2024年12月下旬から25年1月上旬にかけて、DDoS攻撃が複数の国内企業を襲った。標的となったのは、大手航空会社や金融機関など。攻撃によってサービスの提供ができない状況となり、日本の社会は大きな影響を受けた。DDoS攻撃の大規模化、巧妙化が進む背景には、「ボット」と呼ばれるマルウェアの存在など、さまざまな原因がある。激しさを増すDDoS攻撃に、企業はどう対峙すべきか。
（取材・文／岩田晃久）
 

拡大するボットネット

　Webサーバーなどに対して大量の通信を行いサービスの提供を妨げる「DoS（Denial of Service、サービス拒否）攻撃」。このDoS攻撃を、分散された（Distributed）複数のコンピューターから大量に行うのがDDoS攻撃となる。DDoS攻撃を受けた場合、Webサイトにアクセスできなくなったり、通信が遅延したりするため、組織には経済的な被害に加え信頼面でも大きな影響を及ぼす。

　DDoS攻撃を行う攻撃者は、政治的あるいは社会的な主張や目的のために攻撃を行うハクティビスト、企業への嫌がらせや金銭要求を目的とする者、愉快犯などだ。そのため、政府機関、大企業などさまざまな組織が標的とされる。ダークウェブでは、DDoS攻撃の代行サービスが売買されており、専門的な技術や機器を持つ攻撃者でなくても容易にDDoS攻撃を実施できる状況になっていることにも注意したい。

　近年のDDoS攻撃は大規模化が進んでいる。その原因は、コンピューターを外部から遠隔操作するための不正プログラムであるボットの存在だ。近年増加しているIoTデバイスや、サーバーなどのぜい弱性を突いてボットに感染させることで、それらのIT機器はDDoS攻撃のツールとなる。代表的なボットウイルスが「Mirai」だが、最近はMiraiの亜種のウイルスも確認されており、ボットに感染するデバイスや機器は増大している。デバイスがボットに感染すると、ネットワークを介してほかの端末にも広がり、それらの端末が組み合わさるかたちで「ボットネット」を構成することで、攻撃者はC＆Cサーバー（攻撃の指令を送るサーバー）から多くの感染機器を一括で簡単に操作し、DDoS攻撃が行える。

　また、「DNSアンプ攻撃」「DNS増幅攻撃」などと呼ばれる、DNSサーバーが踏み台となる手法もDDoS攻撃では用いられる。攻撃者は発信元のIPアドレスを偽装してDNSサーバーにIPアドレス要求パケットを送信し、DNSサーバーは、偽装された発信元のIPアドレスに大量の応答パケットを送る。DNSの特性上、送信時よりも応答時の方がパケットサイズが大きくなるため、標的となったサーバーには大きな負荷がかかることから、Webサービスにとって大きな脅威となる。
 
　ADC（アプリケーション配信コントローラー）やDDoS対策製品などを手掛ける米A10 Networks（A10ネットワークス）日本法人の高木真吾・ビジネス開発本部長兼エバンジェリストは「攻撃を受けるリスクと攻撃に加担するリスクの両方があるため、自組織の内部と外部の“DDoS武器”を把握する必要がある」と解説する。

　情報通信研究機構のセキュリティー組織であるサイバーセキュリティネクサスが発行した「NICTER観測レポート2023」では、DDoS攻撃の一種として、インターネット上のDNSやNTPなどのサーバーを悪用して攻撃対象に大量のパケットを送付し、攻撃対象のネットワーク帯域を圧迫する「DRDoS攻撃」が、22年の3465万件から23年は5561万件へ大幅に増加したとし、DDoS攻撃が活発化していることを明らかにしている。

攻撃ボリュームは過去最大規模

　24年末から25年初めに起きたDDoS攻撃を振り返ると、まず12月26日に日本航空（JAL）のネットワーク機器がDDoS攻撃を受け、飛行情報管理システムなどが利用できなくなり、多くの便が遅延や欠航を余儀なくされた。JALでは、原因となったネットワーク機器をシステムから切り離すことで復旧したものの、大きな被害を受けるかたちとなった。

　金融機関を狙った攻撃も目立った。JALが被害に遭った12月26日、三菱UFJ銀行のインターネットバンキングサービス「三菱UFJダイレクト」でサイトにアクセスがしづらい状況が発生。12月31日には、みずほ銀行で、個人向けの「みずほダイレクト」、法人向けの「みずほe-ビジネスサイト」の双方のインターネットバンキングサービスへの接続が不安定になった。2行はDDoS攻撃が原因としている。年が明けて1月6日には、三井住友カードが運営する会員向けのインターネットサービス「Vpass」にログインしづらい状態になった。同社はDDoS攻撃の可能性があるとみて、詳しい原因を調査中だとしている。DDoS攻撃とは明らかにしていないが、りそな銀行でも同様の被害が確認されている。
 
　そのほかにも1月2日にNTTドコモ、1月5日に日本気象協会がDDoS攻撃を受けたことで、サービス提供に大きな影響が出たとしている。これらは公表されている被害の一部であり、実際にはこれ以上に多くの組織にDDoS攻撃が行われた可能性がある。

