DoS攻撃

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索
情報セキュリティ > 脆弱性・攻撃手法 > DoS攻撃

DoS攻撃(ドスこうげき)(英:Denial of Service attack)は、情報セキュリティにおける可用性を侵害する攻撃手法で、ウェブサービスを稼働しているサーバネットワークなどのリソース(資源)に意図的に過剰な負荷をかけたり脆弱性をついたりする事でサービスの正常な動作を侵害する攻撃を指す。

日本語ではサービス妨害攻撃などと訳される。

概要[編集]

DoS攻撃には2種類の類型があり、第一の類型はウェブサービスに大量のリクエストや巨大なデータを送りつけるなどしてサービスを利用不能にするフラッド攻撃(Flood=「洪水」)であり、第二の類型はサービスの脆弱性を利用する事でサービスに例外処理をさせるなどしてサービスを利用不能にする攻撃である[1][2]

攻撃の目的[編集]

DoS攻撃の主な目的はサービスの可用性を侵害する事にあり、具体的な被害としては、トラフィックの増大によるネットワークの遅延、サーバやサイトへのアクセス不能といったものがあげられる[3]

しかしDoS攻撃は被害者に経済的ダメージを負わせる事を目的として行われる場合もあり、EDoS攻撃(Economic DoS Attack)と呼ばれる。たとえばクラウド上で従量課金されているサービスにDoS攻撃をしかければサービスの運営者に高額な課金を発生させることができる[4]

DDoS攻撃[編集]

図:StacheldrahtによるDDoS攻撃

フラッド型のDoS攻撃には大量のマシンから1つのサービスに一斉にDoS攻撃をしかけるDDoS攻撃(ディードスこうげき、分散型サービス妨害攻撃、英:Distributed Denial of Service attack)という類型がある。

DDoS攻撃の類型は2つあり、第一のものは攻撃者が大量のマシン(踏み台)を不正に乗っ取った上で、それらのマシンから一斉にDoS攻撃をしかける協調分散型DoS攻撃である。

第二の類型はDRDoS攻撃(英Distributed Reflective Denial of Service attack。DoSリフレクション攻撃分散反射型DoS攻撃[5][6]と呼ばれる。DRDoS攻撃では、攻撃者が攻撃対象のマシンになりすまして大量のマシンに何らかのリクエストを一斉に送信する。するとリクエストを受け取ったマシン達は攻撃対象のマシンに向かって一斉に返答を返すことになるので、攻撃対象のマシンには大量の返答が集中し、高負荷がかかることになる[7]。DRDoS攻撃は協調分散型DDoS攻撃と異なりマルウェアなどで踏み台を乗っ取らなくても実行可能なため攻撃が発覚しづらい。

主なDRDoS攻撃として、DNSを利用したDNSアンプ攻撃(DNS amplification attacks。DNS amp攻撃、DNSリフレクター攻撃、DNSリフレクション攻撃とも)[7]やICMP echoを利用したSmurf攻撃などがある。 DRDoS攻撃に使える主なプロトコルとしてTCPのSYN、ACK、DATA、NULL、ICMPのECHO Request、Time Stamp Request、Address Mask Request、およびUDP、IP pkt (low TTL) 、DNS queryがある[8]。 NetBIOSネームサーバやRPCポートマップなどへのリクエストを利用する攻撃も観測されてる[9]。 協調分散型DDoS攻撃とDRDoS攻撃が組み合わされることもある[10]

攻撃手法[編集]

フラッド型のDoS攻撃は、ウェブ上に公開されている様々なサービスに対して行うことができるので、攻撃対象となるサービスごとにフラッド攻撃が存在する。

SYNフラッド攻撃[編集]

TCPの3ウェイ・ハンドシェイクでは2つのマシンA,BがTCP接続をする際、Aが通信要求SYNパケットを送信し、BがSYN/ACKパケットを送信し、最後にAがACKパケットを送るという手順をたどる。 SYNフラッド攻撃では攻撃者が攻撃対象のマシンに対し、SYNパケットを攻撃対象に大量に送りつけ、それらすべてに対するSYN/ACKパケットを攻撃対象に発行させる。しかし攻撃者はそれらのSYN/ACKパケットに対しACKパケットを返信しない。 これにより攻撃対象はタイムアウトになるまでいつまでもACKパケットを待ち続けることとなり、リソースを食いつぶされてしまう。 対策としてはRFC 4987にファイアーウォールプロキシの利用といった一般的手法の他、SYN cookiesTCP half-open英語版、SYN Cacheといった手法が記載されている。

