DoS攻撃とは?意味やDDoS攻撃との違い、対策などをわかりやすく解説
Check!
- DoS攻撃は、1台のパソコンで大量のデータなどを送り、サーバーに負荷をかける攻撃
- DoS攻撃を受けると、利益機会の損失や企業の信用に傷が付くなどの被害が発生する
- DoS攻撃の対策には、IPアドレスの制限やIPS・WAFなどの対策ツールの導入がおすすめ
DoS攻撃とは、1台のパソコンを使ってサーバーに負荷をかける攻撃のことを言います。DoS攻撃を受けることで、サーバーダウンや社会的信頼性の低下といったリスクがあるため、十分に対策を行うことが重要です。本記事では、DoS攻撃の目的や種類などを解説しています。
DoS攻撃(Denial of Services attack)とは
DoS攻撃(読み方:ドスこうげき)とは「Denial of Service Attack」の略称で、「サービス拒否攻撃」といった意味があります。1台のパソコンを使って、目標とするサーバーに対して大量のデータを送りつけるなどしてサーバーの負荷を増大させるサイバー攻撃のことです。
過剰に負荷がかかったサーバーは、その処理に追われてほかの正常なアクセスに対する処理を行うことができず、パンクしているような状態になります。そして、そのサイトへの正常のアクセス者は長い間待たされ、無応答の状態が続きます。
もしECサイトなどがこのDoS攻撃を受けると、正常な処理ができず顧客獲得や販売の機会損失が発生するだけでなく、社会的信頼も失われる可能性があるなど、サイト運営にとって重大な問題となります。
DDoS攻撃との違い
DoS攻撃と似たサイバー攻撃に、DDoS攻撃(読み方:ディードスこうげき)があります。DDoS攻撃とは「Distributed Denial of Service Attack」の略称で、「分散型サービス拒否攻撃」といった意味があり、DoS攻撃よりさらに脅威となります。
DDos攻撃は、目標となるサーバに対して複数のコンピュータ(IP)から対処しきれないほどの大量のデータを送りつける、悪意のあるサイバー攻撃手法です。攻撃者は、マルウェアなどを使って不正に乗っ取った「ゾンビ」と呼ばれる複数のIPを利用して攻撃を仕掛けます。
DDos攻撃は犯人の特定が難しい
DDoS攻撃の場合は複数のIPから一斉にDoS攻撃が仕掛けられ、攻撃元が次々と変わるため、IPを特定してブロックすることが非常に難しくなります。また、第三者のIPを乗っ取って利用しているため、攻撃している犯人を絞って割り出すことが難しくなります。
ここでいうIPアドレスの「IP」とは、「Internet Protocol」のことで、通信相手を識別するためのユニークなアドレスのことです。
DoS攻撃は1台のパソコンから行われるので、攻撃元のIPアドレスを特定するのも比較的容易です。そのIPアドレスからのアクセスを制限・遮断することにより、それ以上の攻撃に対する防御になります。しかし、DDos攻撃では特定が難しいので、その分厄介です。
DoS攻撃は処罰の対象になるのか
昭和60年代の経済の高度成長や技術の発展により、オフィスにもコンピューターが多く導入されるようになりました。このような社会情勢を背景に「電子計算機損壊等業務妨害罪」といった犯罪の定義と、対処のための刑法が制定されました。
昨今のDoS攻撃は、この「電子計算機損壊等業務妨害罪」により処罰の対象となります。
Webサイトの運営元や企業に対して嫌がらせや営業妨害などの目的でDoS攻撃を仕掛けると罪に問われ、社会的な被害や迷惑を引き起こす行為の抑制にもなっています。
DoS攻撃にあった場合の民事的な解決法として、犯人を特定できれば犯人に対する損害賠償請求なども可能となるので、被害に遭った際はインターネットなどのビジネスに強い弁護士に一度相談してみるのも解決方法の一つになります。
DoS攻撃の種類
DoS攻撃は、大きく「フラッド型」と「脆弱性型」の2種類に分けられます。サーバーに負荷をかけるという点では共通していますが、そのやり方に違いがあります。以下では、この2つの種類についてそれぞれ解説します。
\気になる項目をクリックで詳細へジャンプ/
フラッド型
DoS攻撃の代表的な手口としてフラッド型があります。フラッド(Flood)とは「洪水」の意味があり、ウェブサイトなどに大量のリクエストやデータを文字通り洪水のように送りつけます。サーバー側はこの処理に追われ、通常の処理ができず利用不能になります。
このフラッド型のDoS攻撃は、さらに下記のSYNフラッド攻撃やコネクションフラッド攻撃、UDPフラッド攻撃などの種類に分けられます。ここでは5つの攻撃手法について、それぞれの特徴を解説します。
\気になる項目をクリックで詳細へジャンプ/
5つの攻撃手法
SYNフラッド攻撃
SYNフラッド攻撃とは、攻撃側が接続元IPを偽って接続要求同期パケット:SYN(Synchronize)パケットを大量に送信する攻撃です。
通常、サイトはSYNパケットを受け取るとSYN/ACKパケットを返信し、それを受けとったユーザーが接続を開始するため「ACKパケット」を返信しますが、SYN攻撃では返ってきたSYN/ACKパケットを無視し、SYNパケットのみを洪水のように送り続けます。
その結果、サイト側は、大量に送られてくるSYNパケットに対してSYN/ACKパケットを返信する処理に追われてキャパシティ・オーバーの状態となり、他のアクセスに対する処理ができない状態に陥ります。
コネクションフラッド攻撃
Webサイトへのアクセスでは、送信元のIPからデータ転送を行う前のコネクションの確立要求が送付されます。受け取り側とコネクションの確立が完了すると、通常はデータの授受が始まりますが、コネクションフラッド攻撃ではコネクションの確立要求を送り続けます。
その結果、サーバー側は、コネクションの確立要求の処理でサーバーのリソースを使い果たしてしまい、機能停止に陥ります。
UDPフラッド攻撃
UDP(User Datagram Protocol)とは、インターネット上で標準的に利用されている通信プロトコルのことです。特に、リアルタイム性が重視される音声通話や動画配信などに利用されています。
UDPフラッド攻撃には、「ランダムポートフラッド攻撃」と「フラグメント攻撃」の2種類があります。「ランダムポートフラッド攻撃」では、ランダムなポート番号と偽の送信元アドレスを入れたUDPを大量に送り付け、膨大な返信処理によりパンクさせる攻撃です。
サイズの大きいUDPを分割して送信し、受信先で組み立てて処理する仕組みを利用するのが「フラグメント攻撃」です。分割したUDPの最初の部分だけを送り続けることで、受信先に大量の未完成UDPを蓄積させ処理不能に陥れる攻撃です。
メールボム攻撃
メールボム攻撃はメール爆弾とも呼ばれ、ターゲットとなる特定のメールアドレスに対して大量のメールを送りつけるDoS攻撃です。この攻撃の目的は、情報の詐取や改変などではなく、ターゲットのメールサーバを機能不全に陥らせることです。
いたずらや嫌がらせといった側面が強い攻撃とも言えますが、受取り側では、具体的に下記のような被害が発生します。
- 大量のメールのハンドリングに時間やコントロールが取られてしまう
- 重要なメールがメールボムの中に埋もれて見落とされる
- メールボックスの容量が圧迫され正常なメール処理ができなくなる
- サーバーダウンに発展することもあり、サーバー利用者に多大な影響が出る
F5攻撃
「F5攻撃」とは、「F5アタック」や「F5連続攻撃」などとも呼ばれる攻撃で、キーボード上段の「F5」キーを複数回押すことによりWebページをリロードさせる要求を連続して出す、アナログ的なDoS攻撃の手口です。
Internet ExplorerやGoogle Chromeなどのブラウザでは、F5キーは画面の更新「リロード」に割り当てられています。F5キーを1回押すと、Webサイトには画面を再表示するといった要求が送られます。そして、2回、3回と押した分だけ再表示要求が送られます。
F5キーを連続で押し続けると要求も連続して送られるため、ターゲットとなるWebサイトのサーバは過負荷の状態になって機能不全に陥り、停止やダウンに追い込まれます。
脆弱性型
DoS攻撃の脆弱性型とは、サーバーやアプリの脆弱性を利用して不正処理を実行し、サービス機能を停止させる手口をいいます。サーバー内部に侵入し、システムがプログラムとして対処していない不正処理を大量に行わせて機能停止や異常終了に追い込みます。
脆弱性に対応する処置やアップデートを怠っていると、特にこのタイプの攻撃の標的になりやすいので注意が必要です。脆弱性型の種類としては、「LAND攻撃」や「Tear Drop攻撃」「Ping of Death攻撃」などがあります。以下にそれぞれの特徴を解説します。
LAND攻撃
LAND攻撃のLANDとは、「Local Area Network Denial」 の略で、送信元IPアドレスと送信先IPアドレスに同じアドレス値を入れた不正なパケットを攻撃対象サーバーに送ることにより、相手側に処理ができない状態を発生させるDoS攻撃です。
送信元と宛先のIPアドレス・ポート番号が同一のパケットが送信されるので、応答しようとすると自身に送信してしまい、それを受けた応答も自身に返信するといった無限ループ状態にして、過負荷にすることでシステムを不能にする攻撃です。
Tear Drop攻撃
Teardrop攻撃とは、パケットの分割と再構築の機能を悪用した攻撃です。通常、ネットワーク上にデータ送信する際には、決められている大きさ(MTU)を超えるIPパケットは複数の小さなIPパケットに分割されます。
分割されたIPパケットには、分割される前のパケットのどの部分に相当するかを示す情報「オフセット値」が含まれています。分割されたIPパケットを受け取った側は、このオフセット値をもとにIPパケットを組み立て、元のパケットを復元しようとします。
Teardrop攻撃では、IPパケットの順番を示す情報として不正な値をセットし、目標のサイトに送り付けます。受け取った側では、不正な情報を含むIPパケットを組み立てようとしエラーが発生し、処理が停止してしまいます。
Ping of Death攻撃
Ping of Death(PoD)攻撃とは、標的となるマシンに最大許容サイズを超えるパケットを送信することにより、フリーズやクラッシュなどの現象を引き起こして妨害しようとする攻撃です。
通常、インターネットは、TCP/IP(Transmission Control Protocol/Internet Protocol)という標準的に利用されている通信プロトコルを使用します。このプロトコルで使用される通信パケットは通常64バイトと小さなパケットです。
PoD攻撃では、通信パケットとしてサイズが65,535バイトを超える大容量のパケットを送信します。受信側のサイトでは処理ができずにクラッシュやフリーズを発生し、処理不能の状態に陥ります。
DoS攻撃の目的
DoS攻撃の目的は、単なる嫌がらせの場合もあれば、金銭の要求などより悪質な場合もあります。ここでは、Dos攻撃の代表的な目的5つについて解説します。
\気になる項目をクリックで詳細へジャンプ/
DoS攻撃の5つの目的
営業妨害
DoS攻撃の大きな目的の一つが、競合他社などへの営業妨害です。インターネット上の企業サイトがダウンしたり、ECサイトの処理が不安定になったりすると、運営元の企業としては、利益獲得の損失や社会的信用の失墜により大きなダメージを受けてしまいます。
DoS攻撃は、このようにライバル企業などへの営業妨害を目的としている場合が多く、攻撃を受けた側は攻撃への対応により時間や手間も取られてしまいます。
抗議
政治的な思惑や抗議のために、国や公共団体、大企業のサイトにDoS攻撃を行うことがあります。政治上の意思表示や政治目的のために、その思想などを主張する団体や集団が予告した上でDos攻撃を仕掛けます。
日本でも捕鯨やイルカ漁に対する抗議として、反対の意思表示を社会に訴えるために、関連する組織などのWebサイトに攻撃を仕掛け、社会に対してメッセージを発信するケースなどがありました。
嫌がらせ
DoS攻撃は、嫌がらせで仕掛ける場合もあります。嫌がらせの動機はさまざまですが、サイト運営側を困らせることを目的として攻撃する場合が多いようです。そのほかにも、私怨や技術力の誇示、単なるいたずらといった愉快犯のような攻撃目的のケースも見られます。
一般的にDoS攻撃では、マルウェアによる攻撃などほかの手法のように不正なデータの盗用や改ざん、消去といった行為はできないので、単なる嫌がらせの目的で攻撃を仕掛ける場合が多いです。
金銭の要求
DoS攻撃が金銭を目的として行われることもあります。事前に予告や実際の攻撃が行われ、ターゲット側を脅迫して、攻撃をやめることを条件に金銭を要求する手口です。
最近では、企業や団体、官公庁などをターゲットとして、高額な金銭を要求・入手する手段として、DoS攻撃が組織的に行われることが増えてきました。
他のサーバー攻撃を隠すため
ほかのサイバー攻撃を隠すための目隠しとしてDos攻撃が利用される場合もあります。DoS攻撃の方に目を向けさせている間に、ほかのサイバー攻撃を仕掛けて、サーバーから情報を盗用したり改ざんしたりします。
DoS攻撃ではデータの盗用や改変はできませんが、他の手法と組み合わせることでより確実に本来の目的を果たすことができます。攻撃される側としては、2重に攻撃を受けることになるのでダメージは大きいです。
DoS攻撃による被害
前述のようにDoS攻撃単体ではデータの盗用や改変をされることはありませんが、実際に攻撃されてしまうと、その関連被害は大きなものになることもあります。ここでは、企業にとって特に深刻な被害となりうる3点について解説します。
\気になる項目をクリックで詳細へジャンプ/
DoS攻撃による3つの被害
サーバーダウンによりアクセスできなくなる
DoS攻撃の手口にはさまざまな種類がありますが、サーバーに負荷をかける点では基本的に共通しています。サーバーの処理に大きな負荷がかかると、最悪の場合はWebサーバーがダウンしてアクセスできなくなり、Webサービスの停止へと繋がります。
Webサービスの種類としては、クラウドサービスやECサイト、Webメール、オンラインゲームなどがあり、多岐にわたります。Webサービスが停止してしまうと、ユーザーはサービスへのアクセスができなくなり、運用元の信頼性も大きく低下してしまいます。
金銭的な損失
DoS攻撃の負荷によるサービス停止は、当然ながら金銭的被害も引き起こします。ECサイトや商取引システム、物流システムなどが使用できなくなると、その間の金銭的な機会損失に繋がります。また、サーバーの復旧作業や原因究明のための費用も発生します。
さらに、従量課金制のサーバーを利用しているサイトの場合には、DoS攻撃により大量のデータ処理が発生することになり、その処理に使用した分の請求が発生します。攻撃の範囲や時間によっては被害の規模も大きくなり、膨大な金額の請求になる場合もあります。
社会的な信頼性の低下
DoS攻撃の直接的な実害は、サーバー負荷増大によるサーバーダウンや、それに伴うサービス停止です。しかし、それだけに留まりません。このようなアクセス障害はユーザー離れを招くことにもなり、運用元の社会的な信頼も失いかねません。
攻撃による被害が明らかになれば、ユーザーはサービスが利用できなくなるだけでなく、自身の個人情報の流出やウイルス感染への不安が増します。実際にまだそういったことが起きていなくても、将来的な懸念からユーザーが離れてしまうことも考えられます。
DoS攻撃への対策
では、Dos攻撃はどのようにして防げば良いのでしょうか。ここからは、DoS攻撃への対策として有効な5つの方法を紹介します。
\気になる項目をクリックで詳細へジャンプ/
社内教育や訓練をしておく
Dos攻撃などサイバー攻撃に対する知識を深めたり、万が一攻撃された場合に備えて訓練をしたりすることは非常に重要です。そうすることで、攻撃されていることにいち早く気付き、冷静に対応することができます。
攻撃が発覚した際の初期対応やエスカレーション先を事前に決めておけば、被害も最小限に抑えられます。可能であれば、社内に対応チームを設置しておくと良いでしょう。
脆弱性への対処を万全にする
Dos攻撃は、脆弱性を狙って仕掛けられることも多いです。そのため、できるだけ脆弱性を塞げるよう、対処することが大切です。
OSやソフトウェアは定期的にアップデートが行われるため、常に最新の状態に保つようにしましょう。アップデートはセキュリティの脆弱性に関する改善も、大きな目的の1つとなっています。
自社で構築したシステムやネットワークに関しては、定期的に脆弱性診断を行うと良いでしょう。こまめにリスクを確認することで、被害を受ける前に修正を行って対処することができます。
海外からのアクセスを制限
DoS攻撃は、海外から行われるものが多いとされています。そのため攻撃の防御策として、アクセスできるIPアドレスを、国内のものに制限することも効果的です。
ただし、海外からのアクセスを無効にしてしまうと、下記のような海外在住の人からの通常のアクセスまでブロックしてしまいます。
