DDoS攻撃からAWS運用を守る方法は？脅威の種類や目的もご紹介

デジタルトランスフォーメーションの推進に伴い、サイバーセキュリティの必要性も存在感を増しつつあります。特にDDoS攻撃のような一般的な脅威に対しては、常に万全の体制を整えておきたいところです。 今回は、AWSの運用をDDoS攻撃から守るのに必要な知識や方法について、ご紹介します。 DDoS攻撃からAWS運用を守る方法は？脅威の種類や目的もご紹介

DDoS攻撃とは

DDoS攻撃は「Distributed Denial of Service attack」の略称で、複数のハードを介して意図的に特定のWebサーバーなどへ攻撃を行うものです。攻撃を受けたサーバーは、サイトへのアクセスができなくなったり、展開しているサービスのパフォーマンスが低下したり、セキュリティ機能が停止したりといった被害を被ることになります。

DoS攻撃との相違点

DDoS攻撃の一方で、DoS攻撃と呼ばれるサイバー攻撃も存在します。DoS攻撃も特定のサーバーに対して攻撃を実行する方法ですが、こちらは1台のハードから直接仕掛けるのが特徴です。 DoS攻撃とDDoS攻撃はその脅威の内容については同様と言えますが、後者は複数の踏み台となるハードを介した分散型の攻撃であるため、犯人を特定することが困難であるのが特徴です。一方のDoS攻撃は犯人の特定が容易な手法であるため、IPアドレスを特定できればアクセスを一つ遮断するだけで解消が可能です。 手短に言えば、DDoS攻撃はDoS攻撃の進化版であり、現在主流なのもDDoS攻撃です。

DDoS攻撃の種類

DDoS攻撃のアプローチは多様なため、複数の脅威に対応しなければなりません。主な攻撃の種類について、確認しておきましょう。

SYNフラッド攻撃・FINフラッド攻撃

SYNフラッド攻撃、及びFINフラッド攻撃は、接続に必要なSYNパケットと、切断に必要なFINパケットをWebサーバーに対して大量に要求し、負荷をかけてダウンさせる手法です。 サーバー側はこれらの要求へ一つずつ応えなければいけないため、正常な要求に対する応答速度が著しく低下します。

DNSフラッド攻撃

DNSフラッド攻撃は、WebサーバーではなくDNSサーバーに対して負荷をかけ、パフォーマンスを低下させる手法です。 ドメイン名をIPアドレスに変換するDNSサーバーの処理を低下させることで、攻撃対象に対するアクセスの妨害を実現します。

ACKフラッド攻撃

ACKフラッド攻撃は、サーバーによる要求を応えるためのACKパケットを大量に送信して負荷をかけ、パフォーマンスを低下させます。 SYNパケットやFINパケットを伴わないACKパケットに対しては廃棄処理が通常行われますが、この廃棄処理の活動をオーバーヒートさせるのがACKフラッド攻撃です。

DDoS攻撃の目的

DDoS攻撃の目的は、攻撃者によって様々ですが、大抵の場合は以下のようなメッセージや目的が込められています。自社サーバーの脅威リスクを正当に評価するためにも動機を確認しておきましょう。

愉快犯の嫌がらせ

DDoS攻撃は直接情報流出などの被害に及ぶことがない分、誰でも簡単にできてしまうことから、嫌がらせや娯楽目的で実行に移される可能性があります。 複数のハードがコントロール下にある少数の人物からはもちろん、不特定多数による集中アクセスによってサーバーがダウンするなどのケースが報告されています。 目立った活動を行っている企業や、有名企業などはターゲットになりやすい点に注意しましょう。

企業に対するメッセージ

二つ目の動機は、社会的なメッセージ発信としてのDDoS攻撃です。企業がサービス利用者や購入者に対して重要な方向転換を決定した際など、その決定に反対を申し出たいグループが実行し、企業に不利益を被らせるため実行されます。 半ば愉快犯的な動機で実行されることもありますが、オンラインゲームや金融など、Webが業務の中心となっている企業にとっては大きな不利益が生まれる懸念があります。また、個人的な恨みなどを動機に攻撃を行うケースも考えられます。

脅迫・金銭の要求

三つ目は、脅迫や金銭の要求です。いわゆるサイバー犯罪の典型的な動機ですが、複数の攻撃を一つの企業に仕掛け、そのうちの一つとして実行される可能性があります。 サーバーをダウンさせて他の攻撃を展開するなど、さらに高度なサイバー攻撃へと発展するケースもあるため、油断はできません。

競合による営業妨害

あまり公になることもありますが、競合に対する営業妨害としてのDDoS攻撃も、可能性としては十分にあるでしょう。 短期間のサーバーダウンでも、期間限定のマーケティングを展開するとなれば、キャンペーン中のチャンスを全て競合に奪われてしまうことになります。こういった事態を免れるためにも、日頃のセキュリティ対策を怠らないことが必要です。

実際にあったDDoS攻撃の被害事例

ここで、世界各国で発生した実際のDDoS攻撃の被害事例について、確認しておきましょう。

IoTを逆手に取った大規模DDoS攻撃の事例

海外のホスティングサービスに対して2016年に仕掛けられたDDoS攻撃は、毎秒1テラビットという巨大な負荷をかけ続けることで、大きな被害をもたらしました。 これほどの規模の攻撃を実現したのが、ネットワークに接続されたルーターやウェブカメラのハッキングです。今回の攻撃ではおよそ14万5,000台以上のIoT機器が関与していると見られ、IoTの脆弱性によって巨大なサイバー犯罪が実行される可能性が確認できた事例です。 DDoS攻撃はウイルスに感染したハードを使って実行されるだけでなく、感染されたハードのユーザーは自分のPCなどがDDoSに関与していることも気づかないケースも多いため、実行前に予兆を察知するのが極めて難しい点も懸念されています。 こういった巨大なDDoS攻撃を招かないためにも、一人でも多くのユーザーや企業がセキュリティ対策を徹底し、このような深刻なサイバー犯罪を招かない環境を構築することが重要であるとも言えるでしょう。 参考：https://gigazine.net/news/20160929-record-breaking-ddos/

