DDoS攻撃から組織のネットワークを防御することが長年の課題とされる中、セキュリティ関連の事件に関係したニュースは後を絶たない。脅威をもたらす側の環境が著しく変化する一方で、脅威にさらされる多くの企業は、数年前に採用したDDoS対策が十分に有効であると考えており、ネットワークは危険にさらされているという。DDoS攻撃対策のグローバル専門企業であるアーバーネットワークスは、このような状況を踏まえ、企業がDDoS攻撃に対して飽きやすい主な誤解についてまとめた。◆誤解1:ファイアウォールやIPS、CDNが解決してくれるITインフラの進化とサードパーティのクラウドへの依存は、境界のない複雑な環境を生み出してきた。ファイアウォールやIDS/IPSなどの従来型の境界(Perimeter)セキュリティソリューションは、依然として統合セキュリティ体制に不可欠な要素だ。その一方で、こうしたデバイスはネットワーク接続の際にステートフルインスペクションを実行するため、一部のDDoS攻撃にさらされやすく、状況を深刻化させる可能性をもっているという。また、多くの組織は、CDN(コンテンツ・デリバリー・ネットワーク)がDDoS攻撃を阻止する有効な解決策になると信じているが、実際には CDNはDDoS攻撃の兆候に対処するだけだとアーバーネットワークスは解説する。CDNは大量のデータを吸い上げ、すべての情報をネットワークに取り込んで通過させるため、どのようなデータでも受け入れられてしまう。また、主なCDNベースのDDoS防御ソリューションでは、HTTP/HTTPS DDoS攻撃の対応に重点が置かれており、NTP/DNS増幅攻撃など、極めて一般的なその他すべての攻撃が無視されてしまうという。◆誤解2:単層のDDoS防御による対応で十分である今日のDDoS攻撃では、ボリューム型攻撃、TCPステートを枯渇させる攻撃、アプリケーションレイヤ攻撃といった様々な攻撃が組み合わさっているため、多層的な防御を講じることが最適なアプローチとして推奨されている。つまり、大規模なフラッド攻撃を阻止する最適なポイントは、ローカルインターネット接続またはオンプレミスDDoS防御システムが被害を受ける前段階にある、サービス・プロバイダのクラウド上流である。また、隠れたアプリケーションレイヤ攻撃を阻止するポイントとして最適なのは、主要なアプリケーションやサービスが配置されている場所に近い、顧客サイトの内部だという。そしてさらに重要なのは、これらの2層のレイヤ間で最新の脅威インテリジェンスに基づくインテリジェントな通信機能を導入し、ダイナミックかつマルチベクトル型のDDoS攻撃を阻止することだ。残念ながら、多くの組織では単層の防御のみが選択されており、DDoS防御ソリューションが不完全な状態となっているのが現状のようだ。◆誤解3:DDoS攻撃の対象となる可能性は低く、リスクを冒しても問題はないアーバーネットワークスによると、DDoS攻撃が急激に増加した背景には、二つの大きな要因がある。一つは攻撃が仕掛けやすくなったこと、そしてもう一つは攻撃の動機が多様化していることだ。現在のDDoS攻撃では、誰でも簡単に自作のDDoS攻撃ツールを無料でダウンロードでき、またサードパーティにわずかな料金を支払うことで、サービスとしてDDoS攻撃を仕掛けることができる。攻撃を仕掛ける費用は数千円だが、組織の損失はそれを上回るものになるだろう。また、DDoS攻撃の動機も多様化し、必ずしも金銭的な利益目的や国家組織により仕掛けられるものではなくなっているという。今日では、提供されている多数のツールやサービスを使用し、単なる意見や支持政党、その他の項目に関する見解の不一致などを理由にDDoS攻撃が仕掛けられていると同社は分析している。さらに気がかりな問題は、使用しているサービスが共有クラウド環境に格納されている場合、自社がDDoS攻撃の標的ではないにも関わらず、付随的に損害を被ってしまうということだ。同社によると、これは毎日がギャンブルのような状態に等しいと解説する。◆誤解4:DDoS攻撃がもたらす影響は、防御にかかるコストを正当化できないDDoS攻撃は、直接的かつ深刻な被害をもたらす可能性があるにも関わらず、多くの組織では包括的なDDoS防御ソリューションの購入を正当化するためのリスクと防御策の適切な分析が実施されていないのが実情だ。収益を生み出すサービスのダウンタイム・コストだけでなく、DDoS攻撃に関連するすべてのコストを考慮する必要があるという。仮に攻撃を受けた場合、SLAのクレジットや法的費用、ブランド回復のための宣伝コスト、顧客離れなど、普段は見落とされる多大な間接コストが発生する。DDoS攻撃をはじめとする脅威への対策が不十分だったとして、役員や取締役が解雇された事例もあるという。◆誤解5:DDoS攻撃は高度な脅威ではない技術的な観点でみると、DDoS攻撃自体は高度ではない。しかしながら、ボットネットやDDoS攻撃に関する最近の調査によると、これらは実際にマルウェアやRATを使った技術的に高度な脅威活動と密接に関わっていることが明らかになっているという。例えば、以下の段階でDDoS攻撃が使われた事例がある。・早期偵察段階で、特定の脅威に対する組織の対処能力を試す。・武器化およびマルウェア配信段階で、セキュリティ・フォレンジック製品のログやデータ・ファイルに書き込みを行うことで、仕掛けたマルウェアの検出をさらに困難にする。・データ抽出段階で、陽動作戦として攻撃が用いられる。ここから提起されるのは、「最後に行われたDDoS攻撃は単発的な事象であったのか、組織に対するより高度な脅威キャンペーンの一環として行われたものであるのか」という問題である。同社は、損失を避けるためには、グローバル脅威インテリジェンスを使用して、組織が情報漏洩やセキュリティ侵害に至る前に、その兆候を積極的に「発見」することを推奨している。アーバーネットワークスは最後に、ファイアウォールやIPSなどの従来のセキュリティソリューションに頼り、またサイバー犯罪者やハクティビストに自社が攻撃を受けないという見込に賭けることは、もはやリスクを伴う判断であり、重要なアプリケーションが使用できなくなった場合や、顧客データや機密データが漏えいした場合など、回復に費やすコストを取り戻すことを鑑みた場合、現実的には、DDoS防御に対し、統合された多層的な対策をとることで、常に組織を守っていくことが不可欠であると結んでいる。
