻撃を免れる組織はありませんアノニマスは政府機関だけでなく金融機関や営利企業のサイトも攻撃しました彼らは通常政治的理由や大義に基づき行動していますアノニアノニマス 23% マスは一般のコンピューターユーザーからほとんどの力を得ていますアノニマス内部のメンバーや管理者は不明 59% 政治的理由 / ハックティビズム 10% 身代金 8% コンピューターを持っているユーザーなら誰でも簡単にダウンロードできるツールに頼っています図 5:2011 年には ERTが扱ったケースのうちアノニマスによる攻撃はほぼ0%から23%まで上昇しました図 6:アノニマス

アノニマスの力アノニマスの巨大な攻撃力は技術的知識を持たない圧倒的な数のユーザーに支えられています彼らはたとえこれらのツールの仕組みや機能について詳しく知らなくてもアノニマスの戦いに参加することができます非常に多くの本セクションのハイライト 2011 年にはアノニマスのためにDoS / DDoS 攻撃がメインストリームとなりその脅威のレベルが劇的に上がりましたユーザーが攻撃に参加するのでアノニマスは Webサイトに大量のデータを送りつけ正規ユーザーへのサービスを停止させるために必要な力を集めることができます 2010 年 12 月の一斉攻撃開始オペレーションペイバックの一環として行われたオペレーションアベンジアサンジによりウィアノニマス攻撃開始世間を騒がせたアノニマスの活動の代表例はオペレーションアベンジアサンジ (アサンジの復讐作戦 )ですこのキリークスの所有者への支援を停止した金融機関が攻撃されましたこれが2011 年に行われた多くの攻撃の引き金となりました作戦はアメリカ外交公電ウィキリークス流出事件の後オペレーションペイバックの一環として行われました 2010 年 12 月アノニマスはウィキリークスの創始者であるジュリアンアサンジを支持することを決めウィキリークスへの送金停止を求めた政治的圧力に屈した銀行やクレジットカーアノニマスは簡単にダウンロードできるアプリケーション(LOIC)を公開しコンピューターやノートパソコンを持っていれば誰でもDoS / DDoS 攻撃に参加できるようにしましたド会社に対し DoS / DDoSを仕掛けるよう呼びかけました次にアノニマスは著作権を擁護し著作権侵害対策を実施する主な組織法律事務所そして個人に対してさえもさまざまな攻撃を行うようになりましたこれらの攻撃はメディアノニマスの内部のメンバーは一般ユーザーによる攻撃と並行してさらに洗練された攻撃を行いますアで詳しく報道されアノニマスは悪名をとどろかせました彼らは高い実力を持つ洗練されたハッカーのグループであるという評価も得ましたしかしアノニマスは今も緩やかに結束した組織でありリーダーも公式には決まっておらずほアノニマスの攻撃は組織の脅威となり混乱を巻き起こすのでターゲットとなり得る組織から深刻に恐れられていますとんどの攻撃は即興的に行われます誰でもアノニマスの名のもとで活動できハッカーとして高いスキルを持っていたりコンピューターマニアであったりする必要はありませんしかしメンバーの中には真のエキスパートも存在します前述の通りアノニマスは技術的知識を全く持たない人でもダウンロードして使用できる低軌道イオンキャノン (LOIC)ツールを公開することでアノニマスの大義に協力するよう世界中の人々に呼びかけています分かりやすい動画のチュートリアルも用意されていますユーザーはツールをダウンロードしたら Webサイトの投稿内容に従ってパラメーターを入力するだけですこの力を攻撃に利用することでアノニマスは非常に高く評価されている Webサイトにも被害を与えることができました

ケーススタディ:トルコ政府への攻撃トルコ政府は Web 上の危険な情報から若者を守るためという口実のもとインターネットの閲覧時にフィルターを追加適用することを検討していましたしかしこのフィルターを使った政策は広範な検閲につながる可能性があると批判されましたこれは言論の自由の侵害であり政府による検閲であるとアノニマスは解釈し抗議することに決めましたアノニマスの管理者は抗議への一般大衆の参加を求めるメッセージをインターネットに掲載しました図 7:アノニマスの支持者向けに攻撃方法を指示するポスターこのメッセージにはターゲットとなるサイト(www.tib.gov.tr) 攻撃の日時 ( 現地時間で6 月 9 日木曜の午後 6 時または GMT + 3) および攻撃に参加するために必要なツールをダウンロードできるWebサイトが明記されていましたこの事前予告の後アノニマスは LOIC 攻撃ツール( 攻撃ツールのセクションで後述 )をダウンロードしたボランティアたちによる支援のもと複数の主要な政府サイトへの攻撃を開始しましたこのようにアノニマスは複数の政府サイトに対する攻撃作戦を同時に実施することで政府による検閲に抗議しましたこの攻撃作戦では LOICツールをダウンロードした技術的知識を持たない数千人ものコンピューターユーザーを連携させることによりコンピューターのボットネットを作成してフラッドを生成しましたアノニマスが送ったメッセージボードポスターには明確な指示が記載されていたため一般ユーザーでも攻撃に簡単に参加できましたこの攻撃作戦では複数のベクトルを使用しいくつかの異なる種類のメッセージが各サイトに送られましたこの攻撃では以下のベクトルを送信しました

HTTP Getフラッド攻撃 Webアプリケーションのリソースをターゲットとし攻撃中にターゲットのURLを改変するポート80へのTCP 接続フラッド Webアプリケーションのリソースをターゲットとする SYNフラッド攻撃サーバーのTCP/IPスタックをターゲットとする UDPフラッド攻撃ネットワーク帯域幅のリソースをターゲットとするその他断片化パケットのフラッドやリセットフラッドなどの明白な攻撃も行われました攻撃の帯域幅のトラフィックは1Gbps 以上同時セッションの数は3,000,000 以上になりました攻撃の一部はツールをダウンロードした素人ユーザーによって生成されていましたがその他のベクトルは明らかにアノニマス内部のハッカーによって実行されていましたアノニマス個人の告発を回避するために攻撃ベクトルを修正 LOICツールには1つの小さな問題がありますすなわちユーザーの身元が保護されないという点です足跡が残るためユーザーの本当のIPアドレスを簡単に追跡でき実際に既に逮捕されている人もいますアメリカでは連邦 Webサイトへの攻撃があった後連邦捜査局 (FBI)が捜査を開始し 11 人を逮捕しました他の国々でも逮捕者が出ていますこのツールではユーザーが匿名にならずこれを放置しておくとユーザーの特定逮捕につながるためアノニマスの多くの関係者はこのツールを破棄することを望んでいます攻撃を継続するためアノニマスは #RefRefなどの侵入をベースとする新しいツールを開発しています #RefRefはソフトウェアの脆弱性を狙うように設計されているプラットフォームに中立的なツールです JavaScriptとSQL 内の脆弱性を利用することでターゲットのWebサイトに圧倒的な被害を与えますこのツールはターゲットサイト自身の処理能力を使ってリソースを枯渇させると言われていますリソースの枯渇は以前より存在する攻撃ベクトルですが DoS / DDoS 攻撃の強い力を好む攻撃者からは基本的に無視されてきましたしかしこのツールは理論上非常に効果的ですテストでは 1つのマシンを使った17 秒間の攻撃によりサイトを42 分もダウンさせることができました #RefRefが効果的なのは一般的な脆弱性を利用しているからですこの欠陥は既に知られていますがパッチはまだあまり適用されていません開発者たちは (このツールが特定されて対策が取られる前に) 有名サイトを攻撃できるのは1 回きりかもしれないと思っていますが彼らにとってはそれで十分なのです逆に言えば脆弱性を持ったターゲット候補が多数存在しツールがブロックされる前なら少なくとも1 回は攻撃できる可能性があるからです #RefRefツールの効果には疑問が残りますがアノニマスが現在進んでいる方向性が分かります

