DDoS(Distributed Denial of Service、分散型サービス妨害)攻撃は、世界中の多数の感染端末やレンタルサーバから一斉に大量の通信を浴びせ、標的のWebサイト・API・ネットワークをサービス継続不能に追い込む攻撃です。1996年9月、ニューヨークの老舗ISP Panixが世界初の大規模SYN flood攻撃を受け、「インターネット時代の新たな脅威」として広く認知されました。2000年のYahoo!・eBay攻撃、2016年のMirai/Dyn事件、近年の数Tbpsクラス攻撃へと規模を拡大し、現代のクラウド事業者にとって日常的に対処すべき大規模インフラ脅威となっています。
この記事の目次
- L3/L4/L7の三層で押し寄せる
- PanixからMirai/Dynへの拡大史
- CDN・スクラビング・自動緩和
- DoS・スパム・スキャンとの違い
- まとめ
L3/L4/L7の三層で押し寄せる
DDoSは攻撃が当たるレイヤごとに大きく三系統に分かれます。L3/L4の帯域消費型は、UDPやICMPで大容量パケットを送り付けて回線そのものを埋め尽くす攻撃で、近年は反射増幅(DNS・NTP・memcached・SSDPの応答を悪用)と組み合わせて数百Gbps〜数Tbpsの帯域を生み出します。memcached増幅は1パケットから5万倍規模の応答を引き出せるため、2018年のGitHub事件で1.35Tbpsを記録するなど、短期間で記録更新を続けてきました。
L7のアプリケーション枯渇型は、見た目は正規のHTTP/HTTPSリクエストで構成され、認証付きAPIや検索エンドポイントを高頻度で叩いてサーバの処理資源を消費させます。Slowloris型のように、TCPコネクションだけ確立して中身を非常にゆっくり送ることでKeep-Aliveスロットを占有する手法もあり、総帯域は小さくてもアプリケーションを枯渇させる効果を発揮します。L7攻撃は正規利用と見分けにくいため、Bot判定やレートリミット、Challenge応答(CAPTCHA・JavaScript検証)などアプリ近傍での緻密な防御が必要になります。
PanixからMirai/Dynへの拡大史
DDoSの歴史的起点は1996年9月のPanix事件です。ニューヨークの老舗ISP Panixが大規模なSYN flood攻撃を受け、数日間サービスが影響を受けました。TCPの3ウェイハンドシェイクの仕様を逆手に取った攻撃で、これを契機にOSにSYN cookiesなどの対策が実装されていきます。2000年2月にはカナダの15歳ハッカー「Mafiaboy」がYahoo!、eBay、Amazon、CNN、Dellなど大手サイトを連続して落とし、DDoSが社会全体の経済活動を止め得る脅威であることが世界に印象付けられました。
現代型DDoSの転換点となったのが、2016年10月の「Mirai」ボットネットによるDyn攻撃です。Miraiは安直なパスワードのままインターネットに繋がるIPカメラやルーターを感染させて巨大なボット網を構築し、DNSサービス事業者Dynを標的に最大1Tbps超の通信を浴びせました。Twitter、Spotify、Netflix、Redditなど北米中心の主要サービスが軒並み一時的にアクセス困難となり、「IoT機器を踏み台にした巨大DDoS」という新時代を告げる事件として位置付けられています。以後、Cloudflare等が報告するTbps級の事案は珍しくなくなり、巨大化と日常化が同時に進んでいます。
CDN・スクラビング・自動緩和
DDoSに正面から「同等の帯域を準備して受け止める」のは、もはや単一組織では現実的ではありません。CDN(Cloudflare、Fastly、Akamai、AWS CloudFrontなど)の前段に配置し、世界数百拠点で受信して捌くことで、数百Gbpsクラスの攻撃でもオリジンに到達させない設計が標準になっています。Anycast構成は、攻撃トラフィックを地理的に最も近い拠点へ自動分散させ、特定拠点だけが満載になるのを防ぐ仕掛けです。
L7攻撃にはWAFや専用Bot管理製品でレートリミット、JavaScriptチャレンジ、機械学習による正規Bot識別を組み合わせます。回線オペレータ側ではBGP経由でブラックホールフィルタリングを発動して、攻撃元AS全体を一時的に遮断することも行われます。スクラビング事業者は、回線そのものを自分たちのデータセンタ経由に切り替えて悪性トラフィックだけを除去するサービスで、金融・ゲーム・配信など可用性要求の高い業種で広く利用されます。事前のリハーサルとRunbook整備が、いざという時の遅延を大きく左右します。
DoS・スパム・スキャンとの違い
DDoSの「Distributed」は、攻撃元が世界中に分散していることを指します。古典的なDoS(Denial of Service)は単一発信元からの妨害行為で、IPアドレスベースの遮断で容易に止まる場合がほとんどです。DDoSはボットネットやレンタルクラウドを動員して数万〜数百万の踏み台から束で襲うため、単純な発信元遮断では対処できず、AS単位やトラフィックパターンでの対応が必要になります。可用性そのものを直接破壊する目的である点が、認証や情報を狙う他系統の攻撃と決定的に異なります。
似て非なる脅威としては、スパム(情報汚染)、ポートスキャン(偵察)、クレデンシャルスタッフィング(認証突破狙いの大量試行)などがあります。クレデンシャルスタッフィングは大量通信を伴う点でDDoSに見えることもありますが、目的は認証情報の有効性確認であり、可用性破壊そのものを狙うDDoSとは設計思想が違います。防御策も、DDoSが帯域・スクラビング側で受けるのに対し、クレデンシャルスタッフィングは認証ロジックやMFA・Botトラップ側で対処する、というふうに役割分担します。
まとめ
DDoS攻撃は1996年のPanix事件から始まり、Mirai/Dynを経てTbps時代に突入した可用性破壊の代表脅威です。CDNとAnycast、L7用WAFとBot管理、スクラビング事業者との契約を組み合わせ、「単独で受け止めず、世界中の容量を借りて捌く」前提で構成することが、現代における現実的な答えになります。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント