DoS 攻撃や DDoS 攻撃への最善の防御策は、防御の多層化です。これにより、攻撃イベントをブロックした実績を有するテクノロジーを使用して、Web サイト、アプリケーション、API、権威 DNS、ネットワークリソースを保護できるようになります。
Akamai を選ぶ理由
サイバー攻撃の一種である分散型サービス妨害(DDoS)攻撃では、攻撃者は Web サイトサーバー、またはネットワークリソースを悪性のトラフィックで圧倒します。標的はクラッシュや動作不能に陥り、正規ユーザーへのサービスが拒否されたり、正当なトラフィックが宛先に到達しないという事態が生じます。
DDoS または DoS 攻撃は、相乗りタクシーに膨大な数の偽リクエストが殺到して想定外の交通渋滞が発生するようなものです。これらは正当なリクエストに見えるため、相乗りタクシーのサービス業者は、ピックアップのためにドライバーを派遣し、必然的に街が迎車であふれかえることになります。その結果、正当なトラフィックが宛先に到達できなくなります。
企業の Web サイト、Web アプリケーション、API、ネットワーク、またはデータセンターインフラに対する DDoS 攻撃は、ダウンタイムの原因となり、正規ユーザーによる製品購入、サービス利用、情報取得、またはその他のリソースへのアクセスを妨げます。
ボットネットの構築 — DDoS 攻撃を開始するために、攻撃者はマルウェアを使用してボットのネットワークを作成します。ボットとは、マルウェアに感染したインターネット接続デバイスのことで、攻撃者はボットを誘導して標的に大量のトラフィックを送信できます。ボットネットワーク、つまり ボットネットには、モノのインターネット(IoT デバイス)、スマートフォン、PC などのエンドポイントのほか、ルーターやネットワークサーバーが含まれます。感染した各デバイスは、他のデバイスにマルウェアを拡散できるようになるため、攻撃の規模が拡大します。
この状況をポップカルチャーを使って説明するなら、たとえば、HBO シリーズ『ゲーム・オブ・スローンズ』の夜の王はホワイトウォーカーの軍隊をどのように作り出したでしょうか。夜の王は、ホワイトウォーカーの初期セットを作成しました。これらのホワイトウォーカーは、人間を攻撃して新しいホワイトウォーカーに変えてしまうため、軍はどんどん拡大していきます。そして、この軍隊の各メンバーは全員、夜の王に支配されています。
攻撃の開始 — 攻撃者はボットネットの構築後、ボットにリモートから指令を送り、標的とするサーバーや Web サイト、Web アプリケーション、API、またはネットワークリソースに向けてリクエストを送信しトラフィックを発生させるよう指示します。膨大なトラフィックが殺到することで、サービス拒否が発生し、通常のトラフィックが標的にアクセスできなくなります。
サービスとしての DDoS — ボットネットとその感染デバイスネットワークが「攻撃請負」サービスを通じてレンタルされ、他の攻撃に使用されることもあります。このようなサービスを利用すれば、経験がなくトレーニングも受けたことのない攻撃者でも、自力で簡単に DDoS 攻撃を仕掛けることができます。
DDoS 攻撃の目的は、正当なトラフィックが宛先に到達するのを妨げたり、その速度を著しく低下させることです。たとえば、ユーザーは Web サイトへのアクセス、製品やサービスの購入、動画の視聴、ソーシャルメディアでのやり取りができなくなります。さらに、リソースを利用不可にしたり、パフォーマンスを低下させることで、DDoS 攻撃はビジネスを停止に追い込むことができます。従業員は電子メールや Web アプリケーションにアクセスできなくなり、通常のビジネス運営が不可能になります。
攻撃者はさまざまな目的で DDoS 攻撃を仕掛けます。
DDoS 攻撃にはさまざまな種類があります。2 種類以上の攻撃を使って標的に大きな被害を与えようとするサイバー犯罪者も少なくありません。DDoS 攻撃は通常、OSI(Open Systems Interconnection)モデルに定義されている 7 つのコンピューター・ネットワーク・レイヤーのどれかを標的としています。OSI モデルの 各レイヤーには、 それぞれ独自の目的があります。フロアごとに異なる部署が入っているオフィスビルのようなものです。攻撃者は、攻撃対象となる Web アセットやインターネットに面したアセットの種類に応じて、異なるレイヤーをターゲットにします。