本セクションのハイライトアノニマスは LOICを使用した時期の後攻撃の際にユーザーの大規模な参加に依存しなくなりましたこれは既にいくつかの国で実施され始めていた法的措置から支持者を守るためでした LOICに続く攻撃手法ケーススタディアノニマスは最近のある攻撃において抗議の動画メッセージをYouTubeで公開しましたまたアノニマスの Twitterのフィードにはリンクが投稿されユーザーはそこからLOICツールをダウンロードして作戦に参加するように呼びかけられましたほかに LOICツールを使ってアノニマスの攻撃に参加したユーザーは特定されて逮捕されたという事実を指摘した自分を救えというユーザー向けの警アノニマスは LOICを補完するため内部でのハッキング活動に注力し始めましたそれには例えば巨大な力による攻撃を行うのではなくソフトウェアの脆弱性を狙う#RefRef などのツールの開発が含まれます告メッセージも発信されましたにもかかわらず攻撃は続き ERTの分析によるとアノニマスのこれらのDoS / DDoS 攻撃が成功したのは LOICツールの大々的な使用のみによらないことが判明しましたアノニマスの内部の人間はより洗練された方法やツールを利用できたため LOICを使って巨大な攻撃力を生成できるボランティアのみに頼る必要アノニマスは無秩序でリーダーが存在しないがなくなったのですにもかかわらず目標達成の手段は進化し続けていることから彼らが脅威であるのは変わりません最初のLOIC 戦略がうまくいかないことを理解した後は脆弱性を狙い侵入これは以前よりもはるかに洗練された攻撃で以下のような複数の脆弱性を狙ったサイバー攻撃ベクトルが使われましたをベースとする新しいツールを開発するようになりました過剰なUDPフレームのフラッド(1Gbps 以上 ) 複数のLOIC DoSツールによるTCP 攻撃複数のLOIC DoSツールによるUDP 攻撃複数のMobile DoS LOIC(HTTPフラッド) ポート80 ポート53 および無作為のポートへの複数のUDPフラッド(300 Mbps 以上 ) #RefRef DoSツールによる攻撃 (アノニマスが独自に開発初登場 ) TCP 断片のフラッド

04 さまざまな攻撃の規模 DoS / DDoS 攻撃は深刻な脅威でありその高い成長率は企業と政府の両方にとって大きな問題です DoS / DDoS 攻撃は今後も組織を狙い続ける公算が大きいためインターネットのセキュリティ担当者は攻撃の内容を詳しく正確に把握し測定することが重要ですほとんどのインターネットサイトは脆弱性を内包しているため一般的な組織が自らのサイトが攻撃を受ける可能性およびその攻撃の規模を予測するのは困難です本セクションでは DoS / DDoS 攻撃の3 種類とこれらの攻撃の測定評価方法について解説します主なDoS / DDoS 攻撃は通常 50 GbpsのUDP 攻撃によりサイトXが攻撃されたや 30M PPSのDNS 攻撃によりサイトYが攻撃されたなどのように測定用語を使って報告されます 50Gbpsや30M PPSといった数字は平均的な読者にとって分かりやすく複雑な状況を若干理解しやすくできるからですしかしこうした規模の測定方法では DoS / DDoS 攻撃の実際の内容を説明できず最低限の情報しか提供できません DoS / DDoS 攻撃を評価する際攻撃の規模のみが重要であるとする考え方は神話に過ぎずそれではサイトの攻撃時に何が起きているか分かりません攻撃の規模と種類の両方について理解することが重要です攻撃の規模が大きいほど被害も深刻になると考えるのは誤りです実際は攻撃の種類もとても重要です例えばアプリケーションレベルの小規模なHTTPフラッドはネットワークへの大規模なUDPフラッドよりも深刻な被害をもたらす可能性があります 1つめの点として組織は大規模な攻撃に備えなければならないという考えは正しいとは限りません実際のところ普通の平均的な組織が強烈な攻撃を受ける可能性はほとんどありませんラドウェアのセキュリティ調査の参加者に彼らが経験した最大規模の攻撃の帯域幅を尋ねました図 8は多くの攻撃の規模が大きくないことを示しています調査結果によると攻撃の32%は10Mbps 以下で 76%は1Gbps 以下でした

32% ラドウェアのセキュリティレポート: 21% 23% 攻撃の帯域幅図 8:ほとんどの攻撃は大規模ではありませんが 9% 9% 大きな被害をもたらす可能性もあります 6% 10 Mbps 以下 10 Mbps 100 Mbps 100 Mbps 1 Gbps 1 Gbps 5 Gbps 5 Gbps 10 Gbps 10 Gbps 以上メディアの報道は大規模な攻撃をセンセーショナルに伝えます恐らく各組織はこのために大規模な攻撃に備えることが必要と感じその防御策を取るようになるのでしょうしかし攻撃の規模だけでなく種類も考慮することが重要ですすべての攻撃を同じ基準で測定するのは正確ではありません 2つめの点として 1 秒あたりのバイト数 (BPS)や1 秒あたりのパケット数 (PPS)といった単位で攻撃を測定するのも正しいとは限りませんパケット数が大きければ大きいほど攻撃も深刻であるという論理に従うと 10MbpsのUDPフラッドは 5MbpsのHTTPフラッドよりも深刻であるということになりますがこれは必ずしも正しくありません 40% 39% 30% 27% 20% 26% 23% 18% 24% ラドウェアのセキュリティレポート: 10% 8% ネットワーク攻撃とアプリケーション攻撃の帯域幅 0% 8% 14% 10 Mbps 10% 以下 10 Mbps 100 Mbps 100 Mbps 1 Gbps 3% 図 9: 一般にアプリケーション攻撃の帯域幅はネットワーク攻撃の帯域幅よりも小さいですが同等以上の被害をもたらします 1 Gbps 5 Gbps 5 Gbps 10 Gbps 0% アプリケーション攻撃ネットワーク攻撃 10 Gbps 以上

図 9の表はネットワークフラッドとアプリケーションフラッドの違いを示しています報告されているネットワーク攻撃の種類にはUDP ICMPおよびSYNフラッドアプリケーション攻撃の種類にはHTTP HTTPSおよびSMTPが含まれますアプリケーションフラッドの規模はネットワークフラッドよりもはるかに小さいのは明白ですがこれは攻撃の深刻度や被害の大小を意味しません DoS / DDoS 攻撃を評価する際は測定の基準を攻撃の種類と合わせる必要があります UDPフラッドとHTTPフラッドを比較するのは無意味です UDPフラッドの適切な測定基準は帯域幅とPPSですが HTTPフラッドの測定基準は1 秒あたりのトランザクション件数同時接続数および1 秒あたりの新規接続数です重要なのは攻撃によってどんな被害が生じるかという点です UDPフラッドはより大規模で危険なように見えますが HTTP 接続をベースとする攻撃は UDP 攻撃よりもはるかに少ないトラフィックでより多くの損害をもたらすことができます ERTが対応したさまざまなケースでそれほど強烈でない攻撃でも深刻な被害が出る場合があることが確認されました攻撃の測定基準は攻撃の種類によって以下のように分けられます攻撃の種類説明測定基準備考ブルートフォース完全なネットワーク接続を確 Mbps( 帯域幅 )とPPS(1 秒あ攻撃者は接続を維持するた ( 巨大な力 )フラッド立しなくても可能な限り大たりのパケット数 )で測定めにリソースを割り当てる必 UDPフラッド ICMPフラッド量のデータやパケットでネッ要がない S Y N フラッドアウトオブトワークを攻撃ステートのTCPフラッド(RST フラッド FIN+ACKフラッドなど) 接続ベースのフラッドアプリケーション層を大量の 1 秒あたりのHTTPトランザク攻撃者が正規の接続を確立 HTTPフラッド SMTPフラッドデータで溢れさせるション件数同時接続数おする必要があるよび1 秒あたりの新規接続数で測定スローレート特定の脆弱性や設計上の欠これらの攻撃はそれぞれユ攻撃の測定基準は攻撃方法 R.U.D.Y 陥を狙うニークであるため攻撃をごとに異なるが攻撃の測定 (Are You Dead Yet) 測定するのは難しい例えば自体が無意味な場合もある Slowloris Sockstress R.U.D.Y. 攻撃の強度は同時接続数と攻撃者数でしか測定できない

しかし各組織はどんな種類や規模の攻撃を想定すればよいのかまたDoS / DDoS 攻撃に備えるためにどんな対策を実施できるのかという疑問は残りますパラメーターを単一の業界に絞り込んでもこの疑問に答えるのは容易ではありません例えば eコマースのサイトはどんな攻撃を想定すればよいでしょうか? 残念ながら現時点では決まった答えはありません DoS / DDoS 攻撃の種類と規模はあまりに多様であるためどんな形でも正確な予測を行うのは不可能です ERTが対応した多くのケースでは顧客は攻撃に対する準備ができていませんでした適切な種類や規模の攻撃に対する準備ができていなかったのではなく DoS / DDoS 緩和ソリューションを導入していなかったのですファイアウォールやアンチウイルスのセキュリティソリューションは実装していても DoS / DDoSを緩和する対策は取られていませんでした結論として DoS / DDoS 攻撃をレビューし分析する際は適切なマトリックスで攻撃を測定することが重要です ERTがこれまでに確認した攻撃の規模は実に多様であるため迫り来る攻撃の規模を明確に予測することは不可能ですこのような状況にかかわらず多くの組織は全く準備を行っていませんそのためDoS / DDoS 攻撃の頻度や深刻度を認識し攻撃に対して一定の予防策を取る必要があります

