史上最大400Gbps攻撃も、増幅を続けるDDoS攻撃のカラクリ：すご腕アナリスト市場予測（1/4 ページ）

近年はUDPプロトコルを用いる「DNS」「NTP」などを利用したDDoS攻撃が増殖中。実際の攻撃手法を学びながらその対策に迫る。

[西部喜康，日本データ通信協会テレコム・アイザック推進会議]

アナリストプロフィール

西部喜康（Masao Nishibe）：日本データ通信協会テレコム・アイザック推進会議 企画調整部 部長

平成元年 日本電信電話に入社。NTT情報通信網研究所、NTTコミュニケーション科学研究所などに勤務。分散人工知能、エージェント通信などの研究に従事。平成10年より同社OCN事業部およびNTTコミュニケーションズにてOCN販売メカニズムの企画、開発、運営に携わりOCNサインアップ、OCNPCパックなどを主幹。その後、インターネット検定事業や公共営業におけるISMSの総括業務などに従事。平成23年より、日本データ通信協会テレコム・アイザック推進会議 企画調整部 部長。

　攻撃対象のサーバに膨大な量の通信を送りつけてサービスを妨害するDDoS（分散型サービス拒否）攻撃は、近年になって従来よりも簡単に大容量のトラフィックを発生させる「OpenResolver」「NTPリフレクション」と呼ばれる攻撃手法を加え、ますます被害を深刻化させている。

　しかもDDoS攻撃は単に攻撃者と攻撃対象の間での問題にとどまらず、ネットワークを共有するユーザー全体にレスポンスやサービス品質の低下をもたらすため、全てのインターネットユーザーおよびISPなどの通信業者にとって悩みのタネだ。今回はISP側の視点から、インターネット全体に対する脅威である新手のDDoS攻撃の手口のあらましを紹介し対策を考えてみる。

インターネットがまひした日

　2001年7月に発生し、世界的にインターネットがまひした「Code Red」事件を覚えておられるだろうか。これはWindows NT／2000のIISに当時存在した脆弱（ぜいじゃく）性を利用し、1日に30万台以上に感染を広げるという極端に強い感染力をもつウイルス（後にCode Redと命名された）の感染活動による過剰通信が引き起こした、インターネット史上最悪の危機だった。

　このウイルスの直接的な目的は特定サイトへの攻撃であったかもしれないが、攻撃の踏み台となるサーバ（被感染サーバ）が次の踏み台サーバを求めて無差別に大量の不正な通信をばらまいた結果、回線帯域を冗長に使われ世界中のインターネットサービスが接続しにくくなるとともに、一部のサーバやネットワーク機器はハングアップし甚大な悪影響をもたらした。

　この事態はサーバへのパッチ適用やウイルス駆除ツールの適用でやがて収束することになるが、ISPをはじめとする通信事業者は大きな課題を突きつけられることになった。同時多発的にDoS／DDoS攻撃が起こっている状態となり、業者1社が早期に対策をとったとしても、他の業者が同様の対策を打たなければ十分な効果が現れないことが明白になったのだ。

　ネットワーク資源を守るには、たとえビジネス上の競合関係があったとしても、共通の問題に歩調を合わせて迅速に対応できる仕組みが必要だ。そんな機運がこの事件の前後に起こったインターネット上でのサイバーインシデントを契機に盛り上がり、業界全体で協働して問題解決にあたる体制づくりが急がれた。

　そして設立されたのが、筆者が所属する「一般財団法人日本データ通信協会テレコム・アイザック推進会議」だ。国内の大手ISPを中心に現在19社が集っており、業界を横断したセキュリティ対策を充実させることを目標に12年にわたって活動を続けている。

　Code Red以降も同種のウイルスやネットワークを危機に追い込む可能性があるネットワークの脅威は継続して存在しており、手を変え品を変えてシステムとネットワークを襲っている。今回は、ネットワークを守るために奮闘している同会議の立場から、現在最も警戒が必要なDDoS攻撃の手口と、ユーザー側でできる対策を紹介していくことにしたい。