11月26日から11月29日にかけて、一般社団法人日本ネットワークインフォメーションセンター(JPNIC)主催の「Internet Week 2013 ~荒ぶるインターネットを乗りこなす~」が、秋葉原の富士ソフトアキバプラザで開催される。「Internet Week」は、インターネットに関わる主にエンジニアを対象に、最新動向セッションとチュートリアルを織り交ぜ、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。今回のテーマは「荒ぶるインターネットを乗りこなす」。「荒ぶる」とは何やら穏やかではないが、インターネットが、今までに増して利用され、パワフルとなる一方で、「セキュリティ」についてもかつてないほどに叫ばれるようになっている。こうした荒ぶるインターネットを乗りこなすことで、さらなる進化を許容し、価値の高いインターネットを実現していこうと、このテーマとしたということだ。本連載では、このInternet Week 2013のセッションのうち、情報セキュリティに関する10セッションを選んで、そのセッションの見どころ・意義・背景などを、各セッションのコーディネーターに語ってもらっている。この連載の最後となる今回は、初日の11月26日午後に行われるプログラム「S2:DDoS攻撃の実態と対策」について、セキュリティ専門家の佐藤友治氏に語っていただいた。――このセッションでは、「世界のDDoS攻撃の現状と基本的な攻撃手法を解説し」とありますが、今年の3月に起きた「Spamhaus(スパムハウス:スパマーのブラックリストを提供する非営利団体)」へのDDoS攻撃などは、大きな話題になりましたね。佐藤:そうですね。攻撃トラフィック量が過去最大であったことと、Spamhausというスパムメール対策組織が攻撃を受けたことが衝撃だったのだと思います。それにSpamhausだけではなく、Spamhausが利用しているCDNとセキュリティ対策を提供しているクラウドフレア(CloudFlare)社も攻撃を受け、対策にあたったようです。――すさまじい攻撃だったのですね。一般的にはサイバー攻撃というと、Webアプリの脆弱性をついた情報漏えいや、ID/Passwordの漏えい、標的型攻撃などをイメージする方が多いと思いますが、今回、やはりそれでもDDoS攻撃を取り上げた理由は何でしょうか?佐藤:実は日本でもDDoS攻撃の被害は起こっているのですが、ほとんど明るみにでないので、一部の方を除いて、知る機会がないのですね。例えば、InternetWeekの中で毎年開催されている「IP Meeting」でも2004年に一般社団法人コンピュータソフトウェア著作権協会(ACCS)へのDoS攻撃を取り上げたセッションがありましたが、ACCSへの攻撃は、その後2006年まで長期に亘って対応が必要とされたことなど、ご存じでしょうか。今回、Spamhausへの攻撃は大きく取り上げられ、注目を浴びましたが、DDoS攻撃自体、年々増えています。アメリカをはじめヨーロッパの各地では、多くの銀行や証券会社等がDDoS攻撃の対象となっています。その攻撃手法は複雑かつ巧妙化し、攻撃への影響期間も長期間に亘っているそうです。――一般の方は気づかなくとも、ネットワーク運用者から見て、DDoS攻撃は日常的に増えているのでしょうか?佐藤:DDoS攻撃の増加傾向が顕著に高まったのは2008年くらいでしょうか。最近のセキュリティレポートによると ・2013年のDDoS攻撃の平均規模は2.64Gbpsで、2012年から78%増加 ・報告および確認された最大規模の攻撃は191Gbpsと、急激に大規模化しているとのことですから、ネットワーク運用者もこのあたりの増加は感じ取っているところではないかと思います。実はこのセッションを企画するにあたり、オーストラリアの2006年頃のCIO向けのDoS対策レポートを見返してみたのですが、「レジストリ/レジストラへの攻撃」「認証局への攻撃」「セキュリティサービスへの攻撃」が警告されていました。どの警告についても、DoS攻撃でないにせよ、今年実際に起こってしまっており、私自身もびっくりしました。――攻撃者はどういう動機で攻撃してくるのでしょうか?昔は、金銭的目的のゆすり行為が多く見られましたが、2012年頃からは、「ハックティビズム」と呼ばれる政治的ハッカー活動と見られる攻撃も目立ちますね。――そういえば、Spamhausへの攻撃をきっかけに、DNSのOpenResolverの問題であるDNSリフレクション攻撃も急に話題になったようですね。佐藤:かねてよりDNSの設定や運用面での不備が与える影響については、DNSに関心のあるコミュニティでは話題になってました。そこにSpamhausへの攻撃としてDNSリフレクション攻撃が使われたことで、とてもインパクトがありました。一般の方は、なんでDNSでそんなことができるのか、もしかしたら自分の利用しているDNSのキャッシュサーバやCPEが、DDoS攻撃に加担してしまう状態になっているかどうかは、わからないですよね。