図 DoS攻撃は本来の仕事をさせないように邪魔をする攻撃である
図 DoS攻撃は本来の仕事をさせないように邪魔をする攻撃である
[画像のクリックで拡大表示]

 DoS攻撃とは,大量の無意味なデータを送りつけるなどしてサーバーに意図的に負荷をかけ,サービスを正常に提供できなくする攻撃のことである。DoSはdenial of serviceの略で,日本語では「サービス妨害」や「サービス拒否」などと訳される。何か仕事をしている人に,わざと話しかけて邪魔をするイメージと言えるだろう(図)。

 一般にDoS攻撃は,Webサーバーやメール・サーバーなど,インターネット上の公開サーバーに対して実行される。代表的なDoS攻撃の手法としては,「ICMPフラッド攻撃」と「SYNフラッド攻撃」がある。

 ICMPフラッド攻撃は,IPレベルで通信相手の到達性を確認するpingコマンドで使う「ICMP Echo Request」という制御用パケットを,攻撃対象に大量に送信するという攻撃である。これにより,攻撃対象のシステムはICMPリクエストへの応答のために処理能力を使い切ってしまい,ほかのパケットを処理できなくなる。例えるなら,宅配ピザ店にイタズラ電話をかけ続けて,本当に注文したい人からの電話がつながらない状態にするといったところである。

 もう一つのSYNフラッド攻撃は,攻撃者がサーバーに対して大量のTCP接続応答待ち状態を作り出させるという攻撃である。TCPを使って相手と通信する際には,最初に「3WAYハンドシェーク」と呼ぶ3ステップの接続手順を実行する。SYNフラッド攻撃は,攻撃側がこの接続手順を途中でわざと止めてしまい,「ハーフ・オープン」という状態を作る行為を何度も繰り返す。するとサーバーは,接続途中の状態を保ったまま,次々と新しい接続要求を処理しなければならなくなる。やがて応答待ちの接続数がサーバーの限界を超えてしまい,新たに接続を受け付けられない状態になってしまう。

 DoS攻撃をさらに悪質にしたDDoS攻撃という手法もある。DDoSの先頭のDは「distributed」の略で,日本語では分散型DoS攻撃などと訳す。DDoS攻撃は,複数台のコンピュータからDoS攻撃をしかけるというもので,そのためのツールとしてウイルスやワーム,トロイの木馬といった不正プログラムが利用される。攻撃者はまず,インターネット上にあるセキュリティの甘いパソコンに,攻撃用の不正プログラムをこっそり仕掛ける。こうしたパソコンのことをゾンビ(zombie)などと呼び,攻撃者がゾンビに対して攻撃指令を出すと,ゾンビは攻撃対象に対して一斉に攻撃を開始する。最近では,こういったゾンビを組織化して悪用する「ボットネット」というものも登場しています。

 DoS攻撃やDDoS攻撃は,対策が難しいという問題がある。なぜなら,DoS攻撃によるアクセスと通常のアクセスの見分けがつきにくいためである。相手に大量のパケット送信をやめさせることも難しく,仮にサーバーがダウンしなくても大量のパケットで回線がパンクしてしまうケースがあるため,抜本的な解決策はないのが実情である。ユーザーとしては最低限自分がDDoS攻撃の加害者(ゾンビ)にならないように,ウイルス対策ソフトなどでパソコンを定期的にチェックする必要があるだろう。


●筆者:星沢 裕二(ほしざわ ゆうじ)氏
セキュアブレインのプリンシパルセキュリティアナリスト。米シマンテックのセキュリティ対策チームで,ウイルス解析の仕事に長年従事していた。2004年10月から現職。
●イラストレータ:なかがわ みさこ
日経NETWORK誌掲載のイラストを,創刊号以来担当している。ホームページはhttp://creator-m.com/misako/