DDoS ボットネットとは
DDoS ボットネットとは、悪意のある攻撃者が分散型 DDoS 攻撃を開始するために使用する、侵害されたコンピューターまたはモノのインターネット (IoT) デバイスのネットワークです。これらの攻撃は、ターゲットに大量のトラフィックを送り込み、通常の機能を妨害し、正当なユーザーが利用できない状態にすることを目的としています。
ボットネットと DDoS ボットネットの比較
ボットネットは、感染してハッカー (「ボットマスター」または「ボットハーダーとも呼ばれます) のコントロール下にあるコンピューターまたはモノのインターネット (IoT) の集団を意味します。ボットマスターはボットネットが提供するコンピューティングのリソースプールを利用して大規模な攻撃を仕掛けることができます。
DDoS ボットネットとは、DDoS 攻撃を実行するために特別に使用されるボットネットです。
DDoS 攻撃とは何か
分散型 DDoS 攻撃は、攻撃者が多数の侵害されたコンピュータ (DDoS ボットネット) を使用して、ターゲットシステムを圧倒することを目的とした、大量攻撃を行うサイバー攻撃の一種です。このタイプの攻撃により、正当なユーザーがターゲット (サービスまたはサーバー) を利用できなくなる可能性があります。DDoS 攻撃は、さまざまなソースからの不正なトラフィックの洪水によって、ターゲットシステムを事実上無力化するものと考えることができます。
ボットネットのしくみ
ボットマスターはボットネットを構築するためにまずデバイスを感染させ、感染したデバイスから成るネットワークを作り、攻撃に利用できる状態にします。ソフトウェア/ファームウェアのエクスプロイト、または不正なリンクからのダウンロードや感染ファイル経由でデバイスに侵入して感染させます。デバイスが感染したら、ボットマスターは感染したデバイスのコンピューティングリソースを利用して攻撃を仕掛けますが、多くの場合、デバイスの所有者はこれに気付きません。ボットネットの構築に必要な感染デバイスの数は特に決まっていませんが、感染デバイスのネットワークが大きいほど、攻撃の影響力が大きくなります。感染したデバイスをコントロールする2つの方法があります。
ボットネットはどのように制御されているのか
クライアント - サーバーモデル
ボットをコントロールするには、サーバー (ボットマスター) とクライアント (感染したコンピューター/デバイス) 間の通信を可能にするインフラストラクチャが必要になります。クライアント - サーバーモデルはボットをコントロールする最初のモデルで、集中型サーバー (コマンド&コントロールサーバー = C&C) を作成することで機能します。つまりクライアント - サーバーモデルでは、ボットマスターの C&C サーバーによって提供される指示にのみ従います。そしてこの依存関係がこのモデルの最大の弱点となります。C&C サーバーが発見されたり、無効化されたりした場合、ボットネット全体が機能しなくなるためです。
P2P および分散型コマンド & コントロール
クライアント - サーバーモデルの弱点を回避する、ピアツーピア (P2P) と分散型 C&C のモデルが登場しました。このモデルでは、あらゆるクライアントがサーバーとして機能します。単一ソースからの指示に従うのではなく、ボットネットを構成するすべてのクライアントが指示を伝達できるのです。このモデルでは指示の提供に時間がかかるものの、ボットネットの解体はほぼ不可能です。
ボットネットを使用する攻撃の種類
ボットネットは単一のコンピューターで可能なあらゆる攻撃を実行できますが、違いは攻撃の規模です。DDoS 攻撃やアカウント乗っ取り、スパムなど、大量のリクエストを発生させる攻撃においてボットネットが最も頻繁に使用されます。最大規模のボットネット攻撃には、2016年に Twitter や Netflix、Reddit などの人気 Webサイトをダウンさせた Mirai ボットネットによる DDoS 攻撃や、200万近い PC を操作してクリック詐欺を実行し、約3,000万ドルに及ぶ被害を出した3ve ボットネットが挙げられます。
DDoS ボットネットからアプリケーションを保護するには?