05 DoS / DDoS 攻撃とAPTの類似性 DoS / DDoS 攻撃は以前から行われてきましたもともとは巨大な攻撃力によってトラフィックを停止させるネットワークフラッドとして始まりインターネットのパイプを詰まらせるUDPフラッドやファイアウォールを制圧するSYNフラッドなどの例が挙げられます後にハッカーたちがHTTP SMTP その他のフラッド攻撃を用いてアプリケーションレベルまで上るにつれより洗練された攻撃が行われるようになりました今日でも保護対策を更新しておらず新しいトラフィックレートに対応できないサイトは多数存在するため大規模なフラッドを作り出すのは簡単ですこれらの攻撃ではコンピューターのリソースの弱点を突くことでメモリに過大な負荷をかけコンピューターを使えないほど遅くしますしかしネットワーク攻撃とアプリケーション攻撃のいずれかがなくなることはありませんラドウェアのセキュリティ調査 : 種類および帯域幅ごとの攻撃件数アプリケーション 54% SMTP 9% VoIP 2% ネットワーク 46% HTTPS 13% TCP SYNフラッド 25% ICMP 6% IPv6 2% HTTP 21% UDP 7% DNS 9% TCP その他 6% 図 10:ネットワーク攻撃とアプリケーション攻撃は共存しています

アプリケーション攻撃はネットワーク攻撃よりも少しだけ多く行われていますが図に示されている通りアプリケーションレベルのフラッドはネットワークレベルのフラッドと共存しています昨年アプリケーションフラッドとネットワークフラッドの数にそれほど変化はありませんでしたしかし DoS / DDoS 攻撃の性質は変化しています 2011 年に見られた最大の変化は攻撃作戦の多様化です攻撃者はネットワークフラッドとアプリケーションフラッドを組み合わせて複数の攻撃ベクトルをブレンドし場合によってはスローレート攻撃も織り交ぜるようになりました昨年はこのようなマルチベクトル攻撃が激増しました ERTがアノニマスやその他の攻撃者による攻撃作戦を分析したところ単一の作戦に4 5つの攻撃ベクトルが含まれるケースも多々見受けられました攻撃者は最適な攻撃ベクトルを見つけるまでベクトルを次々と試したり単一の大きなベクトルよりも甚大な被害を与えるために2つのベクトルを組み合わせたりしますしかしたとえ1つでもベクトルが機能すれば商業 Webサイトは深刻なダメージを受けることがあります DoS / DDoS 攻撃作戦がAPTと似てきたのはさまざまな攻撃ベクトルをブレンドするようになったためだけではありません例えばアノニマスの攻撃では攻撃の目標日時を決めてから Webサイトへの投稿チャットルーム Twitter Facebookなどを通じ攻撃に参加するよう呼びかけることに多大な労力を費やしますそして攻撃の1 2 日前にツールの効果を事前に確認するため短い最終調整 (10 分間のテストなど)を行います ERTはある金融機関に対する攻撃で攻撃者が被害者にとって最も重要で被害が大きくなる時間を意図的に選んだことに気づきましたまた彼らは全般に豊富な資金源を持っています APTの主な特徴の1つは今日のハッカーたちの中でも最高レベルのプロフェッショナリズムを備えているという点ですその好例はスタックスネットというワームです発電所工場イランのウラン濃縮施設などの産業用システムをターゲットにした初のマルウェアです

さらに攻撃者たちは巨大な攻撃力やアプリケーションレベルのフラッドのほかにも強力なツールを持っています彼らはSlowloris Sockstress RUDYなどのツールを使ってスローレート攻撃も仕掛けています(これらのラドウェアのセキュリティレポート: スローレート攻撃を受けたことはありますか? ツールの詳細については攻撃ツールのトレンドセクションで解説 ) これらのツールは設計上の欠陥を可能な限り利用することで少量のトラフィックでもサービスを停止させダウンさせることができますしかし図 11の通りこれらのツールはまだそれほど普及していません結論として DoS / DDoS 攻撃はさらに洗練の度合いを増し性質もAPTに似てきていますこれは攻撃者の継続的な活動にも表れています攻撃の計画立案は向上し攻撃のタイミングは注意深く選ばれ攻撃期間中には最も大きな被害をもたらす攻撃ベクトルが見つかるまで複数の攻撃ベクトル(ネットワークアプリケーションスローレート)が用いられます俯瞰的なセキュリティの視はい 9.7% いいえ 90.3% 図 11: 昨年スローレート攻撃は増えましたがまだ大きな脅威にはなっていません点から見ると DoS / DDoS 攻撃は本質的にAPTと似てきただけでなく APTシーン全体の中における強力な武器あるいは構成要素となりつつありますその好例はソニーピクチャーズに対する攻撃ですこの作戦では最初の段階で大規模なDoS / DDoS 攻撃が仕掛けられましたがこれは後の機密情報を盗むための攻撃のカモフラージュだったと考えられています

06 最初にダウンするのはインターネットサーバーとは限らないインターネットはセキュリティよりも機能性を重視して設計されているため DoS 攻撃に対して脆弱なネットワークエンティティも含まれています Webサーバーが攻撃を受けても Webサーバーが最初にダウンするエンティティになるとは限りません DoS 攻撃が成功するのは単純にインターネットサーバーに容量の限界があるからです例えば cnn.comがhttpフラッドの攻撃を受けたら恐らくWebサーバーがダウンするでしょうしかし他のネットワークエンティティも被害を受ける可能性があることは既に広く知られていますインターネットのパイプが詰まりルーターファイアウォール IPS ロードバランサー SQLサーバーなどが攻撃の影響を受けることがありますファイアウォールとIPSはネットワークセキュリティを提供するよう設計されていますが DoS 攻撃の影響を受けます実際一連のリンクの中で最も弱いのはファイアウォールであることも多いのですラドウェアのセキュリティ調査 : どのサービスやネットワーク要素が DoSのボトルネックになっていますか (ボトルネックになったことがありますか)? 30% 27% 24% 8% 4% 5% インターネットのパイプファイアウォール IPS/IDS ロードバランサー (ADC) 攻撃を受けているサーバー SQLサーバー図 12: 必ずしも攻撃されているインターネットサーバーだけでなくインターネットのパイプとファイアウォールもDoSの被害を受ける可能性があります

サイトの攻撃者たちもこのことをよく理解しているようです彼らが1パケットあたり1500バイトのUDPフラッドを送信する場合その意図は Webサーバーを攻撃することではなくインターネットのパイプを詰まらせることですしかし ERT の経験によると UDPフラッドやその他のネットワーク攻撃は長続きしませんこれらは非常に見えやすく比較的防ぎやすいからです攻撃者たちは SYNフラッドやその他の接続ベースのフラッド(TCPやUDP)を利用するとサーバーよりもファイアウォールに被害を与えやすくなることも理解しているようです攻撃を防ぐためにこれらのネットワーク要素を常に更新するよう努めても解決策にはなりませんネットワークデバイスはたとえそれぞれ異なるセキュリティ機能を備えたファイアウォールやIPSでも DoS / DDoS 攻撃に対応するよう設計されていません最高の解決策はすべての関連エンティティを保護できるDoS / DDoSソリューションを展開し適切に配置することです組織が内部で展開を行う場合は ISPが非常に高速な攻撃の最中でもパイプをクリーニングできることあるいは少なくとも攻撃中にパイプの容量を素早く増やせることを確認する必要がありますファイアウォールが保護されていない場合に起きることケーススタディ最近ある大手オンライン旅行代理店は大量のHTTPページフラッドで攻撃されました同社のサイトに過剰な負荷をかけサーバーが通常のリクエストに対応できないようにさせるため 4,000 人以上の攻撃者が3 日間にわたってサイトに猛攻を加えました同社は当初 Webサーバー上で悪意あるクライアントへのアクセスを拒否する保護対策を講じていました悪意あるクライアントはユーザーエージェントのパラメーターによって認識していましたこれらのリクエストは Accept-Language HTTPヘッダーによって簡単に見分けられましたがこの防御機構をもってしても部分的なサービス停止は免れませんでした同社は次に DoS / DDoS 緩和ハードウェアをインストールし同じ保護対策をコピーしてハードウェアにもペーストましたこのハードウェアは専用のリソースを持っていたため Webサーバーは攻撃に対処する必要がなくなりその機能は復旧しましたしかしリソースの過負荷はネットワークの他の場所へ移動しました同社のセキュリティスタッフはファイアウォールのセッションテーブルが最大限の危険なレベルに到達しようとしていることに気づきましたそこでDoS / DDoS 緩和ハードウェアをファイアウォールの前に最配置しファイアウォールを過剰な負荷から守りました防御機構をファイアウォールの前に最配置したところ IPの攻撃が止まりファイアウォールには正規のトラフィックのみが来るようになりました HTTPページフラッドを緩和する保護ポリシーを設定したら攻撃が緩和されてWebサーバーが復旧しファイアウォールのリソースは通常の状態に戻りましたトラフィックの概要ファイアウォールの接続テーブルが危険なレベルに到達 200,000 接続テーブルが低減ファイアウォールを保護するためにDoS 緩和ソリューションを再配置接続テーブルが通常の状態に戻る接続数 :9214 17:52 17:53 17:54 17:55 17:56 NAT Xlates:635 図 13:ファイアウォールのスナップショット DoS 緩和策によってファイアウォールを保護した時のファイアウォールの状態のスナップショット攻撃緩和ハードウェアによるファイアウォールの保護が発動した瞬間接続数は安全な水準に戻りました

