DDoSのジレンマ:どうすればDDoS攻撃を防ぎ、減らせるのか

ネットワーク悪用

What is the Difference Between a Threat Actor, Hacker, and Attacker?” August 16, 2022 by Brian Chappell より

もう23年以上前のことですが、文献に残る限り最初のDDoS (Distributed Denial of Service)攻撃が発生しました。ミネソタ大学が114台のコンピュータから攻撃を受け、同大学のシステムが2日間にわたって壊滅状態になったのです。

現在に至っても、まだDDoS攻撃は存在し、もはや当たり前のように発生しているため、取り立てて話題に挙げられることもありません。これを書きながらNetscoutシステム (https://horizon.netscout.com)をチェックし、現在どれだけの攻撃が進行中なのかを数えてみたところ、その数は全世界で250以上(ピーク時は283件)にも跳ね上がりました。Netscoutの脅威レポート(https://www.netscout.com/threatreport) によれば、2021年には950万件の攻撃があり、最大級の攻撃は標的に対し612Gb/sの規模で行なわれました。

DDoSが消滅していないのは明らかです。20年以上も経っているのに、DDoS攻撃とそれを防ぐための策をどのように構築するか、多くの人はあまりよく理解していないようです。

DDoSの防御策は、他のサイバー攻撃に対するものとどう違うか

細かいことをお話する前に、取り組まねばならない重大な面、すなわち防御について話しましょう。後で簡単に説明しますが、DDoS攻撃が開始されてしまえば、もう防ぐには遅すぎます。それが現実です。車が坂道を転げ落ちているというのに、それを止めるための柵を急場しのぎで建てることなどありえません。DDoS攻撃についても同じことが言えます ― 攻撃そのものが起こってしまえば手に負えないからこそ、事前の防御が鍵なのです。

DDoS攻撃のための防御策が他のサイバー攻撃に対するものと異なるのは、何を防ごうとするのか、という点です。能動的に阻止できる唯一のことは、攻撃の一部になってしまうことです。

どんな戦いにも2つの側、つまり攻撃側と防御側があります。

DDoS攻撃は、この点が異なっているのです。ほとんどの攻撃で、弾丸は攻撃側ではなく、侵入を受けた罪のない当事者 ― ボットネットから飛んでくるのです。 ボットネットに入っている協力者も知らずにやっていることがよくあります。自分たちのシステムが他者を攻撃していると誰かに知らされるまでは。

612Gb/sものDDoS攻撃を、あらゆる場所に十分な仕掛けを正当な経路を通じて施すことはほぼ不可能です。あなたが悪意の行為者で、何でも自由にできる立場なら、こんな方法はあまり魅力的とは言えないでしょう。しかし、数百、時には数千の個別のエンドポイントに侵入し、周到に準備した攻撃を開始するためにこれを使うことは、時に驚くほど簡単なことなのです。ここで鍵となるのは、侵入されたエンドポイントはそれ以上の攻撃は受けないということです。そのエンドポイントは待機状態となり、潜伏工作員のように動き出すきっかけを待っているのです。

エンドポイントへの侵入は、特別な対処をしない限り、システムの最初の再起動以降は継続できません。特別な対処がなければ、終業時にシステムがシャットダウンされるか再起動されるため、攻撃側のDDoS攻撃は何も影響を与えることはありません。再度すべてのシステムに侵入し直すか、新たな標的を加えなければならなくなります。資産に一度だけ侵入し、昇格された特権を使って後で開始されるよう攻撃の準備をしておくほうがずっと簡単です。

多くの細菌感染同様、DDoS攻撃はある程度増えなければ開始できません。すなわち、標的を圧倒できる十分な数が必要なのです。一日で兵力を蓄えてDDoS攻撃を開始するのは、成功の確率が非常に低い作戦です。ボットネットを秘かに育て、数週間、時には数か月かけてゆっくり力をつけていけば、数の上でも広がりの上でも十分なエンドポイントを手に入れることができるのです。

最小権限を強制的に適用してボットネットの兵士の増強を防ぐ

システム内の特権への直接的なアクセスを防ぐことは、DDoS攻撃の一部になってしまうことを防ぐ強力な手段となります。特権への間接的なアクセスは不便で煩雑なのではなく、ユーザにとってはその逆になる得ることもあるのですが、そのために組織内では変更をいくつか余儀なくされます。変更は常に難しいものですが、その効果は否定できません。

特権アカウントとセッションの管理(特権パスワード管理とも呼ばれる)のような特権アクセス管理(PAM)ソリューションを通じて正当な特権アカウントへのアクセスを制御できれば(実際にできるのですが)、そうしたアカウントの資格情報で直接ログインするユーザを排除することができます。それによって、こうしたアカウントに対する長く複雑で頻繁に変更されるパスワードを与えることができ、しかもアクセスをより簡単で堅牢にすることができるのです。

制御され、封じこめられたジャストインタイムの特権を、それを必要として、ユーザが役割の一部として使用しなければならないアプリケーションのために用意することで、自分たちの環境の中で最小限のリスクに抑えながら操作することになります。これが最小権限の原則(PoLP)、あるいは個人的にはこの言い方ほうがふさわしいと思うのですが、最小リスクの原則です。

最小リスクといっても、リスクはゼロではない点も認識しておくことが重要です。オペレーティングシステムはたいてい、プロセスやアプリケーションに、そのプロセスや開始するユーザにもともと備わっている権限レベルを持たせた状態で、特権の管理を行ないます。最小権限の原則を実施するのに役立つツールなら、昇格した特権が付随しているもともとのアプリケーションを守ることになり、こうした新しいプロセスを標準ユーザアクセスへと縮小し、あるいはそもそも開始すること自体を阻止することもできます。

これらのことを踏まえて、ほとんどのアプリケーションに必要とされる特権がDDoSのツールにとって有益になる可能性は低いと思われます。ただその場合でも、エンドポイント特権管理という新しい形のPAMソリューションには、このような悪用に対する防御策が構築されています。

貴社をDDoS攻撃から守るには

「まあそれには同意するよい、ブライアン」というセリフが聞こえてくるような気がします。「でも、自分がその問題の一部ではないと仮定しても、どうすればDDoS攻撃を防ぐことができるんだい?」

ここが難しいところです。DDoS攻撃という問題に対する唯一無二の解決策はありません。だからこそ、DDoS攻撃はこれほど成功し、あらゆる場所に止めようもなくはびこっているのです。状況を説明するためによく用いられるたとえは水とホースの話ですが、私もこの点に異存はありません。

どのエンドポイント一つとっても、DDoS攻撃は、圧力を全開にしている消火用ホースから水を飲もうとするようなものです。窒息せずに十分な水を飲むには、いい方法がいくつかあるかもしれません。ただ、ネットワーク技術に関しては、明確にしておかなければならない重要な概念があります。データを受信するまでは、それを無視していいと判断することはできないのです。

このたとえ話で言えば、口の中に水を入れるまでは吐き出していいのか決めることはできず、それは不可能なのです。行動を起こす前に何ガロンもの水がどんどん口に入ってきてしまうでしょう。水のたとえがネットワークに使われがちなのはこういうことです。

ホースの長さすなわちネットワークのセグメント、ホースの直径すなわち帯域幅という容量は決まっています。一定期間にホースを流れる水すなわちデータの量は限られています。水を圧縮することはできません。データを圧縮することはできますが、水の中から空気を取り出すのと同じで、残りはそれ以上圧縮できないのです!

すべての帯域幅をエンドポイントに割いてしまえば、データを送信するため、あるいは多くの場合、正当なデータを安心して受信するためのう余地は残されません。エンドポイントで、入ってくるデータを使って何をするかは、たとえ床に放り出しても問題ではありません。帯域幅はそもそも、単にそれを受け取ることに割かれていました。受け取る前にそれをのぞき見するという発想はなく、物理的にそうなってはいません。

ただし、暗い見通しばかりではありません。トラフィックが悪意であると判別でき、できれば永久に葬り去ってしまえる場合、防御レイヤを何層にもすることで徐々に流れを減らすことができ、最終的にDDoS攻撃に関係なくエンドポイントで作業ができます。これはインターネットの中心部分で帯域幅が大きい場所を行き来する場合は間違いなく効果があり、電気通信事業者が通信経路をパンクさせずに処理を行なうことができます。防御レイヤの一つひとつが少しずつトラフィックを吸い上げ、やがて流れはゆっくりになるか止まることになります。

想像に難くないと思いますが、このようにレイヤを使う方法はけっしてお粗末なものではありません。DDoS攻撃が便利な攻撃となるのを食い止める唯一の方法は、歩兵を排除することなのです。

エンドポイント(インフラストラクチャのエンドポイントも含め)をしっかり守り、兵力に組み込まれてしまわないようにすることは、DDoS攻撃の破壊的な性質を避けるのに役立ちます。それと同時に、自社の事業を柔軟に進められる盤石な体制を整えることにもなるのです。

良質な特権アクセス管理(PAM)とDDoS攻撃との関連は、即座にわかりやすいというものではなかったかもしれませんが、PAM技術が、何も知らない単なる手先からボットの先導者に至るまで、あらゆる段階でどのようにデバイスを守れるのか、これでおわかりになったことでしょう。


Brian Chappell、セキュリティ戦略責任者

BrianはITとサイバーセキュリティに関して30年以上の経験を持ち、その経歴はシステムインテグレータからPCとソフトウェアのベンダー、ハイテクの多国籍企業などと多岐に渡ります。Amstrad plc、BBC Television、GlaxoSmithKline、そしてBeyondTrustといった企業で、ベンダー側と購入者側の双方で重要な役割を担いました。BeyondTrustでは、EMEAとAPACのセールスエンジニアの統率、特権パスワード管理の全世界における製品管理を行ない、現在は社内外でのセキュリティ戦略に注力しています。Brianはまた、多様な会議で講演して、記事やブログを執筆し、専門家として世界中のメディアに寄稿しています。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする