DDoS(Distributed Denial of Service:分散サービス妨害攻撃)攻撃がインターネットをむしばんでいる。DDoS攻撃とは,複数のマシン(ホスト)から大量のトラフィックを送信して特定のサーバーのリソースや回線の帯域を使い果たし,正常なサービスを提供できないように妨害するもの。DDoS攻撃自体は目新しくないが,攻撃者側の環境の充実やボットネットの“普及”により,近年,その脅威がより大きなものになっている。国内でも一部のISPがDDoS対策サービスの提供を開始している。そこで,DDoS攻撃の現状についてまとめておく。

2000年にはYahoo!やAmazon.comが被害

 筆者が「DDoS」という言葉を知ったのは1999年12月のこと。セキュリティ組織のである米CERT Coodination Center(CERT/CC)のワークショップが出したホワイト・ペーパー(PDFファイル)を読んで知った。当時所属していた雑誌で記事にしたが,それほど反響はなかったと記憶している。

 だが,2000年に入るとDDoS攻撃が広く知られるようになった。2月はじめに米Yahoo!や米eBay,米Amazonといった大手サイトが実際に攻撃を受けて,一時的にサービス停止に追い込まれたためだ(関連記事)。このとき使われていた攻撃プログラムは「Trinoo」や「TFN」,「Stacheldraht」など。これらをユーザーが実行してしまうとパソコンを乗っ取られ,DDoS攻撃の踏み台にされる。今で言う「ボット」である(関連記事)。2月の被害発生を受けて,セキュリティ組織やベンダーでは対策のガイドラインやツールなどを公表するとともに注意を呼びかけた(関連記事)。

 その後,DDoS攻撃を仕掛けるワーム(ウイルス)が出現。一種の“ブーム”となった。代表的なものの一つが,2001年7月の「Code Red」である(関連記事)。特定の日時に自動的に米ホワイトハウスのサイトへ大量のパケットを送信するようにプログラミングされていた。このときは,ホワイトハウスのURLを事前に変更したので事なきを得たが,その後も,感染パソコンをDDoS攻撃の踏み台にするワームは続々と出現した。

 例えば,2002年9月に現れたApacheサーバーに感染する「Slapper」には,DDoS攻撃の機能が備わっていた(関連記事)。2004年2月に感染が広がった「Mydoom」ワームの変種の一つは,米SCO Groupのサイトへ攻撃を仕掛けて停止に追い込んだ(関連記事)。

 2004年以降は,ボットがDDoS攻撃のツールとして注目される(関連記事)。数千~数万のボット感染パソコンで構成されるボットネットから,特定サイトへ攻撃を仕掛ける。単にサービスを妨害するだけでなく,DDoS攻撃をちらつかせた「サイバー恐喝」も出現している(関連記事)。「以前は愉快犯的だった攻撃が,犯罪などを目的とした恣意(しい)的なものに変わってきている」(NTT情報流通プラットフォーム研究所 セキュアコミュニケーション基盤プロジェクト プロジェクトマネージャの深澤友雄氏)

 インターネットイニシアティブ(IIJ)技術本部 プロダクト推進部 課長の齋藤衛氏は,「サイバー恐喝のターゲットになるのは,ネットに依存したビジネスを展開している企業」と警告する。例えば,欧州のオンライン・カジノ・サイトがサイバー恐喝を受けたことが明らかになっている(関連記事)。

攻撃は確実に増えている

 以上のように,2000年以降,ネットの脅威の一つとなっているDDoS攻撃。情報漏えい関連の事故と比べれば報道される機会が少ないために,「国内ユーザーの認識度はそれほど高くない」(NTTコミュニケーションズ グローバル事業本部 新規事業開発部 主査の相田和賢氏)のが現状。しかし,その脅威は確実に大きくなっている。ISPの運用現場では,それを肌身で感じているという。

 「IIJのユーザーに限った話だが,2003年ごろは,DDoS攻撃に関連したインシデントは月に1回程度といった印象だった。だが2004年後半以降は,週に1回は発生している」(IIJの齋藤氏)

 「2003年まではユーザーからの報告だけが頼りだった。当時は月10~15件程度,DDoS攻撃を受けているらしいという報告や相談を受けていた。2004年夏に検出ツールを導入して調べると,影響が大きいインシデントが月60~70件程度検出されるようになった」(NTTコミュニケーションズ グローバルサービス事業部 グローバルIPネットワーク部門 主査の水口孝則氏)。「現時点での正確な数字は出せないが,右肩上がりで増えていることは確か」(同IP Engineerの小島慎太郎氏)

 なぜ増えているのか。その原因の一つには「ボットネットの存在」(NTTコミュニケーションズの水口氏)が挙げられる。「ボットはオープンソースとして公開されているので,だれでもカスタマイズして使える」(同 小島氏)。

 ボットに加え,攻撃側のインターネット環境が充実したことも原因であると,今回取材した専門家の多くは口をそろえる。

 「基本的にDDoS(DoS)攻撃は“物量作戦”。相手のリソースを消費させるには,攻撃側にも相当のリソースが必要である。5年ほど前までは,攻撃側のリソースが十分ではなかった。ところが現在では,太いインターネット回線を安価に利用できるようになった。パソコンの性能も向上している。このためボットネットを使わなくても,複数の人間が繰り返しアクセスするだけで,企業サイトを十分“いじめる”ことができる」(IIJの齋藤氏)。「FTTHのユーザーが数人同時に攻撃するだけで,サイトを落とせてしまう」(ラック SNS事業本部 セキュリティプランニングサービス部 担当部長の新井悠氏)。

 ネット上では個人がDDoS攻撃を仕掛けるためのツールが公開されているという。「攻撃仲間を募るとともに,ツールを配布しているWebサイトが存在する」(ラックの新井氏)。「DDoS攻撃では攻撃側が圧倒的に有利だ。守る側では,回線やサーバーの増強などが必要でコストがかかる。一方,攻撃側は掲示板などで仲間を募れば,コストをかけずにリソースを増強できてしまう」(IIJの齋藤氏)