分散型サービス不能攻撃(DDoS)の被害が後を絶たない。DDoS攻撃の最初の被害から20年目となる今年、攻撃を防ぐために何ができるのか、ジョージ・メイソン大学のサイバーセキュリティ専門家が検討した。
1999年7月22日、ミネソタ大学
1999年7月22日はコンピューティング史に残る厄災の日だ。この日、ミネソタ大学の1台のコンピューターが、トリン00(Trin00)という悪意のあるスクリプトに感染した114台のコンピューターのネットワークから突如攻撃を受けたのだ。
トリン00に感染した114台のコンピューターは、過剰なデータパケットをミネソタ大学に送り、多大な負荷をかけて正当なリクエストの処理を停止させた。この攻撃の結果、同大学のコンピューターは2日間にわたって機能を停止した。
これが世界初の分散型サービス不能(DDoS)攻撃だ。だが、この攻撃が拡散するまでにそう長くはかからなかった。
数カ月以内に、ヤフーやアマゾン、CNNなど多数のWebサイトが被害を受けた。いずれも膨大なデータパケットを送信された結果、正当なトラフィックを受け付けられなくなったのだ。どの事例でも、悪意のあるデータパケットは、感染したコンピューターのネットワークから送信されていた。
それ以来、分散型サービス不能攻撃は一般的になった。
攻撃する側は、攻撃すると脅しをかけたWebサイトから多額の金銭を奪い取るようにもなった。ダーク・ウェブでサービスを販売する者すらいた。単一のWebサイトへの24時間の分散型サービス不能攻撃が、わずか400ドルだったこともあった。
被害者側は、売上の面でも評判を傷つけられる面でも、多大な損害をこうむる可能性がある。これが転じて、こうした攻撃からWebサイトを保護するサイバー防衛市場の誕生につながった。
この市場は2018年には20億ユーロという驚くべき規模になった。こうした事実すべてが、1つの重要な問いを導き出す。分散型サービス不能攻撃を防ぐために、もっとできることはないのだろうか。
「マスター」と「デーモン」
最初の攻撃から20年が経った現在、バージニア州にあるジョージ・メイソン大学のエリック・オスターワイル助教授とその同僚たちは分散型サービス不能攻撃の性質や、手法の進化、そしてネット・ワークアーキテクチャーにおいてネットワークの安全性を増すために解決するべき基礎的問題がないかどうかを研究している。
しかしオスターワイル助教授らが言うには、その答えは単純なものとはほど遠い。「安価で使い捨てができるボットが存在する状況は悪人にとってうまみを増すばかりです。インターネット・サービス運営者へ及ぼす悪影響はより大きくなっています」
まずは背景を説明しておこう。分散型サービス不能攻撃は通常、段階を踏んで進行する。最初の段階では悪意のある侵入者が、ネットワーク全体に広がっていくよう設計されたソフトウェアをコンピューターに感染させる。
最初に感染したコンピューターは「マスター」と呼ばれるが、これはマスター以降に感染したコンピューターを制御できることに由来する。感染したコンピューターのうち、マスター以外の実際の攻撃を実行するコンピューターは「デーモン」と呼ばれる。
最初の段階でターゲットになるのは、大学のコンピューター・ネットワークであることが一般的である。大学のネットワークには多種多様なデバイスが接続されているからだ。
分散型サービス不能攻撃は、マスターからデーモンに向けて、ターゲットのアドレスを含むコマンドが送信されて始まる。デーモンは大量のパケットを特定のアドレスに送信する。
目的は攻撃が続く間中、ターゲットをトラフィックで溢れかえらせることだ。現在実施されている最大規模の攻撃では、1秒間にテラビット単位のデータパケットが送信される。
攻撃者は多くの場合、居場所や身元を隠すためあらゆる手を尽くす。
たとえば、IPスプーフィングと呼ばれるインターネット上のアドレスを偽装する手法は、データの送信元であるデーモンの在りかを隠すためによく使われる。マスターは、攻撃を開始するためのコマンドをひとつ送信するだけなので探知が困難だ。
攻撃者はまた、自分がどこにいようとも、アクセスが困難な国にあるデーモンだけを使って攻撃することもできる。こうした攻撃を防ぐのが困難なのは、広範な運用担当者が協調して行動する必要があるためだ。
防衛側に打つ手はあるのか
そもそもの最初の防衛ラインは、デーモンのネットワークの生成を阻止するところにある。
そのためにシステム管理者は、使用するソフトウェアを定期的にアップデートし、パッチを当て、さらにネットワークの他のユーザーに対しても安全な使い方を奨励する必要がある。たとえば、パスワードを定期的に変更する、パーソナルファイアウォールを使うなどだ。
インターネット・サービス・プロバイダー(ISP)にもできることがある。
ISPの役割は、データパケットのヘッダーに含まれるアドレスに応じて、データパケットをネットワーク上のある部分から別の部分に転送することだ。転送は、データパケットの送信元について考慮することなく実行される場合が多い。
しかし、その状況は変えられるかもしれない。ヘッダーには送信先となるターゲットのアドレスだけでなく送信元のアドレスも含まれている。そのため、ISPは理論的には、送信元アドレスを割り出し、送信元の偽装が明らかなパケットをブロックできるのだ。
とは言うものの、こうしたことを実行すると、計算コストが高くなるし、時間もかかる。さらに、ISPは必ずしも分散型サービス不能攻撃のターゲットになるとは限らないため、コストがかかるパケット転送手順を採用するインセンティブは小さい。
最後に、ターゲット自身が攻撃の影響緩和に向けた手を打つこともできる。
すぐ頭に浮かぶ方法の一つは、悪意のあるデータパケットが到着しても通さないことだ。これはデータパケットの検出が容易で、攻撃側のトラフィックに対応できるだけの計算リソースがある場合には有効である。
ただし、そうしたリソースは高額であり、最新の脅威に対応するべく継続的にアップデートしなければならない。
ほとんどの場合はリソースを使わずに置いておき、攻撃されたときにだけ稼働させる。しかも、稼働させても最大規模の攻撃には対応できない可能性もある。したがって、こうした対策が採用されることはめったにない。
試される防衛側の合意と意志
他の選択肢として、こうした攻撃への対策が整っているクラウドベースのサービスに、対応をアウトソーシングするという手もある。こうすれば分散型サービス不能攻撃の問題を「スクラビング(浄化)センター」で緩和するという形に一本化でき、うまく対処できることも多い。
しかしこうしたサービスでさえ、攻撃が大規模になれば対処できない可能性もある。
これらのすべてが、もっと他にできることはないのかという問いにつながる。「どうすればネットワーク・インフラを改良し、分散型サービス不能攻撃を成立させている原理に対処できるのでしょうか」(オスターワイル助教授ら)
最初の攻撃から20周年の節目となる今年は、この問題についてより詳細な研究をする機会となるべきだとも述べている。「必要とされるのは、分散型サービス不能攻撃を成立させ、悪化させている根本要因についての調査であると考えています」
分散型サービス不能攻撃についてのひとつの重要な所見は、攻撃側と防御側の非対称性だ。分散型サービス不能攻撃は一般的に、世界各地にある多数のデーモンから実行されるが、一方で防御は概ね単一の場所、すなわち攻撃を受けているノードで実行される。
ここでの重要な問いは、こうした攻撃に対し、ある種の分散型の防御機構を組み込むことを目的としてネットワークを改修することは可能か、またそうした改修をするべきであるか、ということだ。
たとえば、データ転送を一方通行にすることで、ISPは発信元が偽装されたデータパケットを簡単にフィルタリングできるようになるかもしれない。
別のアイデアとして、インターネット内を移動するデータパケットを追跡可能にするというものがある。
各ISPが、たとえば2万あるデータパケットのうち1つをルーティングの過程でサンプルとしてマークし、移動経路を後から再現できるようにするのだ。こうすれば被害者と警察は、攻撃が終わった後からでも攻撃の出所を追跡できる。
インターネットを安全にする可能性を秘めたアイデアは他にもある。しかし、これらのアイデアには、実行に向けた合意と意志が必要となる。オスターワイル助教授らは、行動を起こす機は熟したと考えている。
「これは行動の喚起です。研究者のコミュニティが私たちの最大の希望です。呼びかけに答えて行動を起こすのに彼ら以上の適任者はいません」
(参照:arxiv.org/abs/1904.02739 : 20 Years of DDoS: a Call to Action:分散型サービス不能攻撃の20年:行動の喚起)
原文はこちら(英語)。
(執筆:エマージングテクノロジー フロム アーカイブ/米国版 寄稿者)
This article is provided by MIT TECHNOLOGY REVIEW Japan. Copyright © 2019, MIT TECHNOLOGY REVIEW Japan. All rights reserved.
この記事は、株式会社KADOKAWAが、米Technology Review社との許諾契約に基づき、再許諾しました。一部の見出し、写真等は株式会社ニューズピックス等の著作物である場合があります。