Paul Toal
Distinguished Solution Engineer(Cyber Security)

分散型サービス拒否(DDoS)攻撃は昔からある攻撃で、少なくとも2000年にはその存在が確認されています。しかしDDoS攻撃とはいったいどのようなものなのでしょうか。ネット上にもその定義はさまざま掲載されていますが、端的に説明するなら、これは複数のソースから開始される攻撃で、その意図は、オンライン・サービスの処理能力を大量のデータで溢れさせ、通常のトラフィックを不可能にさせることにあります。詳しくは、こちらを参照してください。

DDoS攻撃は、企業や組織に非常に大きな混乱をもたらし得るものです。攻撃の時間は数秒から数時間までさまざまで、その対象がオンライン店舗であれ、物流企業であれ、金融機関であれ、その攻撃の間は、オンラインでのサービス提供が疎外される可能性があります。有名なオンライン・サービスに影響を与え、人々の注目を集めるような大々的なDDoS攻撃も発生しています。ここ数年はモノのインターネット(IOT)を背景として、DDoS攻撃が再び活性化しており、オンライン接続された何百万もの小型コンピュータが複数攻撃ソースの形成に利用されています。

多くの企業や組織がクラウド・サービスへ移行している現代では、そのクラウド・プロバイダでカバーされている対策範囲を理解しておくことが重要です。一部のプロバイダは、有料サービスとして、またはそのクラウド・サービスの一部として、DDoS保護を提供しています。Oracle Cloud Infrastructure(OCI)が提供する保護については、こちらでも説明されていますが、以下にその抜粋を掲載いたします。

 

分散型サービス拒否(DDoS)保護:次世代の「Oracle Cloud Infrastructure」の一部として、すべてのオラクル・データセンターでは、大規模およびレイヤー3/4のDDoS攻撃の検出と緩和が自動化されます。これは、攻撃が長く続く場合でもオラクル・ネットワーク・リソースの可用性を確保する上で役立ちます。

 

ということです。では、オラクルがDDoS保護を提供しているとすれば、OCIを利用するお客様は保護されており、それで心配はないということでしょうか。残念ながら、それで万事解決とはなりません。上記で何がカバーされているかを正確に理解するためには、DDoS攻撃への理解をもう少し深め、さまざまなタイプのDDoS攻撃を考察する必要があります。

私はDDoS攻撃について考えるとき、3つのタイプの攻撃を念頭に置きます。そしてそのすべてがサービスをオフラインにし得るものです。

 

DNSベースのDDoS攻撃

第1のタイプはDNSベースの攻撃です。この場合、攻撃者はDNSサーバーを溢れさせ、IPアドレスへの正規のリクエストに応答できない状態にします。たとえば私がwww.oracle.comにアクセスしようとしても、このドメインに関連付けられているDNSサーバーが私のマシンにwww.oracle.comのIPアドレスを伝えることができないため、私はこのサイトにアクセスできなくなります。この段階では、WebサイトをホストしているWebサーバーはまったく攻撃されていません。単にインターネットの電話帳を攻撃しているのみです。

アプリケーションベースの攻撃

第2のタイプは、オンラインのコンテンツやサービスをホストしているサーバーを直接攻撃するものです。どのサーバーにも、処理できるリクエストの量に限界があります。ここでの攻撃者の目的は、大量のリクエストと接続でアプリケーションを溢れさせ、正規のトラフィックに応答できないようにすることにあります。

ネットワークベースの攻撃

第3のタイプはネットワークベースの攻撃です。「DDoS攻撃」と聞いてたいていの人が思い浮かべるのもこの攻撃です。これは、ネットワーク・パイプを溢れさせるものです。攻撃者が悪意あるトラフィックを大量に送り、パイプが詰まってしまえば、適切なリクエストがそこを通れなくなってしまいます。

では、OCIはこれらの攻撃パターンのどこに対応しており、利用者とOracle Cloud Infrastructure、それぞれの責任範囲はどこまでなのでしょう。

オラクルがOCIに関連してDDoS保護について述べるとき、これはネットワークベースの攻撃、つまり多くの人がボリュームベースの攻撃と考えるものを対象としています。OCIでは、全顧客のアドレス空間全体を監視しており、大規模なボリュームベースの攻撃が確認されると、それらをブロックして悪意あるトラフィックを排除するためのツールおよびプロセスを実行します。これは、(OSI参照モデルの)レイヤー3/4で実施されます。このようにオラクルでは、OCIのすべての顧客を対象に、3つの攻撃タイプのうちの1つに標準で対応しています。しかし他の2つの攻撃タイプについては、どうでしょう。これらに対応するには、どうすればよいでしょうか。

DNSベースの攻撃に対しては、DNSプロバイダ(つまり、オラクルか否かに関係なく、プライマリDNSサービスの提供に利用しているプロバイダ)のDDoS保護能力を確認する必要があります。オラクルでは、OCIのサービスの一環として、顧客のプライマリDNSプロバイダまたはセカンダリDNSプロバイダとして利用可能なDNSサービスを用意しています。OCI DNSは、複数の大陸に戦略的に配置されている複数のデータセンターのグローバル・エニーキャスト・ネットワークで、さまざまな冗長インターネット・トランジット・プロバイダを活用して究極の回復性とDDoS攻撃からの保護を実現します。

アプリケーションベースの攻撃に対しては、アプリケーション自体を保護する対策を講じる必要があります。しかしここでも、利用できるテクノロジーやサービスがあります。OCIでは、クラウド・セキュリティ・ポートフォリオの一環として、Web Application FirewallWAFを提供しています。WAFは(OSI参照モデルの)レイヤー7で動作し、ボットネット、アプリケーション攻撃、およびDDoS攻撃からアプリケーションレイヤーを保護します。これは、OCIにホストされているアプリケーションだけでなく、インターネットに接続するすべてのWebアプリケーションの保護に使用できます。レートの制限やアクセス制御などの機能を使用して、DDoS攻撃からWebアプリケーションを保護することができます。実際のOCI WAFをご覧になりたい場合は、こちらにて、おもなユースケースのデモンストレーションをご覧ください。

以下は、攻撃タイプとその対策をまとめた表です。

 

 

ご覧のとおりDDoS攻撃は多面的であるため、この脅威を低減させるには、大半のセキュリティ対策と同様、多層防御戦略を講じる必要があります。すでに適切なセキュリティ対策を実施している場合も、必要な施策を現在検討中の場合も、この記事がDDoS攻撃と対策について、またもちろん、そうした対策にオラクルがお役に立てることについて、ご理解いただくためのヒントとなれば幸いです。

※本記事は、 Paul Toal : Distinguished Solution Engineer(Cyber Security) による”Don’t just rely on your Cloud Provider for DDoS protection“を翻訳したものです。