「広範囲で執拗、かつテスト的」──年末年始のDDoS攻撃、有識者はどう見る

　2024年12月から25年1月にかけ、三菱UFJ銀行やJALなど、日本の大企業をDDoS攻撃が襲った。サイバー空間で発生する“物量”の攻撃ともいえるDDoS攻撃は、サーバとの回線の上限を大きく上回る容量での通信を発生させたり、サーバの性能をはるかに超える処理をさせたりすることで、サービスの停止を狙うものとして知られる。

【その他の画像】

　サービスが停止すれば、利用者にも見える形で成果が分かるため、政治的な主張を行うハクティビストもこの攻撃手法を使ってくる。しかし有識者によれば、年末年始にかけた攻撃には、過去の攻撃とは違った特徴が見られるという。

　ポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る本連載。第3弾となる今回は、アカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏と共に、一連のDDoS攻撃について探っていく。

●「広範囲で執拗、かつテスト的」　年末年始のDDoS攻撃、特徴は

──24年末から25年初頭にかけて、日本の大手企業が相次いでDDoS攻撃を受けました

中西氏：今回の攻撃では、自社でデータセンターを運用している企業で被害が大きかった印象です。世界規模のクラウドサービスは接続している回線の太さやその冗長性の面で、データセンター全体を落とそうとするDDoSにはある程度耐性がありますが、自社データセンターはそれらのサービスと比較するとISPとのアクセス回線の帯域が細く、直接攻撃を受けた際に打てる手段が限られる場合があります。

辻氏：アカマイのリポート「DDoS Attack Trends in 2024 Signify That Sophistication Overshadows Size」を読みました。この中に、「DDoSは量より質へ」とありましたが、具体的にはどのようなことが起きているのでしょうか？

参考：DDoS Attack Trends in 2024 Signify That Sophistication Overshadows Size | Akamai

中西氏：このレポートはグローバルの傾向を示したものですが、複数の宛先IPへの同時攻撃（水平DDoS）や、複数の攻撃ベクトル（プロトコル、レイヤー）を同時に使う攻撃が増えていました。全体の約30％が水平DDoSで、前年比10％増です。

辻氏：年末年始の日本企業への攻撃も、広範囲で執拗、かつテスト的な印象を受けました。レポートにあるように、攻撃者が効果的な手法を探っているのかもしれませんね。まるで人が判断しているような……。

中西氏：まさにそう感じます。実は2024年夏ごろにも小さなピークがあり、その時にテストが行われていた可能性も考えられます。攻撃はレイヤー3／4（ネットワーク層／トランスポート層）が主流ですが、既存の対策で予防されているとレイヤー7（アプリケーション層）も混ぜてくるのが一般的です。

辻氏：以前はレイヤー3から7へ切り替える印象でしたが、同時に来ることもあるのですね。最近の「Mirai」（IoTマルウェア）ボットネットを見ていると、攻撃者が自前でボットネットを用意しているケースも相当あるように思います。時間貸しのブーター／ストレッサー（ネットワークやサーバの堅牢性を試すサービスの悪用）だけでなく、自分たちが確実に使えるボットネットをマルウェア感染などで構築しているみたいな。

中西氏：Miraiに感染しうるデバイスの奪い合いですね。感染すると他のマルウェアを排除する動きも見られます。

辻氏：DDoSを陽動に使うことを考えると、確かに自分で確保しておきたいっていうのもあるかもしれません。

中西氏：Miraiの亜種はアカマイだけでも過去2年で10件ほど発見しています。24年末からのDDoSの攻撃ベクトルは、トレンドマイクロの調査とも一致しています。興味深いのは、トレンドマイクロが観測したMirai亜種による攻撃はレイヤー3／4に限られていた点です。感染させたbotの仕様によるものかもしれません。一方でレイヤー7DDoSは、高火力なパブリッククラウドなどから来ている傾向を観測しています。

辻氏：自前のボットネットと、貸し出されているブーター／ストレッサーでは違いがありますか？

中西氏：貸し出されているものは単に（攻撃を）“打つ”依頼をするだけです。自前だと、標的、タイミング、レートなどをより細かく制御できます。特にレイヤー7攻撃では、防御側の緩和システムを回避するため、「ロー＆スロー攻撃」と呼ばれるような、検知されない程度のレートで大量のソースからじわじわ攻撃する手法が使われます。

　オリジンサーバの弱い部分を探りながら、まるで職人のように手動で調整している気配がありますね。

辻氏：その「程よい感じの攻撃」が防御側に伝わっていないのが課題ですね。DDoS対策ソリューションを使っている人に聞いても、一番困っているのは「しきい値に引っ掛からないDDoS攻撃がきている」こと、という声があります。

　ニュースでは「過去最大の“何ギガ、何テラレベルの攻撃”が来ました」という話が盛り上がるんですが、量じゃない攻撃こそが大変だと思っています。

中西氏：量で倒れなかった時に攻撃者がロー＆スロー攻撃を使ってきます。

辻氏：企業によっては、DDoS対策は行っているものの、そのしきい値に引っ掛からずに抜けてきて、到達した先にあるサーバのスペックが低くて落ちるみたいなことも起きていますね。

中西氏：まさに。回線ではなく、サーバの処理飽和を狙うDDoSは、攻撃者の綿密な調査が必要ですが、そういった攻撃を行うことで、どこが落ちるか弱点を探っている。

辻氏：どこのDDoS対策が入っているか、外から見たら分かる場合もあります。そのため、第三者からは「○○というサービスを使っているのになぜ落ちてしまうの？」という反応もありますね。そのしきい値を超えないDDoS攻撃をどう対処すべきなのでしょうか。

中西氏：CDNのレートコントロールなどで対処しますが、しきい値チューニングだけでは限界があります。しきい値以外の技術、例えばTLSフィンガープリントや、ベンダー独自のインテリジェンス情報で分類したボットネット単位の識別IDなど、複数の緩和手法を組み合わせることでリスクの高い攻撃を選別し、正規トラフィックを通しつつ悪性トラフィックだけを削る必要があります。その対処にはDDoS対処に特化した専門性の高い分析能力や人的な判断力が必要です。

　こういったレイヤー7攻撃は、大手のパブリッククラウドに置かれたWebやAPIサーバに対しても有効なので、対策を考える時に注意してください。

●攻撃というより「威力偵察」に近い？

辻氏：「DDoS」という言葉は古くからありますが、攻撃内容は大きく変わっています。対策を考える上で、自社の状況に合わせて、どのサービスが有効か選定基準を持つことが重要ですね。

中西氏：今回の被害では、CDNを回避してデータセンターのIPアドレスを直接狙う攻撃も見られました。防御範囲や量の想定が甘かった、もしくは欧米を中心に変化してきたDDoSの質やボリュームに対して、国内の多層的なDDoS対策の仕組みや回線容量などが10年近くアップデートされていなかった可能性があります。正規トラフィックに似せた攻撃を初見で見分けるにはどうしても時間がかかります。識別するまでの間、インフラが脆弱だとサービスが停止してしまいます。

辻氏：数十分システムを遅延させられれば、ハクティビストにとっては成功ですからね。海外では金融機関などが既に対策を進めていましたが、日本では対岸の火事だったのかもしれません。サイバー空間に国境はないはずなのですが……。

　攻撃の「継続時間」も気になります。レポートでは60分以上の攻撃が増えているとありましたが、なぜでしょうか？

中西氏：攻撃者が自前のボットネットを維持するにはコストがかかります。攻撃実行部隊の背後に、それを可能にする強力な資金源のあるスポンサーがいて、資金調達の仕組みが整っている可能性が示唆されています。地政学的なリスクの表れかもしれません。

　24年10月にオーストラリアで起きたDDoS攻撃と類似したツールが、日本の攻撃でも使われていたとわれわれは分析しています。攻撃の実行者や所属する国籍は違うかもしれませんが、同じツールが共有されている可能性もありえます。

辻氏：傾向としては、継続時間が伸びてきているということですかね。

中西氏：攻撃の期間も長期化しています。数カ月にわたり、断続的に攻撃が繰り返されるケースもあります。年末年始以降も、手を変え品を変え、同じ企業への攻撃が続いている傾向があり、単なるハクティビストとは思えません。

　これは攻撃というよりサイバー領域を含むハイブリッド戦における「威力偵察」に近いのではと個人的には感じています。相手の対応能力を探っている。防御側としては、そうした背景も考慮し、最悪のケースに備える必要があります。

辻氏：年末年始の攻撃は、本気でダメージを与えたいなら規模が小さく感じられますし、業界も絞られすぎていました。影響を最大化するなら帰省ラッシュなどを狙うはず。何かの準備段階かもしれませんね。

中西氏：攻撃者は防御する側以上にシステムの構成を熟知しています。パブリックIPアドレス範囲を総当たりして構成上の弱点を調査しています。使われていないポートやIPアドレスに攻撃を仕掛けても、一方的に通信を送りつけて回線をふさぐUDPベースのDDoSは成立してしまうので、その対策も打っておく必要があります。

　また、ログインページなどCDNのキャッシュで応答できない箇所を狙うこともあります。昔とは違い、大量のbotでボリュームを稼ぐだけでなく、効果の出る攻撃目標を探りながら巧みに手法を切り替えてくる。それを予防するためには、システムの棚卸しと潜在的な弱点の洗い出し、bot対策など複合的な取り組みが必要です。

　また今回、次々と変化する攻撃ベクトルや標的に対処するために、DDoS対策専門チームのノウハウと、さまざまな攻撃緩和策の投入が不可欠でした。セキュリティ対策ベンダーは「自動でなんでも対処できますよー」と説明しがちですが、そのような「製品のスペックシートに現れないサービスの質」にもぜひ目を向けるようにしてください。

辻氏：もしDDoS対策を始めたい、と思ったとき、どのくらいの期間があればソリューションを入れられるものなのですか？

中西氏：Akamaiの場合、DDoS対策は、緊急であれば最短1日程度で導入可能な場合もありますが、設定チューニングの精度を考えると十分な準備期間を取ることが望ましいです。

　自前のデータセンターへの直接攻撃からどう守るかについては、例えば契約しているISPに、不要なアドレスやポートをブロックするアクセスリストフィルターを設定するだけでもアクセス回線の負荷を下げる効果が期待できます。ただこれも、攻撃下の混乱した状態で“エイヤ”で設定を投入すると、DNSなどの「目立たないけど必要な通信」まで止めてしまう事故がよく起きますので、同じく平時の備えが望ましいです。

●“平時に棚卸し”がカギ　対策の考え方

──DDoS対策を進める上で、他に重要な点はありますか？

中西氏：ユーザー自身が攻撃を受けていることにどう気付くか、アプリケーションレベルでの監視やアラートの仕組みが重要です。また社内で、「このサービスは絶対に守るが、そのためならこれは停止しても構わない」といった優先順位付けを行い、トリアージのクライテリアについて平時に意思統一しておくことが、迅速な初動対応につながります。

　例えば、特定の国からのアクセスを一律ブロックすることができるかできないかという判断です。

辻氏：できるかできないとは、能力的な問題ではなく、ポリシーの問題ですか？

中西氏：まさにその通りです。海外事業部が反対するといったケースもあるかと思うので、どこを残し、どこを生かすかというのが社内レベルで統一が取れれば、初動時の意思決定と対処の実行が早くなります。

辻氏：まとめてもらったこの図の一番下、「ベンダーのSOC（Security Operation Center、システムへの脅威を常時監視・分析する組織）と、対処手順書の内容を更新」というのが大事なポイントじゃないかと思います。

　任せっきりみたいな状況だと、自分たちがやらないといけないことに気付けていないとかもありますし。

中西氏：ベンダーとの連携も含めた対処手順書を常に最新化し、机上演習などで確認しておくことが重要です。

辻氏：そのためには、どのシステムが落ちたらどれくらいの影響があるのか、事前にちゃんと話をして想定を作っておかないと、そこに進めないですね。

中西氏：システム構成の把握も不可欠で、Webサーバだけでなく、バックエンドシステム、認証サーバとの連携、VPN接続された外部組織など、インターネット回線を共有しているシステムで、回線が落ちた時、総合的な業務継続プラン（BCP）上、どこが「単一障害点（Single Point of Failure）」になり得るか、平時に棚卸ししておく必要があります。単なる回線障害と異なるのは、バックアップの回線に切り替わっても、その回線もすぐにDDoSで落とされてしまうことです。

