ヨドバシカメラの通販サイト「ヨドバシ・ドット・コム」が、9月2日から3日にかけて何者かの攻撃を受け、利用できない状態となっていた。同社によれば、2日の12時頃から同社のインターネット回線に対し、「DoS攻撃」と呼ばれる、大量のデータを送りつける不正な通信が発生。同社やグループ会社のすべてのインターネットサービスが、2日12時頃から3日午前3時頃、3日12時頃から4日午前3頃まで断続的に利用できない状態となっていたほか、問い合わせの電子メールも一部送受信することができなかった。
「DNSアンプ」で回線パンク
大量のマシーンから1つのサービスにDoS攻撃をしかけることを「DDoS攻撃」と呼ぶ。DDoS攻撃対策ソリューションを手掛ける、アーバーネットワークスの佐々木崇SEマネージャーは「DDoS攻撃にはさまざまな手法があり、攻撃者は組み合わせて攻撃してくることが多い」と話す。今回のヨドバシカメラのケースで使われたとみられるのが「DNSアンプ攻撃」と呼ばれる手法だ。
DNSとは「ドメイン・ネーム・システム」の略で、インターネット上のホスト名(例えばyodobashi.com)」とIPアドレスとの結びつきを管理するためのものだ。ウェブブラウザーなどからホスト名を入力すると、DNSサーバーに問い合わせ、対応するIPアドレスを引き出しブラウザーに渡す。ブラウザーではそのIPアドレスで当該サイトのウェブサーバーと通信するという仕組み。
DNSアンプ攻撃はこの仕組みを悪用したものだ。攻撃者はパソコンなど複数端末からDNSサーバーにリクエストを送る。この際、自分のIPアドレスを攻撃したいサイトのものに偽装する。例えば今回のケースでいえば、攻撃する端末のIPアドレスをヨドバシカメラのそれに偽装。端末から発したリクエストはヨドバシカメラのサーバーへと戻ってくるわけだ。
DNSのリクエストは、問い合わせする時より応答時の方がデータ量は数十倍に膨れ上がる。つまり、威力が増幅されるため「アンプ攻撃」と呼ばれている。例えば、通販サイトのウェブサーバーとインターネットをつなぐ回線の帯域幅が1Gbpsであれば、DNSアンプ攻撃によるパケット量がこれを超えたら一般ユーザーは接続不能となる。
「例えていうなら、往復はがきの返信先を無関係な人に偽装するようなもの。身に覚えがないはがきが大量に届き、さらに重い荷物まで付加されている」(佐々木氏)。通販サイトとは無関係な、世界中のDNSサーバーから大量のパケットが送りつけられるため「ネットワークの上流に対策用のデバイスがない限り、ウェブサイト側はどうしようもない」(同)。
DNSアンプ攻撃は、大量のデータを送りつけることで回線をパンクさせてしまうというものだが、「アプリケーションレイヤーへの攻撃」の場合は、普通の通信とデータ量としては変わらないのに、サーバーに負荷をかけることができる。サーバーに対してゆっくりと、分割して問い合わせをすることで負荷が増す。「例えるなら『あ』『い』『う』『え』『お』と1つの文章を細かく分割してはがきで送りつけるようなもの」(同)。
「踏み台」使って攻撃
こうしたDDoS攻撃は、「ボットネット」を利用して行われることが多い。ボットネットとは、マルウエア(ウイルス)に感染し、犯罪者に乗っ取られたパソコンなどの端末によるネットワークのこと。外部から司令を受けてさまざまな攻撃を行う。悪意あるサイトにアクセスしたり、マルウエアが仕込まれた文書を起動したりすることで、OSやソフトウエアのぜい弱性を突かれてマルウエアに感染し、乗っ取られてしまう。こうした端末がいわば「踏み台」として犯罪者に利用されるわけだ。
最近ボットネットの端末として多くみられるのがIoT関連。「パソコン以外のデバイスはネットにつながっていてもセキュリティー対策が施されていないことが多く、攻撃者にとってはやりたい放題」(佐々木氏)。DDoS攻撃に使われる端末のうち、約30~40%はIoTデバイスというデータもあるから深刻だ。攻撃者はTelnet(端末を遠隔操作するための通信手段)からログインできるデバイスを探し、侵入を試みるという。