ACCSへの攻撃の時も、あるISPのDNSサーバへのDNSクエリは通常の6倍になりAntinnyとACCSサイト間に行われた通信は、最大700Mbpsだったそうです。今回の攻撃は300Gbpsであり、一般的なDDoS攻撃の平均規模は2.64Gbpsだそうですから桁が違いますよね。――最近、DDoS攻撃状況をWebで提供するサイトがいくつか発表されましたね。佐藤:日本ではnicter(http://www.nicter.jp/)がお馴染みですが、ついにGoogle社もこの分野のトラフィック解析で老舗のArbor社と共同でDigital Attack Map(http://www.digitalattackmap.com)を提供を開始しました。またIBM社とCDNのAkamai社が組んで、DDoS対策の提供を開始しました。それぐらい、世界的に深刻な状況になってきているということでしょう。ツールやBotによる攻撃の一方で、Web掲示板からSNSの利用普及、モバイル環境の充実から、不意の大量アクセスを誘発しやすくなりました。炎上やハクティヴィスト系の誘導を早期に察知するとか、DoS対策に検索エンジン、ソーシャル分析、CDNを利用するという方向は有効でしょう。――そんな状況の中で、今回はどのようなセッションになりそうでしょうか?佐藤:DDoS攻撃には、「ICMP・UDP等のパケットフラッディング」「DNSリフレクション攻撃」「[F5]キーによるリロード攻撃」をはじめ、最近ではSNSへ書き込みから予期せぬDDoS攻撃相当のネットワーク利用行動を誘発するものまでさまざまです。これらの攻撃になりうるトラフィックの傾向を知る機会は、ネットワークオペレーター以外の人は少なく、アプリケーションを開発・運用している人や非ICT系の企業でネットを利用している事業の人は、理解しにくい傾向があります。そこで、最初の講演でトラフィック分析で老舗のアーバーネットワークス社佐々木崇様よりDDoS攻撃の事例を紹介するとともに、全世界から取りまとめたデータをもとにDDoS攻撃の傾向を紹介していただきます。次に、独立行政法人情報通信研究機構ネットワークセキュリティ研究所サイバーセキュリティ研究室室長の井上大介様より、nicterのダークネット観測網を用いたDoS/DDoSバックスキャッタ観測と、DNSリフレクション攻撃関連通信の観測状況についてお話しいただきます。InternetWeekでの講演なので、普段の講演より突っ込んだ話をしてみたいそうです。最後に、NTTコミュニケーションズの西塚要様と高田美紀様より、ISPにおけるDoS/DDoS攻撃の検知・対策技術をお話しいただきます。また、対策としてなぜオープンリゾルバ対策が必要なのか、今、なぜBCP-38に取り組まないといけないのかを解説していただきます。クラウドサービスや仮想化技術の関わりで、BCP-38の考慮の必要性もお話しいただけるでしょう。そういえば、ビッグデータ活用分野で異常検知技術がありますね。今回はnicterやISPで実際に動いている攻撃の観測・解析手法が聞けますので、データ解析におけるデータマイニング系と異常検知系の要件の違いなんかも勉強できるかもしれませんね。――特にどのような方に聴きにきてほしいでしょうか?佐藤:DDoS/DoS攻撃の傾向について知りたい方や、インターネットの攻撃パケットトラフィックの傾向や実態を学びたい方、企業高負荷なアクセス対策に興味のある方、なぜ、DNSを利用したDDoS攻撃が多く、深刻なのが知りたい方、クラウドサービス、仮想化技術とDDoS攻撃の留意事項が気になる方などでしょうか。多くの方のご参加をお待ちしております。●プログラム詳細「S2 DDoS攻撃の実態と対策」- 開催日時:2013年11月26日(火) 9:15~11:45- 会場:富士ソフト アキバプラザ- 料金:事前料金 5,000円/当日料金 7,000円- https://internetweek.jp/program/s2/13:00~13:501) DDoS攻撃の現状佐々木 崇(アーバーネットワークス(Arbor Networks))13:50~14:402) NICTERのダークネット観測網を用いた DoS/DDoSバックスキャッタ観測とDNS amp攻撃関連通信の観測井上 大介(独立行政法人情報通信研究機構 ネットワークセキュリティ研究所 サイバーセキュリティ研究室 室長)14:40~15:253) ISPにおけるDoS/DDoS攻撃の検知・対策技術高田 美紀(NTTコミュニケーションズ株式会社)西塚 要(NTTコミュニケーションズ株式会社)※特典:このセッションに申し込まれた方には、「Scan Tech Report (年間購読定価10,332円)」もしくは「情報セキュリティ総合情報メールマガジンScan(年間購読定価10,080円)」の無料プレゼントがあります。※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。Internet Week 2013https://internetweek.jp/