07 DoS / DDoS 攻撃の脅威にさらされる組織は増加しているアノニマスは DoS / DDoS 攻撃をより広範な洗練された領域に持ち込みましたハックティビストのようなハッカーたちは従来主に政府のサービスや政治的なサイトをターゲットとしてきましたしかしアノニマスは活動の場を広げ金融機関エネルギー部門そして変わった例を挙げれば麻薬カルテルなどの新しいターゲットも設定するようになりました今日ではどんなサイトでも以前より攻撃を受けやすくなっているためアノニマスのようなグループによるDoS / DDoSの脅威に備えておくのが得策です 2011 年にはアノニマス型のハッカーが攻撃対象を拡大し金融機関エネルギー部門そしてこれまでは事態を対岸の火事として傍観していた多くのサイトをも狙うようになりましたアノニマスは基本的にリーダーを持たない組織であるため一定のコンピュータースキルさえあれば誰でも理由の有無を問わず所定のターゲットに対して攻撃を開始できますこのため多くの組織は全く準備ができていない状態でDoS / DDoS 攻撃を受けます彼らはこのような問題を経験したことがなく DoS / DDoS 攻撃の被害者になることも想定していないため何の防御機構も持っていませんこれらの組織はサービスおよびオンライン状態を維持するためソリューションを素早く見つけ展開する必要があります図 14:www.edf.comに対するアノニマスの攻撃アノニマスはグラフィックバナーを使って支持者をリクルートしています

図 15:アノニマスのニュージーランド議会に対する攻撃アノニマスはこのバナーを使って攻撃に参加するボランティアを募集しました 2011 年にアノニマスが実行した攻撃のうち最も目立ったのは言論の自由インターネットのオープン性の確保誤りとされている状況を正す行為などに関するものでした例えばアノニマスは原子力エネルギーに対して抗議するためフランスで多数の原子炉を運転しているフランス電力公社を攻撃しましたまたアノニマスはこれまで政治的理由から多くの攻撃を行ってきましたがその流れの中でインターネットの自由を規制する法案を提出した通常は報道される機会も少ないニュージーランド議会をターゲットにしました図 16: オペレーションアベンジアサンジでの www.mastercard.comに対するアノニマスの攻撃アノニマスはこのTwitterアカウントを使いながらリアルタイムで攻撃対象 (MasterCard)に関する支持者向けの指示を出し攻撃ツールも提供しました図 17のグラフは 2011 年にラドウェアのERTが対応した DoS / DDoS 攻撃の概要を顧客の種類別に示していま ERTの調査 : 顧客の種類別の攻撃発生率すグラフの通り金融オンラインゲームおよび官公庁の各部門で最も多くの攻撃が発生しています特に金融機関からは ERTの支援を要請するリクエストが多数寄携帯電話会社 2% eゲーミング 25% せられましたがこれは攻撃の件数が多かっただけでなくほとんどの金融機関はこうした攻撃に対する備えが全くできていなかったことによるものでした金融部門は 2010 年以前にはDoS / DDoS 攻撃を経験したことがな金融サービス 28% 官公庁 25% かったため DoS / DDoS 緩和ソリューションへの投資は行っていませんでした対照的に 2011 年以前にも攻撃を受けたことがあるオンラインゲームサイトは全般に比 eコマース 15% ISP 5% 較的準備ができていましたオンラインゲーム産業は長年にわたるDoS / DDoS 攻撃のターゲットであらかじめソリューションに投資していたことから金融部門よりも被害を抑えることができました図 17:ERTが昨年対応したケースの大部分の顧客は金融部門官公庁 eゲーミングの 3つの領域のいずれかに属していました特に金融部門は攻撃の件数が多かっただけでなく DoS / DDoS 攻撃に対する備えができていたサイトが少なかったことから最も深刻な部門でした

被害を受けたサイトのトレンド低ラドウェアのERTは官公庁部門でも同様の傾向を確認しました一部の官公庁は 2011 年の DoS / DDoS 攻撃に対し他の官公庁よりも準中高 ISP 備ができており落ち着いて対処することができました例えばアメリカとイスラエルの政府は 2011 年以前にDoS / DDoS 攻撃を受けてい金融官公庁たためニュージーランド政府よりも備えができていました eコマース eゲーミング携帯電話会社複数の情報源を組み合わせて作成された図 18 は 2011 年に攻撃の状況がどのように変化したか Webサイトの種類別に示しています矢印は 2011 年に攻撃の件数が増えた方向性を表しています官公庁部門が中央に移動しア 2011 年 2011 年以前図 18:2011 年には官公庁および金融部門が最も大きな被害を受けましたが eゲーミングの脅威レベルは以前と変わらず中高でしたノニマスの最大のターゲットになりました金融部門でも同様のトレンドが見られました eコマースでも攻撃件数が若干増えましたがオンラインゲーム携帯電話会社 ISPの各部門では大きな変化は見られませんでした結論として 2011 年には多くの組織がDoS / DDoS 攻撃の脅威にさらされました以前からリスクにさらされている組織もありましたがそのリスクも高まりましたその他の種類の組織については大幅な変化が見られましたこれが 2012 年にどのように変化するか予測するのは困難ですアノニマスは 2011 年にDoS / DDoS 攻撃を非常にポピュラーなものにしましたがそのアノニマスもありふれた手法による攻撃ではサイトをダウンさせることができなくなり現在では目標を達成するための新しい手法を模索しているところです

08 攻撃ツールのトレンドさらに多くのDoS / DDoSツールが利用可能に本セクションでは 2011 年に最も頻繁に使用された4つのDoS / DDoS 攻撃ツールについて解説しますこれらのツールはよく知られておりよく研究されています本セクションではこれらを改めて細かく分析するのではなく各ツールの主な特徴をまとめこれらの違いを明らかにしそれぞれのコンセプトを説明することを目的とします本セクションでは以下の4つのツールについて説明します LOIC Mobile LOIC R.U.D.Y. THC-SSL-DoS LOIC 低軌道イオンキャノン (LOIC)はオープンソースのネットワーク負荷テストおよびDoS 攻撃アプリケーションです当初はPraetox Technologiesが開発していましたが後にパブリックドメインで公開されました図 19:LOICのGUI

LOICはフラッド攻撃ツールですフラッド攻撃ツールはネットワークやアプリケーションのリソースを消費する大量のトラフィックを生成することで正規ユーザーへのサービスの質を低下させたりサービスそのものを提供できない状態にしますこのツールは Microsoft WindowsやMac OS X 上で動作し大量のTCP UDP およびHTTPパケットを生成して特定のホストのサービスを妨害するために非正規のパケットであふれさせるDoS 攻撃をターゲットサイトのサーバーに対して実行します 1 台のコンピューターだけでは大抵のウェブサーバーを圧倒するのに十分な量のTCP UDP または HTTPリクエストを一度に生成することはできません大きな被害を与えるには数千台のコンピューターを単一のサイトに集中させる必要があります中央管理者が特定のターゲットを攻撃するプロセスを制御することでさらに効果的な攻撃が可能になります LOICツールは無作為にコンピューターを集めてネットワーク接続を生み出しターゲットのWebサーバーに膨大な量の偽のリクエストを送りつけますインターネットリレーチャット(IRC)モードでは LOICツールを使ってIRCチャンネルに接続し IRC TOPICメッセージ経由でターゲットや設定の情報を受け取ることができますこれはハイブマインド ( 集団意識 )モードとも呼ばれます LOICのハイブマインド機能を使用すればコンピューターを持っている人なら誰でも IRCサーバーにそのコピーを置きアノニマスのような第三者にこれらを制御させて単一のターゲットを狙うことができますこのようにコンピューターを持っている人なら誰でもアノニマスの攻撃に簡単に参加できるようになります特にコンピューターの専門知識やスキルを身につける必要はありません LOICツールは Project Chanology Operation Payback OpSony などを含むアノニマスが大きな組織に対して行った複数の有名な攻撃作戦で使用されていますウィキリークスに反対の立場を取る企業や組織のWebサイトへの攻撃をアノニマスが統率した2010 年 12 月 8 日から10 日までの間に LOICは3 万回以上ダウンロードされたと報告されています LOICは多くの攻撃者によって使用され多くのサイトをダウンさせましたこのツールはIPをスプーフィングせずに本物のIPを使用するので攻撃者の身元が割れる可能性があります攻撃のトラフィックもパソコン上でソフトウェアを実行していた数百人のボランティアたちも全体的にそれほど洗練されていたわけではありませんほとんどのボランティアたちは LOICが発信元のパソコンやIPアドレスを匿名化する機能を備えていないことを全く知りませんでした実際 DoS / DDoS 脅威の大半はアノニマスの内部のメンバーつまりボランティアよりも高いスキルを持つハッカーたちによるものでした攻撃がTorなどの匿名化ネットワークを経由していない場合受信者は追跡可能なIPアドレスの記録を取ることができますこの情報を使って ISPが保管しているログをもとに DoS / DDoSに参加した個別のユーザーを特定することができますアメリカを含む複数の国では IP 情報に基づき攻撃者への法的措置が取られています 2011 年 1 月 27 日には Operation Payback の攻撃に関連してイギリスで5 人が逮捕されましたまた2011 年 6 月には Web 攻撃に関与した3 人のLOICユーザーがスペインで逮捕されました 2011 年 6 月 14 日には国レベルでのインターネット検閲の導入に抗議して政府のWebサイトを攻撃した容疑でトルコ

警察が32 人を逮捕したという報道がありましたこれらの個人は抗議活動の一環としてLOICツールを使ったアノニマスのメンバーであるとされていますこのような事件のために 2011 年の終わりにかけて LOICの人気は下火になっていきました LOICのハイライト 2011 年にアノニマスが使った主要な攻撃ツールです Mobile LOIC 素人でもDoS / DDoS 攻撃に効果的に参加することが可能になります単一の組織でもハイブマインドモードを利用すればすべての参加者をIRCチャンネル経由で単一のターゲットに集中させることができますアノニマスはソーシャルネットワーク Facebook Twitter RSSなどでツールを使用する参加者を募集していますこのツールは参加者を匿名化せず参加者の本物のIPを開示し結果的に逮捕や起訴につながる可能性もあることから危険です図 20:Mobile LOI Mobile LOICは LOICのオンライン Web 版です Javaのスクリプトをベースとし HTMLページ内で提供されているHTTP DoSツールで Webリクエストを生成するループを実行する100 行のシンプルなコードによって構成されていますそのオプションは非常に少なく HTTPフラッドしか実行できません適当なメッセージをテキストに加えることができますパソコンで使用するLOICと異なり URLのランダム化やIRCボットネット( ハイブ )による遠隔制御などの複雑なオプションには対応していませんこのツールは様々なブラウザ上で実行でき遠隔アクセス可能な柔軟性を備えています攻撃のオーガナイザーは通常ページをホストしているWebサイトのURLを投稿しこのツールを使って特定のターゲットを攻撃するよう他のユーザーに呼びかけます HTMLページがWebサイト上でホストされている場合は Webブラウザだけでも攻撃が可能なため攻撃者はスマートフォンを使って攻撃を行うこともできます関連リンク LOIC ウィキペディア低軌道イオンキャノンへの対策ヨタムベンエズラ

Mobile LOICのハイライト LOICのモバイル版はインストールが不要で Webブラウザさえあれば使用できるためスマートフォンやタブレットでも実行可能です UDPおよびTCPフラッドには対応しておらず HTTPフラッドのみに対応していますホストブラウザを使用することで多くの面で正規リクエストと似たリクエストを生成できます LOICと同様ホストの本物のIPを使用します基本的なWebチャレンジはクリアできますが URL 内に不変の部分があるためこれを使って攻撃を検出することができます関連リンク Mobile LOICは以下の3つのパラメーターを設定するだけで実行できるため操作がとても簡単ですターゲットのURL 攻撃するターゲットのURL を指定します http:// から始まります 1 秒あたりのリクエスト数 1 秒あたりに送信したいリクエストの数を指定します付加するメッセージ HTTPリクエストのURL 内で送信するメッセージパラメーターの内容を指定しますツールの検出このツールはLOICと同様攻撃者の本物のIPを使用しユーザーの識別情報を開示してしまうため安全でないと考えられていますさらに送信される各 HTTPリクエストには IDパラメーターが含まれていますこのパラメーターの値は時間によって変わりますが最初の数バイトは今後数年間変わりませんこの値を使って攻撃のトラフィックを確実に検出し緩和することができますしかしこのツールは LOICを含む他のほとんどのツールよりもリダイレクトやCookieなどのHTTPWebチャレンジを巧みにクリアすることができます(Webチャレンジについては攻撃緩和技術のセクションで詳述 ) Mobile LOICはアクセス元のブラウザのHTTP 実装を利用するため例えばリクエストのHTTPヘッダーはブラウザの設定によって決まります他の攻撃ツールは自らのHTTPレイヤーを実装するため通常チャレンジをクリアできませんこのシンプルなアプローチでは本物のブラウザから攻撃が行われるため Mobile LOICと正規ユーザーを区別するのは困難です Mobile LOICへの対策ヨタムベンエズラ R.U.D.Y.(R-U-Dead-Yet) 近年ではスローレート攻撃が注目を集めています SlowlorisやSockstressなどのツールは設計上の弱点を突き驚くほど低レートのフラッドでDoSを引き起こすことができます ApacheやApacheベースのWebサーバーしか攻撃できないSlowlorisと異なり R.U.D.Y.はあらゆる Webサイトを攻撃できます R.U.D.Y.の名前はチルドレンオブボドムのアルバム Are You Dead Yet? に由来していますスローHTTP POSTリクエスト (2010 年 11 月に公開 )として知られる新しいWebサイト攻撃技術が実装されていますインタラクティブなコンソールメニューで動作し任意のURL 内のフォームを自動的に検出しますユーザーは POST 攻撃でどのフォームやフォームフィールドを使用するか選択することができます

正規ユーザー各パケット間で 10 秒の遅延攻撃者図 21:R.U.D.Y. 関係図このツールは HTTP POSTリクエストを送信しますがリクエスト全体を単一のパケットで送るのではなくデータを分割して1バイトごとに送りますサーバーのリソースを消耗させるため 1バイトごとにパケットを分け 10 秒間隔で送信します Webサーバーはその基本的な挙動として HTTPヘッダーが送信を完了するまで待つ性質を備えていますサーバーはコンテンツ長フィールドのルールに従いメッセージ本文全体の送信が完了するまで待つ必要がありますこの挙動により Webサーバーは遅い接続や間欠的な接続を利用しているユーザーに対応することができますこのようにサーバーが接続を開いたままにしておくため攻撃者はこの性質を利用し Webサーバーの接続数の上限に達するまで多数の接続を同時に開くことで DoSを発生させますフォームを備えているあらゆるWebサイトつまりHTTP POSTリクエストを受け付けるWebサイトはこの種の攻撃に対して脆弱です R.U.D.Y.のハイライト 2010 年 11 月に公開された設計上の弱点を突くツールです比較的少量のトラフィックを生成することで D o Sを引き起こせるスローレート攻撃ツールです HTTP POSTリクエスト全体を一度に送信するのではなく 1 0 秒間隔で 1 バイトずつ送ることで接続を長時間維持しますサーバーのリソースの上限に達するまで多数の接続が同時に繰り返し開かれますこのツールはより少ない接続でサーバーのリソースの上限に到達し大きな被害を与えることができるため非常に効率的ですその意味でスローレート攻撃はぴったりの名前ですホストのハードウェアの機能にかかわらずサービスを妨害できますしかしこれらの攻撃は各 1 バイトのデータを含むパケットを間欠的に送信することによって行われるため異常なトラフィックとして検出することもできます関連リンク H...t...t...p...p...o...s...t - ウォンオンチー&トムブレナン

