BLOGAzureブログ

年々、サイバー攻撃の手口が高度化、巧妙化する中で、サーバーに過剰な負荷をかけることでサービスを妨害する「DoS攻撃」の進化形ともいえる「DDoS攻撃」の脅威に多くの組織がさらされています。防御のためには、日頃の対策が欠かせません。
そこで今回は、DDoS攻撃の概要、個人パソコンでの対策、Azure DDoS Protectionで保護する方法という基礎からAzureの活用法までご紹介します。

• 目次
• １．DDoS攻撃とは？DoS攻撃との違いと目的
• ２．被害事例多数！個人でできるパソコン対策
• ３．企業にはAzure DDoS Protectionで対策がおすすめ
• ４．まとめ

１．DDoS攻撃とは？DoS攻撃との違いと目的

DDoS攻撃とは、「Distributed Denial of Service」の略称で、直訳すると、分散型のサービス拒否攻撃となります。

DDoS攻撃を理解するには「Denial of Service」の略称であるDoS攻撃を知っておく必要があります。

●DoS攻撃とDDoS攻撃との違いとは？

DoS攻撃とDDoS攻撃との違いを一言で言えば、攻撃元のコンピューターの台数です。

DoS攻撃は、一つのコンピューターから特定のWebサーバーに大量のデータを送りつけるなどして、意図的に性能を低下させたり、サーバーをダウンさせたりするサイバー攻撃です。DDoS攻撃は複数台を踏み台（中継地点）として行われるため、DoS攻撃よりもさらに多くのデータが送られてきます。結果、攻撃された側から見ると、攻撃自体が高度で大規模な攻撃となり、そして踏み台サーバーが複数台あることから、攻撃者の特定がむずかしい上に、より過剰な負荷がかかってしまいます。攻撃に対して防ぐことができないことに、大きな金銭的被害や社会的信頼の失墜につながることもございます。

DDoS攻撃の攻撃者は、なぜそれほど多くのコンピューターを操れるのでしょうか。実は、マルウェアなどを用いて第三者のパソコンを乗っ取り、それらの複数のパソコンを使ってターゲットであるサーバーに攻撃を仕掛けているのです。

そのため、一般人も知らないうちにパソコンを支配下に置かれ、加害者になるリスクもあります。そのため、DDoS攻撃を考える上で個人は、被害者にならないだけでなく、加害者にならないための対策も必要となります。

●DDoS攻撃の目的は？代行業者の存在も

DDoS攻撃の目的は、個人的な嫌がらせや愉快犯、企業に対する私怨、クレームの発展形などに加えて、金銭目的、組織への抗議や社会的なメッセージの発信を目的とするものや、競合他社による営業妨害まで多岐に渡ります。

また、DDoS攻撃を代行する業者が海外に複数存在し、時間当たり数百円から数千円程度で、個人であっても攻撃を依頼することができるようになっています。そのため、日本からでも海外の代行業者を使って攻撃を仕掛けることもでき、より容易に行われて犯罪行為が行われてしまっています。

２．被害事例多数！個人でできるパソコン対策

DDoS攻撃には、特に大きなものでは、次のような被害事例があります。

・国内大手ゲーム会社へのDDoS攻撃

2011年に、Anonymous（アノニマス）という国際的ハッカー集団が、日本国内の大手ゲーム会社にDDoS攻撃を仕掛け、一時的にサービスが利用できなくなりました。

・パレスチナ爆撃抗議事件

2012年に、イスラエル軍によるパレスチナへの空爆に対して抗議するために、AnonymousがDDoS攻撃を行い、イスラエル政府や銀行系を中心に600ほどのWebサイトがダウンしました。

・TwitterやAmazonなどのネットインフラ企業へのDDoS攻撃

世界的な大企業のインターネットインフラ基盤をサービス提供する企業に2016年、DDoS攻撃が行われました。大手企業のTwitterやAmazon、PayPal、Netflixなどに大規模な障害が発生しました。

●普段からできる個人の対策

個人のパソコンがDDoS攻撃のために悪用されないためには、日頃からの行動が重要になります。次のことは最低限行っておきましょう。

・OSやアプリを常に最新の状態にしておく

利用しているパソコンのOSやアプリは、常にアップデートし、最新の状態に保っておくことで、脆弱性への対応になります。

・セキュリティ対策ソフトを導入する

セキュリティ対策ソフトをパソコンに導入することも欠かせません。常に最新の状態に保っておくほか、定期的にスキャンを行い、知らない間に攻撃の踏み台にされることのないようにする必要があります。