仮想通貨取引所へのDDoS攻撃でビットコインの価値が下落

香港に拠点を置く世界最大級の仮想通貨取引所であるBitfinexは、2018年に受けたDDoS攻撃によって、取引の一時停止に追い込まれただけでなく、取引通過の下落にまで発展した事例が報告されています。 この攻撃によって影響を受けたのは取引のオペレーションだけで、個人のアカウントや口座には被害が直接及んだわけではありませんが、ビットコインの価格はこの事件を受け2％の下落に転じました。 仮想通貨は完全にデジタル市場に依存した通貨であるため、サイバー犯罪の影響を受けやすい側面を持っています。 情報漏洩などのセキュリティ事故がなくとも、企業や社会の経済活動に大きな影響が発生することを確認させられた事例と言えます。 参考：https://www.itmedia.co.jp/business/articles/1806/06/news091.html

DDoS攻撃からAWSを守るための方法

このような悪意あるDDoS攻撃からAWSの健全な運用を守るためには、主に2つの方法が挙げられます。ここでは主流な防衛方法であるAWS WAFとAWS Shieldの運用について、ご紹介します。

WAF(AWS WAF)を実装する

Web Application Firewall、通称WAFは、Webアプリケーションの脆弱性を外部の脅威から守ってくれるシステムです。AWSにはAWS WAFという専用のサービスが存在するため、こちらを導入することでセキュリティ対策を施せます。 AWS WAFは、セキュリティのノウハウがなくとも簡単な操作で実装ができる点や、コストパフォーマンスに優れている点など、多くの利点を有しています。今後Webサービスの規模拡大を検討している場合などは、導入しておくべき機能と言えるでしょう。

AWS Shieldを実装する

AWSをDDoS攻撃から守るもう一つの方法は、AWS Shieldの導入です。AWS Shieldはマネージド型のDDoS攻撃からWebサービスを保護するのに特化した機能で、最低限の保護を実行してくれます。 AWS WAFとは違い、AWS ShieldはAWSユーザーであれば誰でも無料で利用できるだけでなく、AWS WAF以上に簡単に実装が可能なため、運用の際には入れておいて損はないサービスです。 有料版のオプションプランとしてAWS Shield Advancedというサービスも用意されており、こちらはさらに強力な保護効果を得ることができます。通常のShieldでは不安がある場合、こちらを実装するのが良いでしょう。

AWS運用の保護を強化するためのポイント

DDoS攻撃からAWS運用を保護する上での最低限のルールが、以下の2つです。基本的な運用方針を遵守し、更なるセキュリティ強化を進めていきましょう。

AWS WAFとAWS Shieldは併用する

一つ目のポイントは、AWS WAFとAWS Shieldの併用です。二つのサービスはどちらも似たような保護効果を提供してくれていますが、単体で十分な効果を発揮するとは言えません。上述の通り、DDoS攻撃にもさまざまなアプローチがあるため、その全てをそれぞれの機能のみでカバーし切ることはできないためです。 お互いに防御可能な分野が限定されているので、補い合えるようなセキュリティ体制の構築が望ましいでしょう。

ONETECHでの導入例

AWS Shield を導入しddos攻撃対策をしました。ウイルススキャンツールはCLAMAVを使用。 管理画面からのファイルアップ時にも、データバリデーション、ファイルチェックを実施しています。 詳細はお問い合わせください。

マルウェアなど他の脅威対策も怠らない

二つ目のポイントは、DDoS攻撃以外の脅威対策にも目を向け、対策を怠らないことです。DDoS攻撃はポピュラーなサイバー攻撃の一つですが、マルウェアやランサムウェアなど、より凶悪な攻撃もDDoSと同じような頻度で被害報告が増えてきています。 これらの脅威はDDoS攻撃とは異なり、身代金の要求や、ユーザーの個人情報要求など、直接企業の経済活動へダメージを与える可能性のあるものばかりです。 企業の信頼性にも関わるため、これらのセキュリティ対策をシステム面から構築することはもちろん、人災によって招かれるケースもあるため、社内での啓発活動にも力を入れるべきでしょう。

おわりに

今回は、DDoS攻撃によってどんな被害がもたらされるのか、そしてAWS運用をDDoS攻撃やその他の脅威から守るための方法について、ご紹介しました。 IoTの導入やDXの推進によって、企業活動は更なる飛躍を遂げることができます。しかしその一方で新たな脅威が登場する可能性も足元には存在しているため、これらの対策も徹底することが真のDXには欠かせません。    

ベトナムオフショア開発会社　ONETECHはPROT0

もし、AWSについてプロのアドバイスが欲しいのなら、ぜひONETECHにご相談ください。

ONETECHはオフショア開発会社として１００社以上との取引実績を誇ります。 ONETECHではAWS資格保有のエキスパートがお客様の課題をカタチにします。

• インターネットサービスの企画はあるがどうしたら良いか
• どのようにクラウドを利用したら良いかわからない
• クラウドを利用するためのコストやポイントを知りたい
• 保守運用まで考慮した設計をしたい

セキュリティ対策を含むAWSのコンサルティングサービスを提供しています。気になること、不安なことをお気軽にご相談ください。

AWS導入について相談する

AWS構築サービス

AWS移行サービス AWS保守運用サービス ONETECH AWS構築実績