THC-SSL-DoSのハイライト SSLレイヤーを直接攻撃します非対称攻撃サーバーに攻撃者の15 倍のリソースを消費させます攻撃者は SSL 再ネゴシエーションオプ THC-SSL-DoS このツールでは 1 台のコンピューターを使ってSecure Sockets Layer(SSL) 実装の有名な弱点を狙い Webサーバーをオフラインにしますインターネットに接続された1 台のコンピューターさえあればこのツールで攻撃を成功させることができますその理由はこの攻撃が非対称であるからですつまり単一のクライアントリクエストでサーバーに通常の15 倍のリソースを消費させることができますションを利用することにより同じ接続で大量の再計算を繰り返し行わせますまた単純に新しい接続を開くだけでも同じ効果が得られますスローPOST Mobile LOIC THC-SSL-DoS HTTP SSL SYNフラッド TCP/IP 関連リンク THC-SSL-DOS 公式サイト The Hacker s Choice ウィキペディア非対称攻撃攻撃者が比較的少量のリソースで不釣り合いなほど大量のリソースを被害者に消費させることができる場合そのDoS / DDoS 攻撃は非対称攻撃であると考えられます被害者が消費することを強いられるリソースの例としてはメモリ CPUの処理作業帯域幅が挙げられますこれらの攻撃は増幅攻撃とも呼ばれます ICMPフラッドネットワーク図 22:THC-SSL-D0S このツールは特にSSLレイヤーをターゲットにします SSLは一般に機密データをサーバー間またはサーバーとエンドユーザーの間で転送する際にデータが他者に見られてしまうことを防ぎます具体的には SSLハンドシェイクと呼ばれるプロセスの中で安全なチャンネルを確立します CPUを消費するSSLハンドシェイクは 1 回のみ行われるのでサーバーは頻繁なSSLハンドシェイクに対応するよう設計されていませんしかしこのプロトコルには新しい秘密鍵を作成する際に使用する再ネゴシエーションオプションがあります THC-SSL-DoSツールは SSL exhaustion として知られる状況 ( 鍵の再ネゴシエーションを繰り返す)を作り出すことでサーバーを攻撃しますこの攻撃では再ネゴシエーションによりサーバーのCPUは攻撃者よりも15 倍のリソースを消費するよう強いられその意味で非対称な攻撃が行われますたとえサーバーが再ネゴシエーションオプションに対応していなかったとしても攻撃者は代わりに新しいSSL 接続を開き同じ効果をもたらすことができますしかしこの攻撃は短時間のうちにSSLハンドシェイクが頻繁に行われることから検出可能です

攻撃の種類説明消費するリソースの種類 DNS 増幅 DNSリクエストのサイズは DNSリプライよりも本質的に小さいと言えます回答が長いQNameを注意深く選択することであるいはDNS 結果を制御することでも攻撃者は最大 80 倍の効果を実現できます帯域幅 DNS 反復攻撃 DNS 反復リクエストは簡単に生成できますこれによってDNS サーバーは他のDNSサービスにクエリを行い新しいリクエストを生成し回答を待ってからクライアントに答えます複数種 SNMP 増幅 SNMP Get-Bulkリクエストはサーバーに大きなデータの応答を送らせます帯域幅 SNMPアタックはそのためのツールとして知られています

09 攻撃緩和技術概要 DoS / DDoS 攻撃の被害を受けるインターネットサイトは常に存在するためリスクを管理することが重要ですネットワークセキュリティによりなるべく素早く攻撃を特定し分析し緩和する必要があります攻撃が検出された場合の最初のステップは攻撃を特定しその特徴を調べ定量化することです攻撃をより早期に特定し緩和することで被害もより軽減できますほとんどのインターネットサイトで長年にわたって展開されている標準的な保護デバイスとしてはルーターファイアウォール IPS 専用のDoS / DDoS 緩和システムなどが挙げられますこれらのツールは広く普及していますまたMulti- Router Traffic Grapher(MRTG)はネットワーク上のトラフィック負荷を監視し測定します本セクションでは DoS / DDoS 攻撃を緩和するために実際に使われているテクノロジーについて解説しますラドウェアのセキュリティ調査 ERTの実地経験様々な組織との全般的な意見交換などから得られた情報を組み合わせて説明します攻撃緩和テクノロジーサービスおよびネットワーク容量の拡大ブルートフォース攻撃を受けた組織は攻撃の最中にコンテンツ配信ネットワーク(CDN)にアプローチしてサイトをホストしてもらうことでトラフィック容量を比例的に増やすことができます CDNはアクセス帯域幅と冗長性を拡張してデータへのアクセスを向上しアクセスレイテンシを減らすことにより攻撃を克服できる容量を備えていますこの手法はシンプルで洗練されていませんが実用的なソリューションで一定のコストがかかります問題はダイナミックページでこれらはCDNでは保持されないためこれらのページが攻撃を受けた場合このソリューションは役に立ちませんしかし仮想化とクラウドベースのサービスの普及が進んでいることからこのソリューションは今まで以上に頻繁に利用されるようになってきています

もう1つのソリューションは社内でハードウェアを追加してWebサーバーの容量を拡大することですこれはほとんどの組織にとって有用性が比較的低い選択肢ですが Webサーバーが非常に弱いサイトには防御レイヤーをもう1つ作るという意味でも推奨できます例えば多くの政府系サイトは正規ユーザー率が低いため非常に弱いサーバー(1 秒あたり1,000 件のHTTPリクエストに対応できないサーバーなど)で実行されていますこのようなサイトが攻撃を受けるとたとえ保護機構が機能している場合でも緩和対策を回避した一部の攻撃によりサービスがダウンしたりサービスの質が低下したりすることがありますレート制限と帯域幅管理このテクノロジーでは一部のトラフィックのみを目的地へ届けその他のトラフィックはドロップします例えばある組織は DNSサーバーで1 秒あたり10,000 件のリクエストのみを受け付けていますこれによりサービスを維持し挙動を予測の範囲内に収めることができますより洗練されたレート制限では 1つのIPや接続あたりのアクションを設定できますレート制限は攻撃の影響を抑え予測の範囲内に収められるだけでなく DoSにつながる可能性がある正規トラフィックも低減できる重要な技術です洗練されたレート制限は攻撃を極めて予測可能な形に封じ込めることができるため今後も効果的な手法として利用されていくでしょうレート制限は通常初期対応として使われます攻撃を素早く緩和し少なくとも部分的にサービスを復旧させることができるからですこれを実現することでその他のより外科的なテクノロジーを利用できる余地が生まれます振る舞い検知型の保護このテクノロジーは攻撃の最中のトラフィックを分析します共通のパターンを見つけてリアルタイムのフットプリントを作成することで攻撃をブロックしますほぼすべての攻撃には独自のフットプリントパターンがありそれを使ってブロックできるという考え方がベースとなっていますしかしユニークなリアルタイムのフットプリントを特定する作業は予測可能なプロセスではありません一部のケースではフットプリントは正確で攻撃のみをブロックできますその他のケースではフットプリントが広すぎるか狭すぎるため誤検出や検出漏れが生じます DoS / DDoS 攻撃下では一定の誤検出や検出漏れは許容できますがそうなると顧客はチャレンジベースのテクノロジーを支持するようになりますにもかかわらず攻撃者は若干の努力をすればチャレンジをクリアできるためやはり振る舞い検知型の保護が唯一の有効で確実な攻撃緩和テクノロジーということになりますそのためこのアプローチは防御者の全体的な戦略の中で重要な役割を持っています最大のメリットが得られる方法の1つは振る舞い検知型のテクノロジーとチャレンジベースのテクノロジーの両方を組み合わせることです最初に振る舞い検知型のテクノロジーで攻撃の特徴を把握してからそのフットプリントを作成して分類します次に攻撃をブロックする代わりにチャレンジベースのテクノロジーによって緩和しますこれによりネットワークへの干渉を最小限にとどめることができます

チャレンジこのテクノロジーは攻撃をリダイレクトします攻撃の最中例えば緩和技術で同じページにHTTP 302リダイレクトを送ります通常のブラウザを使用している正規ユーザーはこのチャレンジに対して応答しますが攻撃者のスクリプトはこのチャレンジに対しては上手く対応することができません HTTP DNS TCPでは他の種類のチャレンジも利用できますこのテクノロジーは予測可能で大半の攻撃に対して効果的ですしかし執拗な攻撃者は攻撃ツールを修正してチャレンジをクリアすることもあります( 検出漏れ) またチャレンジをクリアできない正規のクライアントブラウザスクリプトをブロックしてしまうこともあります( 誤検出 ) セキュリティポートフォリオでこの種のチャレンジを提供しているソリューションは増えていますなぜならチャレンジの性質上正規クライアントをブロックしてしまうことがあってもその挙動は極めて予測可能であり DoS / DDoS 攻撃の発生時には一般に許容できるという意味でチャレンジは非常にクリーンなテクノロジーであると考えられているからですステートフルインスペクションこのテクノロジーはプロトコル状態に合致しない多くのフラッド攻撃をブロックすることができます例えばFIN+ACKフラッドは SYNパケットが事前に送られないためブロックされますこのテクノロジーは予測可能で特定種類の攻撃に対して非常に効果的ですしかしもちろんプロトコル状態に合致している攻撃をブロックすることはできませんまた他の保護対策と比べるとより多くのリソースを消費するため大量のフラッドに対応するのは困難です地理情報検知型の保護この技術は攻撃者の地理的な所在 ( 国 )を特定しこれらの地域をブロックしますこれはほとんどの場合手動で行われますこれは攻撃を抑制する予測可能かつ効果的なアプローチで初期対応の1つでもありますしかしこれらの地域からアクセスする正規ユーザーもブロックすることになるので攻撃者が広く分散している場合は効果的ではありませんグローバルな組織にとっては効果が薄い手法です例を挙げると ERTが対応したあるケースでは攻撃を受けた顧客が自国以外のすべての国からのユーザーをブロックしましたこれによってサービスは営業ができるレベルまで復旧しましたが会社の経営陣はこの保護対策を3 日以上継続することを認めませんでしたこの顧客はその間に次のオプションを検討する必要がありました ACLとRTBH 単純に言えばブラックリスト作成と定義できるACLでは攻撃のSRC IPやネットワークを手動で検出しブロックします Remotely-Triggered Black Hole(RTBH)はルーターで実施するACLの一種です手動検出の作業ではセキュリティのエキスパートやネットワークエンジニアが攻撃者のIPを見つけてブラックリストに載せる必要がありますこの手順そのものはシンプルかつ予測可能で効果を発揮する場合もありますしかしフラッドが分散している場合や攻撃が正規トラフィックと混ざっている場合は効果が不十分ですこのアプローチはあくまで個別の攻撃に対するソリューションです ERT の経験では手動によるブラックリスト作成のみを行うのは対策として不十分で複数の保護対策のうちの1つとして用いれば効果を発揮する場合があります

シグネチャ(Flowspecを含む) 攻撃の特徴を把握したらどのトラフィックが悪質で排除するべきか判断するのに役立つシグネチャ ( 別名フットプリント )を作成することができますほとんどのシグネチャは DoS / DDoS 攻撃緩和システム IPS FW およびルーター (Flowspec)に内在しています DoS / DDoS 攻撃に対するシグネチャはサービス( 最も一般的なのはIPS 製品 )として事前に提供されるか攻撃の最中に通常はセキュリティのエキスパートによってリアルタイムで作成されます例えば前章ではシグネチャを使ってMobile LOICを検出する方法を説明しました(HTTPリクエスト中の一定のパターン) 主なデメリットは攻撃作戦の最中に攻撃のベクトルやパターンが常に変化してシグネチャが決まらない場合には対応が難しいという点ですそれでもこの手法で一部の攻撃をブロックすれば他のテクノロジーを使って残りの攻撃をブロックしやすくなります最も一般的なDoS / DDoS 緩和テクノロジー説明メリットデメリットネットワーク容量の拡大シンプル高コストレート制限予測可能でサービスをダウンさせない正規トラフィックについてもドロップしてしまう振る舞い検知型ほとんどの攻撃には何らかのフットプリントがあるので検出可能予測不能特に攻撃が正規トラフィックと似ている場合はフットプリントが正確でないことがあるチャレンジチャレンジの大半は予測可能で効果的洗練された攻撃はチャレンジを突破することもステートフルインスペクションフラッド攻撃をブロックリソースを消費 ACL( 地理情報検知型の保護 ) 特定地域からのアクセスを予測可能な形で効果的にブロック正規ユーザーについてもブロックしてしまう ACL(その他 )とRTBH 予測可能でシンプル大量のフラッドに対して効果的でない Flowspec シグネチャやフットプリントを作成して攻撃をブロック攻撃パターンを特定する必要あり帯域幅管理テクノロジー予測可能で攻撃を抑制できる正規トラフィックを排除洗練された攻撃に対して効果的でない

テクノロジーの効率性ラドウェアのセキュリティ調査 : 攻撃緩和テクノロジーの実際の使用状況 20% 19% 14% 11% 9% 8% 7% 5% 3% 3% 1% 緩和策なしレート制限振る舞い検知型の保護ステートフルインスペクション帯域幅管理 ACL(その他 ) ACL( 地理情報検知型の保護 ) サービスおよびネットワーク容量の拡大チャレンジ(Webチャレンジなど) Flowspec RTBH 図 23: 単一のテクノロジーだけではDoS / DDoS 攻撃をブロックできません完全な防御を実現するために必要なのは様々な技術を組み合わせて使用することです図 23はラドウェアのセキュリティ調査に基づきさまざまなテクノロジーの実際の使用状況を示しています回答者には彼らがどんな攻撃を経験したか( 最大 3つ) それらをブロックできたかどうかおよびどんなテクノロジーを使ったか質問しました実際の保護対策としては効率性と可用性の兼ね合いでテクノロジーが選ばれていることが明らかになりました比較的新しいチャレンジテクノロジーなどよりも以前からあるレート制限振る舞い検知型の保護ステートフルインスペクションといったテクノロジーが多く利用されているのはそのためですしかしいわゆる特効薬が存在しないことも分かっています DoS / DDoS 攻撃を防ぐためのソリューションは複数の異なるテクノロジーで構成されなければなりませんそれが多種多様な攻撃緩和テクノロジーが存在していて必要とされている最大の理由となります顧客はそれぞれ異なるニーズを持っている例えば WebチャレンジはHTTPフラッドに対して非常に効果的なソリューションで現在ではほとんどのHTTPフラッドを防ぐことができますある顧客はこのソリューションを支持し称賛するかもしれませんがこのソリューションを決して活用しない顧客も存在しますなぜなら正規のスクリプトや自社環境で一般的に使われているその他のアプリケーションもブロックしてしまう可能性があるからです各テクノロジーの守備範囲は限られている各テクノロジーはそれぞれ一部のDoS / DDoS 攻撃にしか対応していないため部分的なソリューションにしかなり得ません例えば SYN cookiesは L4チャレンジをベースとする優れたテクノロジーですが SYNフラット以外には対応していません非対称ネットワーク非対称ネットワークではデバイスですべてのトラフィックを確認できる保証がないため一部のテクノロジーでは制約が発生します例えばチャレンジベースおよび状態ベースのテクノロジーでは 2 種類のパケットを確認する必要がありますが確認できる保証がないためテクノロジーとして成立しませんしかしながら非対称ネットワーク( 特にインバウンド方向 )に特化したテクノロジーについてはこの限りではありません

10 DoS / DDoSは戦争である DoS / DDoS 攻撃は字義通りの戦争や戦闘とも似ているためセキュリティスタッフは攻撃や対応について話す際しばしば戦争用語を使用します攻撃カウンターアタック防御策情報収集などについて議論する場合は仮想上の戦いではなくまるで地上戦が行われているかのように話します戦争用語には悪い意味合いが含まれていることもありますが状況を説明する場合は最適な言語です攻撃者はターゲットを視認できます攻撃は爆撃と似ており相手に深刻な被害を与えます攻撃は数時間のこともあれば数日にわたることもありますこの期カウンターアタック DoS / DDoS 攻撃はこれまで悪意あるパケットをブロックすることで抑えられてきましたしかしその他の方法でDoS / DDoS 攻撃を止めることも考えられます最近では防戦一方の戦略は攻撃者が常に有利になってしまうので最も有効なアプローチではないことが分かってきましたサイトを保護するためには何らかの攻撃のアクションを取ることが効果的です攻撃者に対する攻撃はカウンターアタック ( 反撃 )と呼ばれます DoS / DDoS 攻撃について話す際は論理的な思考を助けるためしばしば戦争用語を使用します戦争では攻撃を受けたらカウンターアタックを行うのが普通ですしかしこれには多くの問題があります DoS / DDoS 攻撃は本質的に非対称的な戦争で防御者は法律を守る組織ですが攻撃者はそうではありませんたとえ相手が違法な存在であっても社会的地位のある組織が法律に反する可能性がある反撃作戦を行うという考えは当然ながら法的倫理的問題を伴います間中は両サイドとも戦術を忙しく操作したり修正したりしています 2011 年の状況のように攻撃が複雑になればなるほど仮想上の攻撃は実世界の戦争と似てきます戦争で土地に被害が出るように仮想上の戦闘ではインターネットに被害が及びます

保護されているデータセンターの領域サービスプロバイダーの領域攻撃者の領域カウンターアタック分散型の攻撃作戦図 24:カウンターアタック誤解を避けるためにカウンターアタックという用語を明確に定義する必要があります当社の定義ではカウンターアタックとは攻撃者による攻撃の成功確率に影響を及ぼすあらゆる行為を意味します DoS / DDoS 攻撃の場合カウンターアタックとは攻撃の効果に影響を与えること(パーセンテージで示す)を意味し理想は相手の攻撃力を完全に (100%) 無力化させることですカウンターアタックには多くの方法があり最も効果的なのは攻撃者のコンピューターネットワークを逆にハッキングして干渉を止めさせることですしかしこの行為の適法性には疑問が残ります反撃に出るためのもう1つの方法は攻撃者側のISPに攻撃をブロックするようリクエストすることですこのアクションは違法ではありませんが時間がかかるため実行できた頃には既に戦争が終わっていることもありますファイアウォールやIPSなどのセキュリティシステムは脅威が検出された場合さまざまな応答を送ることができます例えば検出されたDoS 攻撃のパケットは攻撃で既に生成されているトラフィック以上のトラフィックを生成しないことからひそかにドロップ(サイレントドロップ)することができますその他のケースでは攻撃にTCP RSTパケットが送られたら接続をリセットし攻撃の接続を遮断できますいずれにしても攻撃者のIPを一時的または恒久的にブラックリストに載せることができます非常に興味深い点として DoS 攻撃ツールは以上のような基本的なアクションを送り返すとさまざまな応答を返してきます各攻撃ツールを注意深く研究することで最も効果的な対応 ( 遅くさせたり停止させたりする)を見つけられる可能性があります以下のグラフに示されている通り攻撃が検出された後でも攻撃者はトラフィックを送り続けましたサイレントドロップによる攻撃緩和策では一部のトラフィックしか停止できませんでしたしかしカウンターアタックドロップとRST の図では攻撃のトラフィックが減っていることが分かります