ICMPとUDP[編集]

ICMPUDPのようなコネクションレスのサービスでは発信元の偽装が容易なので、DoS攻撃を行う攻撃者にとって身元がばれにくいという利点がある。 ICMPを利用したものにはICMP echo request (を利用したping)を攻撃対象に大量に送り続けるICPM echoフラッド攻撃英語版(pingフラッド攻撃)や、踏み台にICMP echo requestをブロードキャストする事でICMP echo replyを攻撃対象に集めるDRDDoS攻撃であるSmurf攻撃英語版がある。

他にも規格外の大きなサイズのICMPパケットを送りつける事で攻撃対象をクラッシュさせるping of deathという攻撃がかつてあったが、1996年に発見されて以降この脆弱性は防がれているためすでに過去のものとなっている。

UDPに対してもUDPポートに対して大量のトラフィックを送信するUDPフラッド攻撃英語版があり、UDPを利用したDRDDoS攻撃をUDPベース増幅攻撃(UDP-Based Amplification Attack)と呼ぶ。

UDPベース増幅攻撃の中でもNTPの実装であるnptdのmonlistコマンドを使った攻撃は増幅率が高く、19倍から206倍の増幅率に達する[11]。このコマンドはNTPサーバが過去にやり取りしたアドレスを最大で600件返すものであり、ntpdにおけるコマンドを利用した攻撃が2013年に観測されている[12][13]。なおntpdのバージョン4.2.7p26以降はこのコマンドを悪用できないよう修正されている[12]

この他にもSSDPRIPv1を利用したUDPベース増幅攻撃がある[14][15]

ブラウザの再読み込み[編集]

ウェブブラウザに備わっているページの再読み込み機能を使用し、Webサーバに大量にリクエストを送りつける攻撃はF5アタックF5攻撃)と呼ばれることがある。この名称は、「F5キーを連打する攻撃」であることに由来する。Windows上で動作するウェブブラウザでは、F5キーが更新機能に割り当てられていることが多いため、F5キーを押下するたびにWebサーバにリクエストが送られることになる。

その他[編集]

  • スローなHTTP系:長時間にわたってWebサーバがコネクションを維持してくれることを悪用して能力を浪費する[16]。次の攻撃がある[17]
    • Slow HTTP Headers(Slowloris
    • Slow HTTP POST(RUDY:R-U-Dead-Yet?)
    • Slow Read DoS
  • メールボム:サイズの大きいメールや大量のメールを送り付ける手法。
  • HTTP GET/POSTフラッド:HTTPの規格には準拠しているが負荷のかかるリクエストを大量にWebサーバ宛てに送る。
  • TeardropおよびLand攻撃:かつてTCP/IP実装にあった脆弱性[18]を攻略された。
  • WinNuke英語版 かつてMicrosoft Windowsの「NetBIOS over TCP/IP」に在った脆弱性が攻略された。

攻撃ツール[編集]

  • 荒らしプログラムとは、主にWeb掲示板を荒らすために作られたプログラムを指すが、内容としてはHTMLの解析やHTMLFORMの送信機能を備え、連続投稿を可能としたHTTPクライアントで、DoS攻撃プログラムに準じている。F5アタックWebブラウザからのGETメソッドによるhttpアクセスしか出来ないのに対し荒らしプログラムは様々なメソッドにおいてのアクセスを可能としている。また前述したDDoSに準じ、踏み台となったサーバからの一斉攻撃を行うものもある。少しHTMLの知識があれば使える物や、アドレスを入力するだけで使えるようになる(自動解析)ツールも存在する。主にPerlによって記述されるが、これも踏み台とされたサーバでの利便性を考えたものである。
  • LOICは、アノニマスの常とう手段となっていた。例えば2010年ペイバック作戦においても使われた。
  • HOIC(High Orbit IonCanon)は、LOICの後継として2010年ペイバック作戦の時期に開発された。
  • Slowlorisは、Slow HTTP Headers攻撃を再現する。
  • Stacheldraht(独:「有刺鉄線」の意)は図に示すように、踏み台側のエージェントと、エージェントを操るハンドラーと、攻撃者がハンドラーを操るクライアントから成るDDoS攻撃ツールである。
  • イギリスのGCHQは、`PREDATORS FACE'と`ROLLING THUNDER'というDDoS攻撃ツールをもっている[19]といわれている。

防御技法[編集]

各サイトにおける防御技法[編集]

  • 侵入防止システム(IPS: Intrusion Prevention System)には、シグニチャに基づく防御機能と閾値に基づく防御機能が実装されている。シグネチャに基づく防御機能は、Smarf攻撃やLand攻撃のように特徴あるパケットに対して有効であったが、プロトコル実装側の脆弱性もすでに解消されている。* SYNクッキーは、SYNフラッド等への対策として各OSごとに開発され、それぞれのプロトコルスタックに実装されている。* WAF(Web Application Firewall)には、スローなHTTP系の攻撃に対する設定を行える。WebサーバについてはQoSタイムアウトについての設定も見直す価値がある。

インターネットサービスプロバイダにおける防御技法[編集]

  • イングレスフィルタリング:送信元IPアドレスを偽ったパケットをフィルタリングすることによって攻撃元とならないようにする。[20]

事件[編集]

MafiaBoy
2000年2月にカナダ人の15才の少年が6日間にわたってボットネットYahoo!CNNAmazon.comなどの人気が非常に高いサイトに対してDDoS攻撃を行い、ターゲットにしたサイトをサービス不能状態に陥らせ、自身の行動をインターネット上のIRCチャットルームで吹聴し、逮捕された。この事件は国際的に大きく取り上げられた。
米国 Yahoo!
パソコンを利用した踏み台は、一台当たりの計算・通信能力は低いが、膨大な数が利用される事から、従来のサーバを利用したDDoS攻撃よりも甚大な被害を発生させやすい。有名なものとして2002年2月に米国Yahoo!がこの攻撃を受け、アクセス不能になるという被害を受けている。また特に大規模な感染事件を引き起こすコンピュータウイルスのなかには、当初よりDDoS攻撃を意図して設計されたと推察されるものも見られ、2002年頃から活動が確認されているコンピュータウイルスによって形成された攻撃用パソコンネットワークにより、企業脅迫事件の発生が危惧されている。
コスタリカ ブックメーカー等
2004年前後には、ブックメーカー(公的な賭けを取りまとめている企業・団体等)のサイトが攻撃をうけ業務を妨害され、脅迫された事件[22]や、英国の大学生が学費の捻出に一案を講じて莫大な利益を生んだMillion Dollar Home Page脅迫を受けたケースも報じられている。
ニコニコ動画(β)
2007年2月20日にDDoSによる攻撃を受け、正常に運営できる状態でなくなってしまい、同年2月24日に一時的にサービスを停止する事態となった[23]
2ちゃんねる
同掲示板サイトは度々DoS攻撃の標的にされており、中でも大規模なものが2010年3月、バンクーバーオリンピックの時期に起きている。韓国語ネットコミュニティ「ネイバー」や「ダウム」上から2ちゃんねるに対して攻撃が呼びかけられ、これにより一部のサーバーがダウンの後故障し、データが失われ、多大なる損害を出し、FBIが最終的に動く結果となった。
岡崎市立中央図書館事件
DoS攻撃とは到底呼べないような通常の「常識的」で「礼儀正しい」設計のクローラが原因であっても、極端に脆弱なシステムにおいては問題を引き起こす場合がある。2010年5月のこの事件はその代表的な例であり、三菱電機インフォメーションシステムズの致命的な不具合をもつシステム、その不具合を認めない岡崎市立中央図書館、警察担当者の無知および自白の強要が重なり、逮捕勾留に至る[24]結果となった。この事例の法的な見解については、2010年7月時点では未だ議論の対象[25]となっている。
アノニマスによるペイバック作戦
2010年9月にアノニマスによって、インターネット上の不正コピー行為に対応する団体等に対してDDoS攻撃が行われた。引き続いて2010年12月、アノニマスは、ウィキリークスへの寄付受付を停止した銀行やクレジットカード決済会社のWebサイトに対してDDoS攻撃を実行した(作戦名:アサンジの復讐作戦)[26]
ソニーのプレイステーションネットワーク
2011年4月、アノニマスはソニーのインターネット配信サービス「プレイステーションネットワーク」のサーバに対してもDDoS攻撃を放った[27]

関連項目[編集]

脚注[編集]

