セキュリティ業界では、常識だと思われているが実はそうでない「セキュリティの非常識」がたくさんある。

 そこでセキュリティリサーチャーである、インターネットイニシアティブ(IIJ)の根岸 征史氏、ソフトバンク・テクノロジーの辻 伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏の3人に集まっていただき、今みんなに知ってほしい「セキュリティの非常識」を熱く語ってもらった。最初のテーマは、「DDoS攻撃の非常識」だ。



:WebサイトへのDDoS 攻撃では、大勢の人たちが同時にF5キーを押す「F5アタック」や、テレビで放映される映画のセリフをSNSで同時に投稿する「バルス祭り」を想像する人が多いですよね。掲示板などで呼び掛けて参加者を募集します。ここでは、厳密な意味でのDDoS攻撃とDoS 攻撃を区別しないで話をしますね。

ソフトバンク・テクノロジーの辻 伸弘氏
[画像のクリックで拡大表示]

piyo:そういった人たちは、Webサーバーを落としてやろうとまでは思っていないでしょう。

:「合法DDoS」なんて呼ぶ人がいるくらいです。

piyo:最近では、アクセスできないWebサイトが見つかると、それだけで「DDoS攻撃では?」とSNSなどに書き込む人がいます。やってもいないのに「俺が落としてやった」と宣言する人も。

:大勢で実行するイメージが強いDDoS攻撃を、実際には一人または数人で実行するケースが増えています。DDoS攻撃は、Webサーバーをサービス停止状態にすることなので、Webサーバーのリソースを枯渇できれば成功です。ツールなどを使って、UDPなどで帯域を埋めようとし、それで落ちなければ今度はHTTPのレイヤーで攻撃する、量的な攻撃が難しければWebサーバーの脆弱性を使ってサービス停止に陥らせるなんてことを、一人でもできる場合があります。

根岸:Webサーバーのリソース枯渇だけじゃなくて、ネットワークの帯域を消費させて、実質的なサービス停止状態にする攻撃もあります。ただ対策しているWebサーバーが増えていて、この方法だと落としにくいのも事実です。だから、HTTPとかアプリケーションのレイヤーで攻撃するケースも増えています。

:Webサーバーのリソースもネットワークの帯域もまだ十分にあるのに、サービス停止に陥ったケースも見つかっています。ネットワークとサーバーの間にあるネットワーク機器の負荷が高くなって、アクセスできなくなったようです。

根岸:そういうのは、DDoS攻撃というより設計ミスだね。たまにあるけど。攻撃を受けて、初めてミスがわかったみたいな。

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら