分散型サービス拒否(DDoS)攻撃にはさまざまな形態があります。よくある誤解を解き明かします。
分散型サービス拒否(DDoS)攻撃には多種多様な形態があり、それを取り巻く誤解も同様です。こうした誤解は、動機、 DDoS攻撃ベクター や手法、緩和戦略などに焦点が当たることがあります。DDoSに関する誤解は、攻撃そのものより危険な場合もあります。というのも、誤った認識によって組織が他の種類のサイバー攻撃に対して脆弱になったり、緩和戦略を誤って導いたり、チームが攻撃自体を見逃したりする可能性があるためです。ここでは、 DDoS攻撃 と防御に関する代表的な5つの誤解を取り上げ、検証します。
誤解1:DDoS攻撃はまれで、大企業だけが標的になり、高度な脅威アクターによって実行される。
実際には、DDoS攻撃は非常に一般的で、あらゆる種類・規模の企業が標的になります。NETSCOUTの ASERT調査チームによると、2024年には世界で1,500万件を超えるDDoS攻撃が発生しました。このレベルの活動は、DDoSの脅威が依然として現実のものであることを示しており、あらゆる形態・規模の企業にとって防御策が不可欠であることを意味します。
国家が高度なDDoS攻撃を実行することもありますが、多くは低コスト、あるいは無料の DDoS-for-hire(請負DDoS) サービスによって実行されており、グローバルなボットネットや侵害されたデバイス群が利用されます。多くの場合、DDoS-for-hire攻撃を依頼するのは高度なハッカーではなく、地政学的な出来事に反応し、自分たちの利害に反する企業・個人・インフラを狙っている人々です。
DDoS攻撃は常に企業ネットワークを標的にするわけではありません。電力網などのインフラや重要サービスを狙い、一般市民に甚大な影響を与えることも少なくありません。
誤解2:DDoS攻撃は、大量のトラフィックでネットワークをあふれさせることだけを指す。
DDoSの初期には、攻撃の大半が大規模なトラフィックフラッドでした。しかしDDoS攻撃は時間とともに進化し、より外科的に狙いを定めた複雑なものになっています。メディアは毎秒テラビット級の最大規模で衝撃的な攻撃を報じ続けるため、この一般的な誤解が強化されがちです。こうした大規模攻撃が依然として危険である一方で、1Gbps未満の小規模攻撃も同様に危険であり、ドメインネームシステム(DNS)やHTTPなどのアプリケーション層を狙います。
2024年、ASERTは2023年と比べて小規模なアプリケーション層攻撃が43%増加したと指摘しており、こうした標的型攻撃の人気が高まっていることを示しています。これは、インターネットサービスプロバイダー(ISP)や他のクラウド保護ソリューションが提供する多くのDDoS防御サービスが、大規模なボリューム攻撃を探す一方で、 小規模攻撃を軽視し、それらが顧客側へ通過してしまうためです。ネットワークに何らかのDDoS防御が導入されていない場合、こうした小規模攻撃は成功しやすく、企業とその顧客に問題を引き起こす可能性があります。
伝送制御プロトコル (TCP) ステート枯渇攻撃 も、よくある小規模攻撃の一種です。ファイアウォール、ロードバランサー、仮想プライベートネットワーク(VPN)ゲートウェイなどのステートフルなオンプレミス機器を特に狙い、偽の接続でステートテーブルを埋め尽くして、正当なユーザーがネットワークの領域にアクセスできないようにします。
誤解3:次世代ファイアウォールでDDoS攻撃を止められる。
次世代ファイアウォール(NGFW) は強力な機器であり、全体的なセキュリティ態勢を大幅に向上させることができます。しかし、ステートフル設計であるため、いくつかの種類のDDoS攻撃、特にステート枯渇攻撃に対して脆弱です。NGFWの前段に配置したステートレスな DDoS緩和 ソリューションと組み合わせることで、ファイアウォールをステート枯渇攻撃から保護できます。
誤解4:クラウドベースのDDoS防御だけで十分である。
DDoS攻撃が自社のインターネット回線容量を上回る場合、それを止める唯一の方法は クラウドベースのDDoS防御です。とはいえ、小規模攻撃はこうした防御をすり抜けることがあり、追加の防御策が必要になります。現代のDDoS攻撃は、防御を回避するために複数の攻撃ベクターを活用します。つまり、 ボリューム攻撃 やステート枯渇攻撃にアプリケーション層攻撃を組み合わせ、ネットワークの複数領域を狙うことで、検知と緩和をより困難にします。
クラウドベースと オンプレミスのインラインDDoS防御ソリューションを組み合わせたハイブリッド型のDDoS防御を導入することで、組織は機動的でマルチベクターなDDoS猛攻に対してより適切に防御でき、稼働時間と可用性を最大化できます。
誤解5:DDoS防御にAI/MLは不要である。
人工知能(AI)や機械学習(ML)を活用しなくてもDDoS攻撃への防御は可能だと考える人もいますが、それは事実とは正反対です。まず、攻撃者はAI/MLを用いて攻撃量を増幅し、高度化し、検知回避を図っています。つまり、防御側も同じ発想で、AI/MLのトラフィック異常検知能力を活用し、DDoSの脅威を示すトラフィックパターンの異常を見つける必要があります。
AI/MLは、既知で活動中のDDoS脅威をリアルタイムで自動遮断する キュレーションされた脅威インテリジェンスフィード という形を取ることもあります。この脅威インテリジェンスが継続的に更新されることで、最新の脅威もAI/ML搭載のDDoS防御には太刀打ちできません。AI/MLはまた、マルチベクター攻撃に対抗するためのリアルタイムな対策調整を自動化することもできます。
DDoS攻撃と防御
ネットワークの最重要デジタル資産を守るうえで、誤解が入り込む余地はありません。こうした一般的な誤解の犠牲にならないでください。現代のDDoS環境において最大限の稼働時間を確保する唯一の真の方法は、動的なマルチベクターDDoS攻撃に対抗する専用の DDoS防御 です。
NETSCOUTのArbor DDoS防御ソリューションの詳細はこちら。
翻訳元: https://www.csoonline.com/article/4110714/5-myths-about-ddos-attacks-and-protection.html