主な攻撃タイプは 4 種類あります。
アプリケーションレイヤーへの DDoS 攻撃(レイヤー 7 DDoS 攻撃)は、Web アプリケーションの特定の脆弱性を標的とし、そのアプリケーションが目的どおりに動作できないようにするものです。このタイプの DDoS 攻撃の多くは、インターネットを介した 2 つのアプリケーション間のデータ交換に関連する通信プロトコルを標的としています。防止や緩和は困難ですが、比較的仕掛けやすい DDoS 攻撃です。
プロトコル攻撃は、OSI モデルのレイヤー 3 および 4 のインターネット通信プロトコルの弱点と脆弱性を標的にします。このタイプの攻撃は、サーバーやファイアウォールなど、さまざまなネットワーク・インフラ・リソースのコンピューティングキャパシティを消費し枯渇させるために、 Transmission Control Protocol(TCP) または Internet Control Message Protocol(ICMP)のプロトコルを使用した悪性の接続リクエストを送信します。
Domain Name System( DNS)増幅/リフレクション攻撃 はボリューム型 DDoS 攻撃ベクトルの一種 です。このタイプの攻撃では、ハッカーは標的 IP アドレスをスプーフィングして、大量のリクエストをオープン DNS サーバーに送信します。これに対して DNS サーバーは、その乗っ取られた IP アドレスによる悪性リクエストに応答します。その結果、膨大な量の DNS 応答が発生するため、標的に被害が及ぼされます。短期間のうちに、DNS 応答から膨大な量のトラフィックが生成され、被害を受けた組織のサービスが過負荷状態で利用不可となり、その結果、正規トラフィックが目的の宛先に到達しなくなります。
このタイプの攻撃も、タクシーの相乗りに例えることができます。被害者の住所にタクシーを差し向けるように求める数百から数千の相乗りリクエストが作成されたとします。これらの相乗りタクシーによって、被害者の家に到達するまでの道路が渋滞し、正当な訪問者がその人の住所に到達できなくなります。この比喩をさらに拡張すると、次のセクションで取り上げるボリューム型 DDoS 攻撃も説明できます。
ボリューム型 DDoS 攻撃は、OSI のレイヤー 3 と 4 に対するもので、複数のソースから送信された大量のトラフィックで標的を圧倒し、最終的に標的の使用可能な帯域幅を枯渇させます。その結果、標的は処理速度が低下したり、クラッシュしたりします。ボリューム型攻撃は、他のタイプの DDoS 攻撃や、より危険なサイバー攻撃から注意をそらすために使用されることがよくあります。
強力な DDoS 戦略、高度な DDoS 緩和サービス、先進的で高度なサイバーセキュリティコントロールを活用すれば、DDoS 攻撃による中断を防止または緩和できます。
クラウドベースのソリューションは、大容量、高パフォーマンス、常時稼働の DDoS 防御策を提供することで、悪性トラフィックが Web サイトに到達したり、Web API 通信を妨害したりするのを防ぎます。さらに、正当なトラフィックは通過させることができるので、ビジネスを通常どおりに維持できます。
絶えず進化する攻撃状況の中で、多層防御アプローチを採用する緩和プロバイダーによる DDoS 防御は、組織とエンドユーザーの安全性を保ちます。DDoS 緩和サービスは、DDoS 攻撃をできるだけ迅速に検知してブロックします。そのブロック速度は、攻撃トラフィックが緩和プロバイダーのスクラビングセンターに到達してから理想的にはゼロ秒、あるいは数秒以内です。攻撃ベクトルは変化し続け、攻撃規模も拡大の一途をたどっているため、プロバイダーは最善の DDoS 防御を実現するために、防御機能に継続的に投資しなければなりません。大規模で複雑な攻撃に後れを取らないためには、適切なテクノロジーを導入し、悪性トラフィックを検知して攻撃を速やかに緩和する堅牢な防御対策を講じる必要があります。
DDoS 緩和プロバイダーは、標的アセットに到達しないように攻撃トラフィックを除外します。攻撃トラフィックは、CDN ベースの Web 保護サービス、DDoS スクラビングサービス、またはクラウドベースの DNS サービスによってブロックされます。
