企業サイトへのDDoS攻撃が短期間で多発

　ヨドバシカメラ、技術評論社、さくらインターネット、はてな、ニコニコ大百科ーー。8月下旬から、これらをはじめ20以上のサイトへの接続がしづらいという症状が断続的に発生している。「DDoS攻撃を受けた」、「ドメイン名の名前解決に使われる上位のDNSサーバーが攻撃された影響でつながりにくくなった」、「単なるネットワーク障害」など、各社公式の発表内容は様々だ。


　DDoS攻撃と聞いて思い浮かぶのは国際的なハッカー集団「アノニマス」である。実際アノニマスは「opkillingbay」というハッシュタグで、イルカ漁、捕鯨を行う日本に対する犯行予告を行っている。8月は大地町のイルカ漁が始まり、アノニマスが新たなターゲットを追加するなどの動きがあった。しかしopkillingbayのターゲットリストは、農水省、観光庁、その他政府機関、大学、自治体、空港、航空会社などがほとんど。そのため、今回DDoSの被害を受けている企業やサービスとの関係は薄いだろう。

　とはいえ、8月下旬から9月頭という半月程度の期間に、大手企業を含む多数のサイトがつながりにくくなる状況は国内ではあまり例がない。犯人はある掲示板に犯行予告のようなものを書き込んだが、現時点では犯人、攻撃背景に関する情報はあまり表に出てきていない状況だ。実際にDDoS攻撃への対処を行った標的企業のセキュリティ部門や、契約しているセキュリティベンダーなどは、攻撃元についてある程度の情報はつかんでいると思われるが、現時点では情報の整理・精査中か、特定には至っていないのだろう。

IPアドレスを変えても攻撃が続いた

　今回の事件では、DNSサーバーを利用（ハッキング）して、標的サイトに大量の応答データが標的サイトに送られるように仕向けるDNS amp攻撃も報告されている。

　標的に偽の応答データを送るDNSサーバーは、攻撃者がハッキングをしかける場合、自前で用意する場合など様々だが、今回は「オープンリゾルバ」と呼ばれるだれでも使えるDNSサーバーが利用されたようで、ターゲットの企業が対策してもすぐに攻撃が再開されるという事象が見受けられた。またあるサイトは、サーバーのIPアドレスを変更するという対策を施したが、ドメイン名を標的にしていたらしく、すぐに新しいサーバーへのDDoS攻撃が発生した。

　以前のコラムでも書いたが、DDoS攻撃は、トラフィックそのものは正規なパケットであるため、技術的な事前対策は難しい。本当にユーザーアクセスが集中してつながりにくいのか、背景に攻撃者の意図があるものなのか、トラフィックやパケットをみただけでは区別がつけられないのだ。

事前対策が難しいDDoS攻撃への解決策は

　単純なDoS攻撃なら発信元で遮断できるが、多数のホスト、IPアドレスからのトラフィックでサービスをダウンさせるDDoSの場合は攻撃パケットだけの遮断が難しい。

　その一方で、サーバー性能の向上、負荷分散技術の向上によって、並みのDDoS攻撃なら「ちょっと負荷があがったな」というくらいでやり過ごすこともできる時代になった。あるいは、回線契約を高い容量のものにしていたため、ターゲットにされたものの実害を出さずに済むこともある。

　クラウドサーバーの場合、急激なトラフィック増加にスケーラブルにリソースを拡大させることができる。当然、DDoS攻撃のようなトラフィック増加にも対応可能な機能だ。クラウドサービスプロバイダーによっては、DoS攻撃対策を意識した、スケーラブルな設定、フィルタリングまたはゲートウェイを設定できる場合がある。企業サーバーなど外部に公開していないリソースが攻撃に晒された場合、VPSによって社内リソースを切り離すという対策もある。詳細は、各クラウド事業者に確認するとよいだろう。

【次ページ】ターゲットにされた企業に生まれる別のリスク