セキュリティ業界では、常識だと思われているが実はそうでない「セキュリティの非常識」がたくさんある。

 そこでセキュリティリサーチャーである、インターネットイニシアティブ(IIJ)の根岸 征史氏、ソフトバンク・テクノロジーの辻 伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏の3人に集まっていただき、今みんなに知ってほしい「セキュリティの非常識」を熱く語ってもらった。最初のテーマは、「DDoS攻撃の非常識」だ。



:WebサイトへのDDoS 攻撃では、大勢の人たちが同時にF5キーを押す「F5アタック」や、テレビで放映される映画のセリフをSNSで同時に投稿する「バルス祭り」を想像する人が多いですよね。掲示板などで呼び掛けて参加者を募集します。ここでは、厳密な意味でのDDoS攻撃とDoS 攻撃を区別しないで話をしますね。

ソフトバンク・テクノロジーの辻 伸弘氏
ソフトバンク・テクノロジーの辻 伸弘氏
[画像のクリックで拡大表示]

piyo:そういった人たちは、Webサーバーを落としてやろうとまでは思っていないでしょう。

:「合法DDoS」なんて呼ぶ人がいるくらいです。

piyo:最近では、アクセスできないWebサイトが見つかると、それだけで「DDoS攻撃では?」とSNSなどに書き込む人がいます。やってもいないのに「俺が落としてやった」と宣言する人も。

:大勢で実行するイメージが強いDDoS攻撃を、実際には一人または数人で実行するケースが増えています。DDoS攻撃は、Webサーバーをサービス停止状態にすることなので、Webサーバーのリソースを枯渇できれば成功です。ツールなどを使って、UDPなどで帯域を埋めようとし、それで落ちなければ今度はHTTPのレイヤーで攻撃する、量的な攻撃が難しければWebサーバーの脆弱性を使ってサービス停止に陥らせるなんてことを、一人でもできる場合があります。

根岸:Webサーバーのリソース枯渇だけじゃなくて、ネットワークの帯域を消費させて、実質的なサービス停止状態にする攻撃もあります。ただ対策しているWebサーバーが増えていて、この方法だと落としにくいのも事実です。だから、HTTPとかアプリケーションのレイヤーで攻撃するケースも増えています。

:Webサーバーのリソースもネットワークの帯域もまだ十分にあるのに、サービス停止に陥ったケースも見つかっています。ネットワークとサーバーの間にあるネットワーク機器の負荷が高くなって、アクセスできなくなったようです。

根岸:そういうのは、DDoS攻撃というより設計ミスだね。たまにあるけど。攻撃を受けて、初めてミスがわかったみたいな。