緩和作業中の DDoS 防御プロバイダーは、分散型サービス妨害攻撃を阻止し、その影響を抑えるための一連の対策を展開します。攻撃が高度化している今、クラウドベースの DDoS 緩和防御はますます重要なものとなっています。多層防御の セキュリティを大規模に提供できるため、バックエンドインフラとインターネットに面したサービスの可用性を維持し、最適な方法で稼働を維持するのに役立ちます。
DDoS 攻撃防御サービスは、組織に次のメリットをもたらします。
Akamai は、専用エッジ、分散型 DNS、クラウドスクラビング防御による透過的なメッシュを通じて、多層型の DDoS 防御および緩和サービスを提供します。この専用クラウドサービスは、アタックサーフェスの縮小、緩和品質の改善、フォールス・ポジティブ(誤検知)の軽減に役立ち、最も複雑な最大規模の攻撃への耐障害性を高めながら、DDoS とネットワークのセキュリティ対策を強化する設計となっています。さらに、それらのソリューションは、Web アプリケーションやインターネットベースサービスの特定の要件に合わせてきめ細かく調整できます。
DoS 攻撃(サービス妨害攻撃)を受けると、正規ユーザーが Web サイト、ルーター、サーバー、ネットワークを利用できなくなる場合があります。分散型サービス妨害(DDoS)攻撃が、ボットネットや IPv4/IPv6 アドレスの分散ネットワーク(ハイジャックされたコンピューター、マシン、IoT デバイスのロボットネットワーク)を使用して複数の場所から標的を攻撃するのに対し、DoS 攻撃は単一のコンピューターによって実行されます。
DoS 攻撃や DDoS 攻撃は、サーバー、Web サイト、ネットワークデバイス、またはマシンに大量の悪性トラフィックを送りつけて動作不能にしようとするものです。ICMP フラッド攻撃や UDP フラッド攻撃などのボリューム型攻撃は、大量のトラフィック、システムへの過負荷、システムへのネットワークパスを使用して標的を圧倒し、正当なトラフィックやユーザーがリソースにアクセスできないようにします。
SYN フラッドなどのプロトコル攻撃は、悪性の接続リクエストを送信し、プロトコル通信を悪用して、ファイアウォールやロードバランサーなどのネットワーク・インフラ・リソースのコンピューティングキャパシティを消費し、枯渇させようとします。Slowloris などのアプリケーションレイヤー攻撃は、気付かれないように少しずつリクエストを送信して処理可能範囲いっぱいのリクエスト量を処理させ、Web サーバー、アプリケーションサーバー、データベースのキャパシティを圧迫し、ユーザーが利用できないようにします。
DoS 攻撃や DDoS 攻撃への最善の防御策は、防御の多層化です。これにより、攻撃イベントをブロックした実績を有するテクノロジーを使用して、Web サイト、アプリケーション、API、権威 DNS、ネットワークリソースを保護できるようになります。
Akamai は、オンラインビジネスの力となり、守るサイバーセキュリティおよびクラウドコンピューティング企業です。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散化されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバル企業が、ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識を提供できる Akamai に信頼を寄せています。
DDoS 攻撃を迅速かつ効果的に防御し、大規模に阻止します。
際立った DNS セキュリティにより、Web アプリと API のノンストップの可用性を実現します。
Web サイト、アプリケーション、API に対する妥協のないセキュリティをワンストップで確保します。
DDoS 緩和サービスはどれも同じとは限りません。多くのクラウド・サービス・プロバイダーはどこに問題があるのでしょうか。注意点をご確認いただけます。
Akamai の最新の調査では、EMEA 地域で増加する DDoS 攻撃に対する防御を強化するために必要な知識が得られます。
DNS は最も古いインターネットインフラの 1 つです。しかし、その DNS を、驚くほど大量の攻撃トラフィックが通過しています。このレポートで、最もよく見られる脅威などについて詳細をご確認ください。
関連トピックとテクノロジーの詳細については、以下のページを参照してください。