- 留学や出張などで一時的に海外に住んでいる人
- 長期旅行中で、オンラインサービスを使用したい人
- 海外在住で、そのサービスを利用したい人
また、海外からのアクセスをすべて制限してしまうと、海外マーケットに対する機会損失にも繋がります。将来海外進出を計画しているような場合には、最良の対策にはならないので、この方法を採用する前に社内で十分な事前検討が必要になります。
十分な対策が施されたサーバーやプロバイダーとの契約
DoS攻撃の対策として、プロバイダーやクラウド型のサーバーと契約する際に、DoS攻撃対策を行っているサービスを選ぶ方法があります。また、オプションやサービスの追加によって、攻撃に対するセキュリティを強化するといったアプローチもあります。
ただし、サーバー上で稼働するシステムやアプリケーション、サービスなどのセキュリティまでは対応していない可能性もあります。DoS攻撃に対して安全なサーバーとして過信せず、自社のシステムに関しては自社内で対応することが必要になります。
対策ツールの導入
ネットワーク上のトラフィック量の異常な増大をチェックしたり、攻撃者と想定されるIPアドレスからのアクセスを自動的にブロックしたりするツールを導入したりするのも有効なDos攻撃対策になります。
「ファイアウォール」や「IPS/IDS」「WAF」といったツールが具体的な選択肢として挙げられます。
ファイアウォール
ファイアウォール(FW)は、日本語で「防火壁」といった意味があり、文字通りサーバーとインターネットの中間に位置する壁となり、外部からの攻撃を遮断する機能があります。
また、特定のユーザーのIPアドレスや、インターネットの接続経路であるポートに通信の許可を与えたり、遮断したりする機能があります。DoS攻撃の対策としては、攻撃元のIPアドレスや利用するポートを遮断し、それ以上の攻撃を防御するといった使い方ができます。
IPS/IDS
IPS(Intrusion Prevention System:侵入防御システム)/IDS(Intrusion Detection System:侵入検知システム)は、通信内容をチェックして大量のトラフィックや不正な処理要求などが含まれていないかを分析するシステムです。
正規のIPアドレスやポートを通り抜け、ファイアウォールが遮断できなかった通信であっても、通信内容を1つひとつ調べ、大量トラフィックや不正な処理要求などのパターンが含まれていないかを分析します。
通信の監視を行った結果、DoS攻撃の可能性がある不正アクセスを検知した場合には、その結果を管理者へ警告し、さらに不正な通信を自動的に遮断することもできるセキュリティ管理システムです。
WAF
WAFは、「Web Application Firewall:ウェブアプリケーションファイアウォール」の略称で、Webサイトを含めたWebアプリケーションをDoS攻撃などのサイバー攻撃から防御するツールです。
WAFは、Webサービスのネットワーク部分ではなく、アプリケーション部分への通信やアクセスを監視し、不正データの検知や遮断ができます。Webサイトへ送付されたデータの内容を1つひとつリアルタイムで解析するため、DoS攻撃への対策として効果的です。
現在、WAFはサイバー攻撃への防御策として、最も効果的なツールの一つとされています。WAFが提供された当初は、導入方法が複雑でコストが高く、普及が進まなかったのですが、最近ではクラウド型WAFなどの登場により、コストも下がり導入しやすくなっています。
まとめ
DoS攻撃は、目標とするサーバーに対して、悪意を持って大量のデータを送りつけるなどするサイバー攻撃のことです。受け取った側はそのデータの処理に追われ、ほかの正常なアクセスに対してサービス処理をすることができず、サイト運営が困難になります。
ECサイトなどのビジネスサイトがDoS攻撃を受けると、正常な処理ができず販売の機会損失や社会的信頼も失われることになります。DoS攻撃は法律により処罰の対象となっており、社会的な被害を引き起こす行為の抑制にもなっていますが、自身での対策も必要です。
DoS攻撃の目的や種類もいくつかあり、それに対する対策方法も複数あるので、充分検討して攻撃に備えましょう。