　最近では、DDoSの標的になりやすいWebサーバだけパブリッククラウドに逃している事業者も増えてきていますが、自社のデータセンターで利用しているインターネット回線を、Webで提供しているサービスの裏側で動いているタスクや、その他の業務用のシステム、サプライチェーン連携などで共有している場合、その回線をIPアドレスから探ってふさがれると、それを利用して提供しているサービスや役務の行使が止まってしまいます。

辻氏：場合によっては、構成も変えなくてはならないかも

中西氏：そうなんです。実は構成の問題でもあります。

●DDoS対策 “どこまでやればいいんだ問題”

辻氏：どこまで対策すれば良いのか、という線引きも難しい問題です。以前は攻撃ボリュームで10Gbpsが一つの目安といわれていたこともありました。

中西氏：今はボリュームだけでは線引きできません。ニュースで報道されることによるブランドイメージ低下、つまりレピュテーションリスクを懸念する声が大きいからです。社会的に重要なシステムや多くの消費者が利用するサービスであれば、攻撃がどんなボリュームであろうと、サービスが止まれば信用は失われます。

　ただ、ビジネスや社会への影響が少ないシステムであれば、落ちても構わないと割り切る判断も必要だと思います。「本体を守るために、ここは一時的に落としても良いと判断しました」と堂々といえるかどうか。

辻氏：自治体サイトへの攻撃などでよく思います。重要情報以外なら、対策コストを考え「影響は軽微なので対応しません」と表明しても良いのではと。その対策コストは税金そのものですから。

中西氏：そうした割り切りができれば、例えば自治体なら、災害情報や国土防衛、治安に関する情報などの守るべきシステムを一箇所に集約し、コスト効率が良く、高度な対策を施す設計も可能です。

　DDoSは簡単に実行できてしまうため、陽動として使われ、裏でマルウェア感染など深刻な攻撃が行われることもあります。CSIRT（Computer Security Incident Response Team、セキュリティインシデントに対応するチーム）がDDoS対応に忙殺されている隙を狙われるのです。守るべきものを明確にし、CSIRTには全体に目を配る「対策の司令塔」としての意識が必要です。

　同時に、他国からのサイバー攻撃による「認知戦」のワナにハマらないために、「考え抜かれたうえでの一部のサービスの一時停止」を許容する社会の雰囲気の醸成も、重要かもしれません。

辻氏：守りたいものが明確なところは強いですね。「全部守りたい」では対策は難しい。選択と集中が基本です。100円の価値のものを守るのに100万円かけるのはおかしいですが、「100円のものを盗まれるような組織だ」と思われるのも困る。ブランドイメージを守りたいという意識はどれくらい強いのでしょうか？

中西氏：セキュリティ対策を強化する理由のアンケートを取ると、ほぼ100％の企業がそれをあげます。特に経営層は、直接的な金銭的損害よりブランド価値低下を懸念しています。現場の部長に「ウチのサイトは落ちてもどうってことないよ」と意見を伺うことがあっても、コトが起きた時実際に頭を下げるのは取締役ですから、われわれも対策の提案時には、経営層の「視野の広い総合的な判断」を確認することが不可欠です。

辻氏：攻撃者に「対策が甘い」となめられるリスクもあります。一度狙われると、執拗（しつよう）に攻撃されたり、他の攻撃の標的になったりする可能性も高まります。

中西氏：「クマに襲われたとき、逃げるなら他の人の半歩先を行きなさい。なぜなら半歩遅れた人から襲われているうちに逃げきれるから」という例えの通り、他社より半歩先んじた対策が、結果的に自社を守ることにつながるかもしれません。

──本日はありがとうございました