　年末年始に起きた一連のDDoS攻撃について、米Akamai Technologies（アカマイ・テクノロジーズ）日本法人の中西一博・プロダクト・マーケティング・マネージャーは、L3（ネットワーク層）、L4（トランスポート層）を対象にした攻撃と、L7（アプリケーション層）を対象とした攻撃が混成されており、CDN（コンテンツデリバリーネットワーク）をバイパスする、IPアドレスの直打ちによるオリジンサーバーやネットワーク機器への直接攻撃といった動きが確認できたという。「攻撃手法が巧妙に変化していたため、緩和手法も柔軟に変える必要があった。このような場合、（DDoS対策製品の導入だけでなく）攻撃の変化に即応できる専門家による緩和戦略が必要だ」と解説する。

　今回、同社が観測したL3、L4を対象とした攻撃ボリュームのピークは、数十Gbps～数百Gbpsにおよび、国内事業者を標的としたDDoS攻撃としては過去最大規模だったという。また、L7へのDDoS攻撃は短いもので数分、長いもので60分程度だったとしている。中西マネージャーは最近の傾向として、「L7へのDDoS攻撃の場合、IoTボットネットではなく、高火力な攻撃を出せるCPUと回線を備えた、パブリッククラウド上のサーバーなどからの攻撃が観測されている。IoTボットネットへの対策だけでなく、さまざまな攻撃ソースに対する緩和戦略が必要であり、難しい状況になっている」と分析する。

複数の製品を組み合わせて防御

　脅威が拡大するDDoS攻撃には、どういった対策が必要となるのか。A10ネットワークスは、DDoS攻撃対策の統合ソリューション「A10 Defend Suite」を展開している。同ソリューションを構成する製品の一つである「A10 Defend Threat Control」（Threat Control）はSaaS型で、DDoS攻撃に特化したアタックサーフェスマネジメントが可能となる製品だ。自組織の管理下のIPアドレスを登録すると、攻撃を受けているのか、自組織のデバイスや機器がDDoS武器となり攻撃の準備をしていないかなどが把握できる。また、グローバルでどの国にボット化したデバイスが多いのかといった状況確認も可能だ。ボットやC＆Cサーバーに関するブロックリストの提供も行い、ブロックリストはA10ネットワークスの製品だけでなく、他社のファイアウォールやSIEM（Security Information and Event Management）などにも適用できるため、既に導入している製品を活用してDDoS攻撃を監視できるようになる。

　また、「A10 Defend DDoS Mitigator」「A10 Defend DDoS Detector」といったアプライアンス製品を提供しているのも同社の強みとなる。さまざまなDDoS対策製品を用意することで、「サービスプロバイダー、ゲーム、MSSP（マネージドセキュリティーサービス事業者）など業種ごとに最適な構成で（DDoS攻撃に対する）検知と防御が可能になる」と高木本部長は説明する。今後は、A10 Defend DDoS Mitigatorが搭載するAI・機械学習による防御機能「Zero day Attack Pattern Recognition」をクラウドから提供し、Threat Controlのユーザーが利用できるようになる。これにより、ダウンロードした防御フィルターを他社のセキュリティー製品にインポートして活用できるようにする、などの施策を予定する。

　アカマイでも、複数のDDoS対策製品を用意している。DNSに対する包括的なセキュリティー機能を提供する「Akamai Edge DNS」「Akamai Shield NS53」によりDNSサーバーに対するDDoS攻撃を防ぐ。ボリューム型のDDoS攻撃やL7を狙った攻撃に対してはWeb Application and API Protection製品の「Akamai App＆API Protector」が有効だ。「Akamai Prolexic」では、データセンターに向かうトラフィックを全て引き寄せて、クリーンアップして戻す仕組みを提供することで、年末年始の攻撃に見られた、IPアドレスを直接入力しCDNをバイパスする攻撃への対応が可能になるという。マネージドサービスの提供も行っており、24時間体制でインシデントに対応する。中西マネージャーは「防御層を何層か持ち、それぞれの攻撃に合わせて戦略を投入していくのが大切だ」とアドバイスする。

　DDoS攻撃対策をする上で、製品導入に加えて重要となるのが、「自社で対処基準の策定と事前準備を徹底することだ」（中西マネージャー）。例えば、DDoS攻撃の場合、海外からの攻撃が多いため、攻撃を受けた際に海外からのアクセスを一時的に遮断するといった意思決定や、システムの棚卸しをして正規化・回復手段を準備する、停止が許されないサービスと許容するシステムとの分離、アクセス回線の増速等の構成見直しなどがポイントになり、経営層を巻き込んで取り組むことが大切だ。中西マネージャーは「（DDoS対策は）BCPの一つだ」と見解を述べる。

　標的となる業種が拡大するなど、DDoS攻撃の脅威はますます拡大していくと予想されるが、多くの国内事業者は十分なDDoS攻撃対策を施しているとは言えない状況だ。年末年始の一連の事件により、DDoS攻撃を受けた際には、ビジネスに大きな影響を与えることが認知された。DDoS攻撃対策は重要テーマとして取り組んでいかなければならない。