・不審なメールやWebサイトに注意する

マルウェアを送り込まれないためには、届いた不審なメールの添付ファイルを開かないことや、リンクをクリックしないこと、不審なWebサイトに立ち入らないことなどを意識し、注意しながら行動する必要があります。

3．企業にはAzure DDoS Protectionで対策がおすすめ

企業で手軽にDDoS攻撃を防止するには、どのような方法があるのでしょうか。対策として有効なのが、DDoS対策ツールの導入です。

これは、アプリケーションインフラを防御するもので、一般的にはWAF（Web Application Firewall）というファイアウォールを導入します。またMicrosoftのAzureといったクラウドサービスにおいても、攻撃を監視・軽減するサービスがあるため、それを利用することもできます。
その中でも、企業の対策には、AzureのDDoS攻撃対策機能「Azure DDoS Protection」がおすすめです。

●Azure DDoS Protectionで対策できるDDoS攻撃の種類

Azure DDoS Protectionは、常時のトラフィック監視とリアルタイムのリスク軽減により、一般的なネットワーク層攻撃からの保護を実現します。*ネットワーク層...通信機能を分割して、階層化した７つの階層それぞれに名前があり、ネットワーク層はレイヤー3の呼称。
例えば、DDoS攻撃の種類のなかでも、レイヤー3のネットワーク層とレイヤー4のトランスポート層を集中的に攻撃して、サーバーをアクセス不可などの状態に追い込む「プロトコル攻撃」や、大量のデータを送りつけたり、別の手段で大量のトラフィックを作成して送信したりする「帯域幅消費型攻撃」、Webサービスなどのユーザーに提供するアプリケーションリソースを枯渇させ、サービスに接続できなくすることを目的とする「アプリケーションレイヤー攻撃」などの攻撃から防御します。

●Azure DDoS Protectionの機能

Azure DDoS Protectionには主に、次のような機能があります。

・常時のトラフィック監視・攻撃の軽減

Azure DDoS Protectionを有効にすると、仮想ネットワークのすべてのリソースが監視・保護の対象になります。常時、トラフィックを監視して、DDoS攻撃の検知や軽減を行い、DDoS 攻撃がほぼリアルタイムで検出されます。攻撃が検出されると、すぐ自動的に攻撃を軽減する機能が働きます。

・攻撃の分析・ログ提供

攻撃中は、5分ごとに詳細なレポートが提供され、攻撃終了後には攻撃全体の概要レポートが提供されます。また、攻撃中は、ほぼリアルタイムで監視されているDDoS軽減フローのログを、オフラインの「セキュリティ情報イベント管理（SIEM）システム」にストリーム配信する機能もあります。

●プランはBasicとStandardの2種類

Azure DDoS Protectionには「Basic」と「Standard」の2つのプランがあります。

・Basicプラン

追加コストなしで利用可能できるプランです。
Azure DDoS Protectionを有効化することで、アプリケーションごとの設定変更なしで、Azure上のリソースやサービスがDDoS攻撃から標準で保護されます。ただし、攻撃分析レポートは受け取ることができません。

・Standardプラン

追加料金を払うことで、DDoS 攻撃の保護をより強化できるのがStandardプランです。
攻撃分析レポートやログの取得のほか、アラート設定、利用状況データのテレメトリを表示する機能、Basicプランにはない機能を利用できます。*テレメトリ...稼働データのこと。
例えば、「DDoS Protection Plan」という保護ポリシーを作成して適用すると、仮想ネットワーク内のすべてのリソースが保護されるほか、状況を「Azure Monitor」というツール上でリアルタイムに確認したり、アラートを設定して監視したりすることができます。
Azure DDoS ProtectionでよりDDoS攻撃を強化したい場合には、Standardプランがおすすめです。

4．まとめ

DDoS攻撃は、年々高度化、巧妙化しており、代行業者も存在することから、個人をはじめとした誰もが実行できる可能性のある脅威の大きいサイバー攻撃です。その被害は甚大なものになっており、企業にとって防御策は欠かせません。
DDoS ProtectionのあるAzureを利用し、Standardプランでさらに強化するのが最もおすすめの方法です。