DDoSソリューションの必要性

先ごろJPCERTの発表によると、仮想通貨で要望額を払わないと攻撃すると脅迫する「ransom DDoS」が8月に観測されたとのこと。

https://www.jpcert.or.jp/newsflash/2020090701.html

攻撃手法としては、「SYN Flood」「SNMP Flood」「DNS Flood」「ICMP Flood」「GRE Protocol Flood」「WSDiscovery Flood」「ARMS Reflection」など様々な攻撃が確認確認されているそうです。

某携帯会社と地方銀行の金融サービスを舞台にした不正送金問題ではブルートフォースアタックを利用されるなど、DDOSやWAFに焦点が当たるものが増えています。

今回は、DDoS攻撃の危険性をおさらいします。

1.過去のDDoS攻撃

DDoSという昔からあるもので、今更感はありますが改めて説明します。
2011年のアノニマスによりDDoS攻撃で企業に対しての攻撃。多くの企業がサービス断に追い込まれたのが記憶に新しいです。
その後も企業に対する脅迫や社会抗議メッセージを携えての攻撃が多数ありました。
2016年に発生した「Mirai」はIoTをターゲットした攻撃でした。
これはネットにつながる比較的セキュリティが弱く、対策がしずらく、セキュリティ実装にプアな情報機器、センサーやカメラなどに感染し攻撃するもので、10万台以上の機器が攻撃するなどダメージの大きい攻撃です。

参考:「Mirai」の主な挙動(感染・ボットネット構築・DDoS攻撃)とは?IPA資料「顕在化したIoTのセキュリティ脅威とその対策」より引用
(https://www.ipa.go.jp/files/000062277.pdf)

2.最近の傾向

今年1月には警視庁@Policeが、Mirai亜種のIoT攻撃増加、機器脆弱性対応などの火急対応を警告しています。

https://www.npa.go.jp/cyberpolice/detect/pdf/20200130.pdf

また、日本大手通信プロバイダのレポートによると、今年5月だけのレポートで内で約500件近い攻撃が確認。リクレクション攻撃が増えてると報告。いわゆるDRDoS攻撃です。

一方小規模で目立ちにくい攻撃も増加しています。
検知の閾値を下回りゆっくり攻撃。サーバを止めず長期攻撃して「ネットワークがなんか遅い。。」とさせない知らず知らずにされている攻撃です。

3.DDoSを放置できない

今や企業や団体では、アプリケーションのWeb移行が進み、企業の重要なビジネスアプリケーションをホストするサーバは、悪意のある攻撃や改竄を狙われ、知的財産や顧客情報その他の機密ビジネスデータなどが攻撃者の標的になる危険性が増大しています。
自システム機器のいずれかが感染しボット化、その後DDoS攻撃を行ったとしますと、モラル上好ましくないというレベルではなく、法律などに触れる可能性もすてず、ほう助とされてしまうことも考えられます。
被害予防だけでなく、加害者にならないケアは必要です。仮に攻撃側になると企業イメージが落ち、ステークフォルダや顧客の信頼失墜を招く恐れがあります。
また、自社システムに攻撃を受けた場合、社内システムのパフォーマンスが著しく遅くなると生産性がダウンするばかりではなく、外部公開サーバが遅くなると顧客に対しての購買疎外にもなり、情報伝達に影響を受けるなど沢山の問題があります。

4.DDOSの有効な対策

古くからDDoS対策専用機を用意するほどではなく、WAFやIPSといった対策がDDoS攻撃には十分有効とされてきました。
しかし、IPSを用いてDDoS攻撃をいち早く察知してログを精査し適切な対応を講じることはゼロディ対策は不可能であり、WAFを用いてL7アプリケーション層で不正な通信を遮断しても、現代の様々な手法で多層攻撃が行われた場合に対処できない可能性が増えています。

ユーザは、DDoSミチゲーション付きのクラウドWAFサービスやCDNサービスで膨大なトラフィックを受け止めるミチゲーションする形式か、我々のおすすめするDDoS攻撃に特化した専用のアプライアンスで対応することが最大の対策となります。

5.アレイがおすすめする新製品ASF/vASFシリーズ

ASF/vASFは、近日発売予定の新製品で、アプラインス版と仮想版を提供します。
ASF/vASFは全てのビジネスコアであるWEBサーバとアプリケーションに多層WEBセキュリティ防御を提供します。
・ネガティブ&ポジティブWAFモデルを組み合わせ、最新の既知の攻撃とセキュリティの脆弱性を検出してブロックできるだけでなく、「ゼロデイ」攻撃を効果的に防止します。
・高度な攻撃シグネチャライブラリを統合
SQLインジェクション、PHPインジェクション、XSS、コマンド実行、ネットワーククローラー/スキャナー、CSRF、リーチ、Webshel​​l、機密データ漏えい、セッションハイジャック、プロトコル違反などの幅広い攻撃を防止できます。
・エンタープライズグレードDDoSミティゲーション
高度なネットワークアクセスコントロール、ホワイトリストとブラックリスト、HTTPプロトコルコンプライアンスチェック、Cookie改ざん防御、ブルートフォース防御、リーチ防止、クロール防止/スキャン、およびパケット異常チェックを含む、WebサーバにL3からL7の防御を提供します。
・カスタマイズされた攻撃シグネチャと柔軟な導入モード/防御モデルをサポート
・WAFプロファイルをダイナミックに更新するトラフィック自動学習
・学習結果に基づいて自動DDoSプロファイルのルールとオプション設定を動的に更新するベースライン学習
・DLP(データ漏洩防止)ルールをサポート
・バーチャルパッチをサポート
・WAD(Web改ざん防止)機能をサポート
・豊富なイベントログ
・きめ細かく直感的なGUI
・レポート機能(監視レポート、高度なサービスセキュリティレポート、PCI DSSコンプライアンスレポートetc)
・ロールベースの管理特権制御
・外部認証と承認をサポート
・管理者監査ログを提供
・ソフトウェアとハードウェアのバイパス機能をサポート
・業界をリードするECCパフォーマンスとRSA 2048/4096ビットSSLパフォーマンス
・XML-RPCとeCloud™RESTful APIをサポート

対策可能なDDoS

ASF/vASFによって緩和されるL3~L7DDoS攻撃

● HTTP GET Flood attack
● HTTP POST Flood attack
● HTTP Slowloris attack
● HTTP Slow Post attack
● HTTP ChallengeCollapsar (CC) attack
● HTTP Packet Anomaly attacks
● SSL Handshake attack
● SSL Renegotiation attack
● SSL Packet Anomaly attacks
● DNS Query Flood attack
● DNS Reply Flood attack
● DNS NXDomain Flood attack
● DNS Cache Poisoning attack
● DNS Packet Anomaly attacks
● TCP SYN Flood attack
● TCP SYN-ACK Flood attack
● TCP ACK Flood attack
● TCP FIN/RST Flood attack
● TCP Connection Exhaustion attack
● TCP Fragment Flood attack
● TCP Slow Connection attack
● TCP Abnormal Connection attack
● UDP Flood attack
● UDP Fragment Flood attack
● TCMP Flood attack
● Smurf, Ping of Death, LAND, IP Spoofing, Teardrop, Fraggle, Winnuke, Tracert and other malformed single-packet attacks

以上です。近日発売になります。

興味あるユーザはハードウエア・仮想ライセンスをご用意しますので、是非お試しください。

The network functions platform company「Array NETWORKS」
MAIL TO: marketing-j@arraynetworks.net
担当: 対馬浩明
TEL: 044-589-8316