[ヘルプ]
  1. ^ ネットワークセキュリティ関連用語集(アルファベット順)「DoS attack (Denial of Service attack: サービス妨害攻撃)」”. IPA. 2016年7月25日閲覧。
  2. ^ Dos/DDoS 対策について”. 警察庁技術対策課 (2003年6月3日). 2016年7月25日閲覧。
  3. ^ Security Tip (ST04-015): Understanding Denial-of-Service Attacks”. US-CERT (2013年2月6日). 2015年12月19日閲覧。
  4. ^ EDoS攻撃”. IT用語辞典 e-words. 2016年7月25日閲覧。
  5. ^ Christian Rossow. “Amplification Hell: Revisiting Network Protocols for DDoS Abuse (PDF)”. Internet Society. 2015年12月23日閲覧。
  6. ^ Taghavi Zargar, Saman (2013年11月). “A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks”. IEEE COMMUNICATIONS SURVEYS & TUTORIALS. pp. 2046–2069. 2015年12月20日閲覧。
  7. ^ a b DRDoS攻撃 【 Distributed Reflection Denial of Service 】 DoSリフレクション攻撃”. IT用語辞典 e-words. 2016年7月25日閲覧。
  8. ^ インターネット情報インフラ防護のための技術調査調査報告書”. IPA ISEC. 2016年7月25日閲覧。
  9. ^ Akamai Warns Of 3 New Reflection DDoS Attack Vectors”. Akamai (2015年10月28日). 2015年12月29日閲覧。
  10. ^ Patrikakis, C.; Masikos, M.; Zouraraki, O. (December 2004). “Distributed Denial of Service Attacks”. The Internet Protocol Journal 7 (4): 13–35. http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html. 
  11. ^ @IT「DNSよりも高い増幅率の「理想的なDDoSツール」:NTP増幅攻撃で“史上最大規模”を上回るDDoS攻撃発生」 2016年9月28日閲覧。
  12. ^ a b @IT「悪用した攻撃も2013年12月に観測:増幅攻撃はDNSだけではない――NTPサーバーの脆弱性に注意喚起」2016年9月28日閲覧。
  13. ^ ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起”. JPCERT/CC (2014年1月15日). 2015年12月23日閲覧。
  14. ^ 高橋 睦美 (2015年10月21日). “ハードルがますます下がるDDoS攻撃、経路途中での防御を追求するアカマイ”. @IT. http://www.atmarkit.co.jp/ait/articles/1510/21/news062.html 2015年12月24日閲覧。 
  15. ^ Alert (TA14-017A) UDP-Based Amplification Attacks” (2014年1月17日). 2015年12月28日閲覧。
  16. ^ Slow HTTP DoS Attack に対する注意喚起について (PDF)”. @police (2015年12月16日). 2015年12月19日閲覧。
  17. ^ David Senecal (2013年9月12日). “Slow DoS on the Rise”. Akamai. 2015年12月19日閲覧。
  18. ^ CA-1997-28: IP Denial-of-Service Attacks”. CERT/CC (1997年12月16日). 2015年12月19日閲覧。
  19. ^ Glenn Greenwald (2014年7月15日). “HACKING ONLINE POLLS AND OTHER WAYS BRITISH SPIES SEEK TO CONTROL THE INTERNET”. The Intercept_. 2015年12月25日閲覧。
  20. ^ 送信元 IP アドレスを詐称したパケットのフィルタリング”. JPCERT/CC (2005年8月17日). 2015年12月26日閲覧。
  21. ^ 齋藤 衛「DoS/DDoS 攻撃対策(1) 〜ISP における DDoS 対策の 現状と課題~ (PDF) 」 、『情報処理』第54巻第5号、情報処理学会、2013年5月、 468-474頁。
  22. ^ ジョセフ・メン 『サイバー・クライム』 浅川 佳秀訳、講談社、2011年ISBN 4062166275
  23. ^ 閉鎖”. ニコニコ大百科(仮). 2016年1月1日閲覧。
  24. ^ 岡崎図書館事件まとめ
  25. ^ 情報ネットワーク法学会 - 第1回「技術屋と法律屋の座談会」
  26. ^ Operation Payback - Part of a series on Anonymous”. know your meme. 2015年6月26日閲覧。
  27. ^ ソニーはなぜハッカーに狙われたのか、「アノニマス」の正体”. 東洋経済ONLINE (2011年6月8日). 2016年1月1日閲覧。

外部リンク[編集]