小林は、身支度もそこそこにタクシーを飛ばして会社に向かった。30分後に情報システム部に到着したときには、既に数名の社員と山下が相談をしているところだった。

山下:部長、お休みのところご足労いただき、ありがとうございます。

小林:山下君やみんなもご苦労。一体何が起こっているかわかったかね。

山下:DDoS(ディードス)攻撃を受けているのではないかと思います。

小林:DDoS? DDoSって何だ?

技術解説

 DDoSとはdistributed denial of serviceの略で「分散型サービス運用妨害」などと訳される。インターネット上のサーバーに対する攻撃手法の一種である。複数の(分散した)攻撃元から、一斉に大量のアクセスを仕掛けて、サーバーの機能を止めたり、正常にアクセスできなくさせる。

 DDoS攻撃は、ボットネットを使うことが多い。攻撃者があらかじめ世界中に存在する脆弱なパソコンに侵入して攻撃用のツールをインストールしておき、それらのパソコンに対して一斉に攻撃命令を下して攻撃させるものである(図2-1)。ただし、DDoS攻撃自体は、ボットネットが広まる以前から知られている古典的な攻撃手法である。

図2-1●典型的な DDoS攻撃の模式図
図2-1●典型的な DDoS攻撃の模式図
[画像のクリックで拡大表示]

 DDoS攻撃の目的は、サービス提供を妨害すること。このため、サーバーが最も利用される時間帯が狙われることが多い。例えばオンライン・ショッピング・サイトは夜間や週末に利用者が多いため、そのような時間帯を狙った攻撃も増えるというわけだ。

山下:××社からの報告では、2時間ほど前からウチのサーバーに対して多数のアクセスが集中しており、通常のアクセスが困難になっています。

小林:単にお客様によるアクセスがたまたま集中しているだけではないか? そうなら、ウチのサーバーの能力不足ってことだから、サーバーの性能をアップするか冗長化して負荷分散すればいいんじゃないか。DDoS攻撃を受けていると判断した理由は何だ?

山下:××社からの報告では、大量アクセスをしてくるアクセス元のIPアドレスが海外からのものになっているとのことです。当社のオンライン・ショッピング・サイトの利用者はほぼ100%日本の方なので、海外からのアクセスがここまで多い状況はあり得ません。

小林:なるほど…。

 確かにDDoS攻撃を受けていると判断するのは意外と難しい(図2-2)。小林が指摘したように、たまたま正規のアクセスが大量に集中した場合にもDDoS攻撃を受けた場合とまったく同じ状態になるからだ。DDoS 攻撃であるか否かは慎重に判断すべきである。この点については後述する。

図2-2●DDoS攻撃と正規の大量アクセスの区別は難しい
図2-2●DDoS攻撃と正規の大量アクセスの区別は難しい
[画像のクリックで拡大表示]

押田 政人(おしだ まさひと)
セキュリティを専門とする IT ライター。翻訳にも携わる。最近手がけることが多いテーマは、セキュリティ対策に必要な企業内組織体制。長年セキュリティ組織のメンバーとして活躍してきた。そこで培った豊富な知見と人脈が強み。

<< その1 その3 >>