読者です 読者をやめる 読者になる 読者になる

#セキュリティのアレ 『(3)「対策を実施する」か「堪え忍ぶ」か――DDoS対策の難しさ』をみた感想的なアレ

ここでは 2015/11/26 に掲載された「セキュリティのアレ」シリーズ『(3)「対策を実施する」か「堪え忍ぶ」か――DDoS対策の難しさ』を拝見した感想/メモ/雑記を書いています。

  • 「セキュリティのアレ」って?

@IT さんでシリーズとして掲載されている、セキュリティ専門家の方と @IT 編集部の方々が時事ネタを語るシリーズです。
今回拝見したのは↓
セキュリティのアレ(3):「日本のサイトを標的にしたDDoS攻撃と対策」――攻撃者は誰? その狙いは?【動画】 - @IT


以下、感想/メモ/雑記です。
---

今回のテーマは「日本のサイトを標的にしたDDoS攻撃と対策」。
一応 DDoS 攻撃(Distributed Denial of Service Attack)の定義と直近の事例を確認。

  • 資料

Dos/DDoS 対策について : 警察庁技術対策課 - H15. 6/3(H16. 3/24 一部改訂)

wikipedia:DoS攻撃

DoS攻撃(ドスこうげき)(英:Denial of Service attack)は、コンピューティングにおいてサーバなどのコンピュータやネットワークリソース(資源)がサービスを提供できない状態にする意図的な行為をいう。サービス妨害攻撃と訳される[1]。
サーバなどのコンピュータ機器にある脆弱性を攻略するものと、サーバの処理能力やネットワーク帯域に対して過剰な負荷をかけるものがある。
複数のコンピュータを攻撃側に巻き込む類型としてDDoS攻撃(ディードスこうげき)(英:Distributed Denial of Service attack)がある。

Wikipedia に記載のある通り、サービスを DoS 状態にする手段は大きく分けて 2 通りあり、1 つは脆弱性を突くする攻撃(例えば Windows Server を BSoD にするものとか)、もう 1 つはサーバはネットワークリソースを枯渇させてアクセスできなくするもの(上記警察庁の資料で言う Flood 攻撃)。
今回はネットワークリソースを枯渇させる方についてのお話。
直近の事例は…まあ最近毎日のように報道されていますが(辻さん忙しそう)、日本では官公庁系(昨日の国税庁だったりこの前の金融庁だったり)の Web サイトを提供しているサーバで発生した障害が、原因は DDoS 攻撃ではないか、と報道されていようですね。
国税庁のHP閲覧しづらい状態 サイバー攻撃か NHKニュース
金融庁、ホームページにサイバー攻撃 財務省もつながりにくく :日本経済新聞
厚労省HP:また閲覧不能…衆議院や2省庁も - 毎日新聞
財務省のホームページ、閲覧しにくく :日本経済新聞
etcetc...
それでは、動画を見ましょうか。
セキュリティのアレ(3):「日本のサイトを標的にしたDDoS攻撃と対策」――攻撃者は誰? その狙いは?【動画】 - @IT(再掲)

---

(なんか編集入ってる…)

「なんか理由があるすよね、これね、背景とか…」(根岸さん)
「そうですね、あのー一応まあ攻撃をしているのは Anonymous っぽい、というか、Anonymous を名乗っている…という話なんですけれども」

Anonymous 周りの話はもう根岸さん辻さんのお二方をはじめ、まとめてくださっている方がいるので割愛。動画でも宣伝されています。

---

「一応理由がね、あるんですよね」(根岸さん)
「そうですね。あのー、Op…Operation Killing Bay という名前のオペレーション…」(辻さん)

捕鯨、反イルカ漁。動物愛護の観点から「それはどうなの?」という主張の 1 つ(主張の手段に攻撃を使うってテロと変わらんじゃないの?)。
最近の関連(しそうな)ニュースではこんなの↓がありますね。
捕鯨支持映画HPに攻撃か アノニマス声明、閲覧不能 - 産経ニュース
反イルカ漁の大物活動家、米国へ強制送還 入管が上陸拒否「日本政府訴える」 - 産経ニュース

Twitterハッシュタグは #OpKillingBay 。

---

「…でも関係ない…メディア?なんとか新聞といったメディア系だとか、全く関係のない交通系のサイトだとか…」(根岸さん)

漁が盛んなところだけに行っているわけではない。無差別に行われている印象だが、イルカを運んでいるから交通機関のサイトを狙った、というのは本当に?という感じ。
あるいは、到達地点が「漁を止めさせる」ことであれば自分(たち?)の力だけで止めさせようとしているのではなく、日本社会として「実害が俺/私に出るから止めさせよう」という動きを作ろうとしている?…これは考え過ぎか。
あと Anonymous を名乗っているだけ、ということも考えられるため、正直犯人が本当に Anonymous なのかは分からない…が、そこは考えてもキリがないので置いておこう。

---

「これは一気に…あのー、複数のサイトを同時にドーンと行くんですか?それともこう、ちょっとずつちょっとずつおうターゲットを変えて、みたいな動きがあるんですか?」(宮田さん)
「今の流れを見ていると、今日はここ、みたいな感じで、それに大量にアクセスを」(辻さん)
「ある程度順番…だよね」(根岸さん)
「順番ですね。どういう順番か、規則性はないですけど(略」(辻さん)

昨日は人の身明日は我が身ですね。つらい。

---

「あとそのー、攻撃する側の攻撃手段として、同時多発的というか同時並行的にたくさん攻撃するほどの能力はない、という…」(根岸さん)
「リソースは持ってなさそうではありますね」(辻さん)

流石に攻撃にはツールを使用していそうとは思っていたけど、リソースはそんなになさそうな印象なんですね。となるとマルウェアBot 化してうんぬん、という手ではなさそう…?
検知するとしたら、どのようにやったのか分かれば、上流で止められる可能性がでるのかな?ここは可不可を含め考察が必要。

---

「DDoS というのは防ぎ方がなかなか…ない、防ぐ手法がない、っていうところがポイントなのかなーと思いますけど」(宮田さん)
「決定打がないって感じですかねー」(辻さん)

使用可能な通信帯域幅で攻撃による目標達成の容易さは変わるが、コストに見合わない。ツラい。
攻撃側のコストが低い。6、7ドルで 5 Gbps(ベストエフォート)。恐ろしすぎる。↓はそういうサービスについての記事(宮田さん執筆)。
半径300メートルのIT:「DDoS攻撃、800円でやってあげる」が成り立つワケ - ITmedia エンタープライズ

---

まとめ→14:35

---

一般の人にできることは機器の Bot 化を防ぐことぐらいでしょうか。対策方法はいろいろなニュースやコラムで取り上げられているので割愛。
DDoS 攻撃が来た場合の対策に関しては企業側、プロバイダ側の話ですが、やられた時の動きについて事前に決めてフローにしておくとスムーズに対応できそう。
最近の攻撃は一般の人たちに影響の出るものが多い印象。インターネットでの手続き等を行えなくなると非常に困る人たちが多くなりそうなので、ホームページと別口にそういう受付窓口があると助かるなぁ、というコスト度外視の願望。

  • その他参考資料

(PDF)ISPにおけるDoS/DDoS攻撃の検知・対策技術 : NTTコミュニケーションズ株式会社 西塚要さん - 2013/11/26 InternetWeek 2013
(PDF)DDoS 攻撃の軽減対策 : Cisco White Paper (宣伝用 PDF のため、対策の考え方について参照した)