DDoS ボットネットからアプリケーションを保護することは、DDoS 攻撃からアプリケーションを保護することと同義です。ベストプラクティスには、次のようなものがあります。
トラフィックパターンを理解する : 攻撃対策の第一歩は、トラフィックのプロファイルを作成することです。このプロファイルには、「正常な」トラフィックの定義や、ネットワーク全体で予想されるトラフィック量の想定値が設定されます。このプロファイルを介してトラフィックをモニタリングすることで、エンドユーザーに影響を及ぼすことなく、インフラストラクチャで処理できる最大限のトラフィックを受け入れるルールを設定できます。
レート制限を使用する : レート制限で基準値を設定し、この追加の変数を分析して検証されたトラフィックのみを受け入れるようにすることによって、さらに高度な検出方法を実装することができます。セキュリティに関わる小さな問題がひとつあるだけで、ネットワークやサーバーに甚大な損害がもたらされるリスクが生じるだけでなく、DDoS 攻撃に直面した社員が5つの段階から成る感情にさいなまれる状況に追い込まれかねません。そのため、セキュリティには初期の段階からしっかり取り組む必要があります。
露出を最小限に抑える : DDoS 攻撃を緩和する最も簡単な方法のひとつは、攻撃対象になり得る範囲を縮小し、最終的に攻撃者が利用できるオプションを減らして、対策と保護を1か所で行えるシステムを設計することです。つまり自社のアプリケーションやホストを、通信を想定していないポートやプロトコル、その他のアプリケーションに曝さないようにする必要があります。これは大半の場合、インフラストラクチャのリソースをプロキシであるコンテンツ配信ネットワーク (CDN) の背後に配置し、インフラストラクチャの特定の部分にインターネットトラフィックが直接流れるのを制限することで対応できます。さらに、ファイアウォールやアクセス制御リスト (ACLS) を利用することで、特定のアプリケーションにトラフィックが到達するのを制御することもできます。
アプリケーションベースのファイアウォールをデプロイする : インターネットに接続しているアプリケーションは、日々何度も(平均39秒ごとに) 攻撃を受けています。こうした攻撃には、Web アプリケーションファイアウォール (WAF) を活用するのが最も効果的な対策です。まず OWASP トップ10タイプの攻撃を積極的にブロックするようにした後、他の不適切なリクエストもブロックするようトラフィックプロファイルをカスタマイズするのが理想です。例えば、こうしたリクエストは正当なトラフィックを装いながら、既知の悪質な IP アドレスやお客様がビジネスを行っていない地域から送信されている場合があります。また WAF では、経験豊富な専門チームのサポートを活用してトラフィックのヒューリスティック分析を行い、アプリケーションに合わせてカスタマイズされた保護対策を実装することも可能です。
設計によるスケーラビリティ : 攻撃を吸収し、緩和するために帯域 (トランジット) やサーバー (コンピューティング) の容量を増やすという方法も、(それだけではベストのソリューションとはいえせませんが) 有効な対策として考えられます。アプリケーションを設計、構築する際には、トラフィックの急増に対応できるようにインターネットへの接続に冗長性を持たせるようにしてください。ロードバランシングを活用し、継続的にトラフィックをモニタリングしながら利用可能なリソース間で負荷を分散し、1か所に過負荷が起こらないようにするのが一般的な方法です。さらに、CDN の使用を前提に Web アプリケーションを作成することで、エンドユーザーの近くからコンテンツを提供するレイヤーをネットワークインフラストラクチャに追加できます。DDoS 攻撃の多くは大量のトラフィックを発生させて膨大な量のリソースを消費させるので、アプリケーションはコンピューティングリソースを迅速にスケールアップまたはスケールダウンできる必要があります。分散型アーキテクチャを持つ CDN を使用すれば、攻撃が分散され容易に対処できるようになります。CDN を利用して最も巧妙なタイプの攻撃を阻止する方法は他にもあります。攻撃プロファイルを作成することで、CDN による悪意のあるトラフィックの排除や抑制が可能になります。
DDoS 攻撃を軽減する方法についての詳細は、DDoS ベストプラクティスガイドラインをご覧ください。
Fastly のソリューションが役立つ理由
自動的な攻撃軽減 : プラットフォームは手動による介入なしに分散型 DDoS 攻撃を検出して無効化し、一貫したサービスの可用性を確保します。
大規模なグローバル容量 : 350 Tbps を超えるネットワーク容量を備えた Fastly は、最大規模のボリューム攻撃にも耐え、極端な状況でもインフラストラクチャのレジリエンスを維持します。
動的トラフィック監視 : トラフィックパターンを継続的に評価することで、異常を検出し、オペレーションが中断される前に脅威に効果的に対処できます。
迅速なレスポンス時間 : Fastly の分散型 DDoS 攻撃プラットフォームは数秒以内に攻撃をブロックし、エンドユーザーへの影響を最小限に抑えます。
適応型識別技術 : Attribute Unmasking のような革新的なメソッドを使用して、Fastly は従来の防御を迂回する高度で進化する攻撃を迅速に識別し、阻止します。
多様なアーキテクチャのサポート : DDoS Protection プラットフォームは、多様なインフラストラクチャに迅速にデプロイされ、オンデマンドで変更に対応します。
統合プラットフォーム体験 : Fastly は、必要に応じて他の Fastly エッジクラウドサービスと統合できるスタンドアロンソリューションを提供しています。
費用対効果の高いオペレーション : Fastly は正規のトラフィックに基づいて課金するため、攻撃によるトラフィック急増の費用負担を避けられます。
レジリエントなアプリケーションと API 保護 : Fastly は、アプリケーションと API をパフォーマンスの低下や停止から保護し、攻撃中でも信頼性の高いサービス提供を保証します。
シンプルなデプロイ : ソリューションはクリックひとつで有効化でき、あらゆる規模の企業に即時の保護を提供します。
Fastly の DDoS Protection がデジタルインフラストラクチャを保護し、サービスを中断なく維持する方法に関する詳細については、デモをご予約ください。
Fastly Next-Gen WAFについて学んでください