米政府は、重要サービスの中断を防ぐため、公共部門の組織向けに新たな分散型サービス妨害(DDoS)攻撃ガイダンスを公開した。
この文書は、DDoS攻撃への防御において連邦、州、地方の政府機関が直面する固有のニーズや課題に対応するための包括的なリソースとして機能するよう設計されている。
勧告では、侵害された多数のコンピューターが標的システムに大量のトラフィックやリクエストを送りつけ、利用者が利用できない状態にするDDoS攻撃は、追跡や遮断が難しいと指摘した。
この手法は、ハクティビストや国家支援グループを含む政治的動機を持つ攻撃者によって一般的に用いられ、政府のウェブサイトがしばしば標的となる。
例えば、2022年2月のクレムリンによる同国侵攻以降、ロシアおよびウクライナ関連のハッカーは、DDoSを用いて対立する政府ウェブサイトを頻繁に攻撃してきた。
2023年10月には、英国王室の公式ウェブサイトがDDoSインシデントによりオフラインにされた。この攻撃は、ロシアのハクティビスト集団Killnetが犯行声明を出した。
最近の調査では、DDoS攻撃がより強力になっており、脅威アクターによって恐喝手段として用いられることもあることが示されている。
DDoS攻撃の3つの種類
サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)、連邦捜査局(FBI)、およびマルチステート情報共有・分析センター(MS-ISAC)による共同勧告では、公共部門の組織が備えるべきDDoS攻撃の主な種類として、次の3つを強調した。
- ボリュームベース攻撃。 大量のトラフィックで圧倒し、標的の利用可能な帯域幅やシステムリソースを消費することを狙う
- プロトコルベース攻撃。 攻撃者が脆弱なプロトコル実装に焦点を当て、標的の性能を低下させたり誤動作させたりする
- アプリケーション層ベース攻撃。 標的システム上で稼働する特定のアプリケーションやサービスの脆弱性を狙い、処理能力を消費させたり誤動作させたりする
DDoSインシデントを防ぐ方法
勧告は、DDoSがいつ発生するかを予測することは不可能である一方、被害に遭う可能性を下げるために講じられる手順があることを強調した。これには次が含まれる。
- リスク評価を用いて、DDoS攻撃者に悪用され得るネットワークインフラの潜在的な脆弱性を特定する
- 不審なトラフィックパターンを迅速に特定できるよう、堅牢なネットワーク監視ツールと検知システムを実装する
- 人間と自動化ボットを区別するためにCaptchaチャレンジを統合する
- 不審なトラフィックパターンをフィルタリングし、既知の悪意あるIPアドレスからのトラフィックをブロックする(またはその両方)ようファイアウォールを設定する
- すべてのソフトウェア、オペレーティングシステム、ネットワーク機器を定期的にパッチ適用および更新する
- 従業員にDDoS攻撃について教育し、不審な活動を認識して報告する方法を周知する。
DDoSへの対応と復旧方法
勧告は、DDoS攻撃中にサービス可用性を維持するための対策を講じる重要性を強調した。これには次が含まれる。
- 攻撃時の突発的なトラフィック急増に対応できるよう、帯域幅容量の増強を検討する
- 複数のサーバーやデータセンターにトラフィックを分散するロードバランシングソリューションを実装する
- トラフィックを代替リソースへ迂回させるため、冗長化とフェイルオーバーの仕組みを確立する
- 迅速な復旧を可能にし、潜在的なデータ損失を最小化するため、重要データを定期的にバックアップする
米政府はまた、DDoS攻撃が発生した場合に取るべき手順を定めた包括的なインシデント対応計画を策定するよう、公共部門の組織に促した。これらの計画には次を含めるべきだとしている。
- 攻撃についてインターネットサービスプロバイダーまたはホスティングプロバイダーに通知する。影響の緩和に協力できる場合がある
- インシデント発生中、社内チーム、顧客、第三者サービスプロバイダーを含むすべての関係者に情報を共有する
- コンテンツ配信ネットワーク(CDN)サービスを活用し、地理的に分散した複数のサーバーやデータセンターにコンテンツを配信する
- タイムスタンプ、IPアドレス、各種ログやアラートなど、攻撃に関する情報を可能な限り記録する。これはインシデント後の分析や、法執行機関への通報に役立つ
- インシデント後分析を通じて攻撃から学び、それに応じてインシデント対応計画とセキュリティ対策を更新する
翻訳元: https://www.infosecurity-magazine.com/news/us-ddos-attack-guidance-public/