セキュリティ研究者は攻撃緩和システムが攻撃者に対して実行できるさらに変わったカウンターアタックのアクションも研究しているところですあるTCP 応答を利用すると攻撃側に影響を与えられる可能性があります具体的には相手にパケットを送りウィンドウサイズがゼロであると知らせますつまり送信者に対して新しい情報を入れるスペースがないというメッセージを送ることになります正規クライアントは通常そのメッセージを考慮して通信を一時停止します攻撃者も同様にこのメッセージを考慮して新規により大きなウィンドウサイズが利用可能になるまで攻撃を一時停止することがあるようです(もちろん攻撃を受けているサイトがウィンドウサイズを拡大することはありません) 図 27によるとこの攻撃緩和対策は他の対策よりも有効でまたサイレントドロップよりもはるかに効果的であることが分かります図 25:カウンターアタック LOICに対するサイレントドロップの効果サイレントドロップのアクションは LOICツールを部分的にしか抑えられていません結論として今後はDoS / DDoS 攻撃を防御し吸収するだけでは不十分かもしれません悪意あるトラフィックやサイトをダウンさせようという試みに対して反撃しカウンターアタックを実施することができればハッカーたちとのイタチごっこのような戦いを従来よりも公平な立場で行えるようになるかもしれません攻撃が今まで以上に強力になり洗練されてくるにつれてこの能力はさらに重要になってくるでしょう図 26:LOICに対するドロップとRSTの効果 RSTのアクションの方が LOICツールを抑えられています詳細セキュリティ対策は防御だけではないアヴィチェスラセキュリティ? 防御攻撃それとも両方? カールハーバーガー Mobile LOICへの対策ヨタムベンエズラ低軌道イオンキャノンへ(LOIC)の対策ヨタムベンエズラ図 27:カウンターアタック LOICに対するウィンドウサイズゼロの効果このアクションは LOICを完全に抑えていますカウンターアタックの重要性通常防御者に対して攻撃者が常に持っている優位性を排除します攻撃者がどこにいても物理的精神的にリソースを消耗させることで当初の予定よりも早期に攻撃を放棄させますすべてのネットワーク領域の境界線を超えエンドツーエンドで攻撃トラフィックを一掃します防御側のネットワーク領域を仮想的に拡大し攻撃側まで到達させます

11 まとめネットワークおよびセキュリティコミュニティへの提案本レポートは 2011 年のセキュリティトレンドについて解説しています主にラドウェアのERTが実施した2つの調査の結果を説明していますこのまとめのセクションでは本レポートの内容に基づきラドウェアのERTの意見や提案を記述します DoS / DDoS 攻撃は2012 年も続く見込み全般に 2011 年は DoS / DDoS 攻撃がメインストリームに躍り出て攻撃が従来以上に複雑化した年となりましたこのトレンドは頭打ちになったか 2012 年も引き続き拡大するかはまだ分かりません 2011 年の終わりにかけて DoS / DDoS 攻撃は若干減少しましたがそれでもラドウェアのERTは DoS / DDoS 攻撃が今後なくなることはないだろうと考えています 2011 年にはDoS / DDoS 攻撃が広く普及しニッチ分野からメインストリームへと台頭してきました DoS / DDoS 攻撃は今後もセキュリティのニッチ分野に戻ることはないでしょう詳細についてはハックティビズムとアノニマスの台頭をお読みください APTの脅威は増大しており DoS / DDoS 攻撃はそのツールの1つとして利用されていますエストニアグルジア韓国などで行われた政治的なサイバー犯罪の攻撃では DoS / DDoS 攻撃が全体の中で重要な役割を担いました詳細については DoS 攻撃とAPTの類似性をお読みください DoS / DDoS 攻撃に備える常に大規模なDoS / DDoS 攻撃が仕掛けられるとは限りませんがそれでも攻撃緩和ソリューションを用意しておくことが重要です多くのシステムは安全性に問題がありますラドウェアのERTは多くの組織がDoS / DDoSソリューションを導入していないことを知っています DoS / DDoS 攻撃から身を守るためには何よりも攻撃を防ぐという強い意志が必要です詳細についてはさまざまな攻撃の規模をお読みください

安価なDoS / DDoS 保護機能はDoS / DDoS 攻撃緩和ソリューションとして不十分単一のDoS / DDoS 攻撃緩和機能を導入するだけでは不十分ですそれだけでは真のDoS / DDoS 攻撃緩和ソリューションになりませんそのことを証明するラドウェアのERTの短いケーススタディを以下に説明しますある組織は 2011 年に不意を突かれてDoS / DDoS 攻撃の奇襲を受けました攻撃者は執拗で攻撃を長引かせるために攻撃ベクトルの変更を繰り返していることが明らかに伺えました状況は深刻で組織はファイアウォールやIPSのプロバイダーを含む取引関係があるすべてのセキュリティ業者を呼び出しどの機能を使用すれば攻撃を止められるか? と尋ねましたこの組織はファイアウォールやIPS 単体ではDoS / DDoS 攻撃緩和ソリューションとして機能しないことを知らず導入済みのツールに誤った期待を持っていました導入済みのセキュリティツールは何らかのDoS / DDoS 攻撃緩和機能を備えていたため組織は偽りの安心感を抱いていましたがこれらの機能はDoS / DDoS 攻撃緩和ソリューションとは程遠い存在です例えば多くのファイアウォールは SYNフラッドを防ぐテクノロジーを備えていますが HTTPフラッドには対応できませんラドウェアの ERTは通常 DoS / DDoS 攻撃を受けて最初にダウンする可能性が高いセキュリティ製品を守るために召集されます詳細については最初にダウンするのはインターネットサーバーとは限らないをお読みください DoS / DDoS 攻撃緩和ソリューションの有効な位置づけ DoS / DDoS 攻撃に対して脆弱な各種のネットワーク要素をすべて守るためには一式のDoS / DDoS 攻撃緩和ソリューションが必要です基本的に DoS / DDoS 攻撃緩和ソリューションはトラフィックの経路内でネットワーク要素の最前段に配置する必要があります通常はファイアウォールの前に導入することでファイアウォールロードバランサーインターネットサービスその他の社内サーバーなどを守りますルーターは一般にフラッドを通過させることができるためルーターを守る必要はありませんしかし組織の領域内でどんなソリューションを展開してもインターネットのパイプが飽和して詰まることは防げませんこの場合は ISPが大規模なネットワーク攻撃を解消しパイプをクリーンな状態で維持できるかどうか確認することが重要ですその際は ISP 自身のDoS / DDoS 攻撃緩和テクノロジーに期待するかパイプの帯域幅を必要に応じて素早く拡大するサービスを利用します詳細については最初にダウンするのはインターネットサーバーとは限らないのケーススタディをお読みください複数のテクノロジーで構成されたDoS / DDoS 攻撃緩和ソリューションを利用さまざまな組み合わせの攻撃ベクトルと戦うためには複数のテクノロジーで構成されたDoS / DDoS 攻撃緩和ソリューションを利用する必要があります各テクノロジーはそれぞれ有効範囲が限られており 1 種類の攻撃にしか対応できません例えば WebチャレンジはHTTPフラッド SYN cookieはsynフラッドシグネチャはスローレート攻撃に対して最も有効ですあらゆる攻撃ベクトルから身を守るためにはさまざまな保護対策をブレンドした攻撃緩和ソリューションを利用する必要があります詳細については DoS 攻撃とAPTの類似性をお読みください攻撃ベクトルにはさまざまな種類がありますが攻撃の規模も実にさまざまです組織にとっては将来受けうる攻撃の規模を予測することは困難ですが予測を行うということは重要です例えばある組織は 2Gbpsのネットワークフラッド 2M PPSのSYNフラッドおよび1 秒あたりのトランザクション件数が100,000 件のHTTPフラッドに対する防御策を講じたいという希望を持っていたとしますこのような前提があれば組織はソリューションをテストし DoS / DDoS 攻撃緩和ソリューションが有効かどうか検証することができます詳細についてはさまざまな攻撃の規模をお読みください