例えば、監視カメラがマルウエアに感染し、DDoS攻撃に加担するケースなどもある。セキュリティー対策が施されていないだけではなく、リモートログインする際に入力するID・パスワードを初期設定のまま使っているユーザーも多く、そこを突かれて乗っ取られ、マルウエアを仕込まれるのだという。
そもそも、ボットネットは攻撃者が構築したとは限らない。誰かが作ったボットネットを活用し、攻撃するケースもあるわけだ。佐々木氏によれば、ロシアや中国、アメリカなどには「DDoS攻撃代行サービス」を提供するサイトもあるという。つまり、金さえ払えば誰でもボットネットを借り、DDoS攻撃ができるわけだ。
こうした攻撃者は何を目的にしているのだろうか。主義主張を示したり、技術力を誇示したりするケースもあれば、「DDoS攻撃をやめてほしければ金を振り込め」と脅迫するケースもある。中には「何らかの理由でそのサイトに腹を立てた」ことで仕掛ける攻撃者もいる。例え通販サイトは身に覚えがなくても、攻撃を受けるリスクは常にあるといえるだろう。
まずはISPのサービス活用を
では、DDoS攻撃への対応策はあるのか。まずはネットワークの上流である、インターネットサービスプロバイダー(ISP)が提供する対策サービスを利用するのが一般的。アーバーネットワークスはISP向けに対策ソリューションを提供しており、ISPのサービスとしては月額数十万円が一般的なライン。
ただ、小規模なISPの場合、対策サービスを提供していない場合もあるので、注意が必要だ。ただ、アプリケーションレイヤーへの攻撃については「ISPからするとこの手の攻撃は回線の帯域を消費しないので、ISPには影響が少なく、対策してもコストばかりかさんでしまう。そのため、自前での防御を考える必要がある。サーバーの手前にDDoS攻撃への防御装置を導入しないと、さまざまな手法のDDoS攻撃を防ぐことは難しい」(佐々木氏)。
また、場合によっては数百Gbpsという大規模なDDoS攻撃を犯罪者が行うこともあるが、この場合はISPの提供するサービスでは防げない可能性もある。ただ、佐々木氏によれば、日本に来るDDoS攻撃は、10Gbps以下がほとんどという。リスクとコストを見極める必要もある。
一般紙などでも報道され、消費者にも大きなインパクトを与えた、今回のヨドバシへのDDoS攻撃だが、ヨドバシ以外にも8月末から9月初めにかけて、出版社の技術評論社のサイトや、画像掲示板「ふたば★ちゃんねる」など、さまざまなサイトがDDoS攻撃を受けたことが分かっている。また、アーバーネットワークスによれば、ヨドバシへの攻撃と同じくして、同社の顧客企業へのDDoS攻撃が確認されているという。
これらサイトへの攻撃に関連性があるかどうかは不明だが、「著名な通販サイトのサーバーダウン」はインパクトが大きいだけに、今後も注意が必要だ。特に、日本は2020年の東京五輪を控えており、五輪に便乗して犯罪者が大規模な攻撃を仕掛けてくる可能性がある。16年のリオ五輪ではDDoS攻撃による目立った被害は報道されなかったが、「決して攻撃がなかったわけではない。きちんと対策することで防御できたからだ」(佐々木氏)。
今回のヨドバシのケースでいえば、昨年度の売上高は1000億円近いため、1日サイトが止まるだけでも、単純計算では2億7000万円以上の売り上げが消えることになる。通販サイト側も、利用するデータセンターやクラウドサービスが「対策はしているだろう」と油断せず、まずは自分たちのサーバーやサイトを預けている会社が、どんなセキュリティー対策を施しているかを確認する必要がある。佐々木氏は「今はどの通販サイトでもファイヤーウォールを入れているだろうが、同様にDDoS攻撃への対策も必須だ」と説く。