DDoS攻撃とメールセキュリティ
イントロダクション
サイバーセキュリティ環境において、DDoS(Distributed Denial of Service)攻撃は、組織と個人の両方にとって莫大な脅威を表しています。これらの攻撃はトラフィックでネットワークを圧倒することにより、ウェブサイトやサービスを無力化し、深刻な運営中断と財務的損失を引き起こします。被害は単に技術的なものではなく、金銭的損失、評判の損害、場合によっては法的な結果にまで及びます。IoT(Internet of Things)デバイスの出現により、攻撃者はDDoS攻撃に利用する新しいリソースを見つけ、大規模攻撃を開始するために損傷したデバイスの広大なネットワークを構築しました。また、DDoS-for-hireサービス(お金を受け取ってDDoS攻撃を行うシステム)へのアクセスしやすさは、DDoS攻撃を開始する障壁を下げ、今や熟練のハッカーだけでなく個人からも脅威を受ける可能性があります。これらの攻撃の深刻さを示す例として、2020年2月にアマゾンウェブサービス(AWS)が攻撃された事件や、2016年10月に主要DNSプロバイダーであるDynに対する攻撃があり、TwitterやNetflixなどの主要ウェブサイトが破壊されました。このような事例は、DDoS攻撃が重要なデジタルインフラ及びサービスに影響を与える極端な可能性を示しています。
さらに、DDoS攻撃は、メールセキュリティの観点からも潜在的な危険性を持っています。メール攻撃を受けてアカウントが乗っ取られた場合、そのアカウントがDDoS攻撃を実行するなど、二次犯罪に悪用される可能性があります。特に、サイバー攻撃の90%がメールを通じて行われるという点で、メールセキュリティに積極的に関心を持ち、メールセキュリティの診断を行うことは不可欠です。これらのサイバー脅威が継続して進化するにつれて、私たちの防御も同様に進化しなければなりません。
1.定義と危険性
DDoS攻撃は「分散型サービス拒否(DDoS)」を意味し、これは攻撃者がサーバーに大量のインターネットトラフィックを流し、ユーザーが接続されたオンラインサービスやサイトにアクセスできないようにするサイバー攻撃です。DDoS攻撃をする理由としては、大きく分けて、競合他社の妨害、政治的/社会的メッセージの伝達、金銭的利益のための身代金要求、より大きなサイバー攻撃をするために注意をそらすなどがあります。
DDoS攻撃は企業や機関に大きな影響を与えます。このような攻撃は、ウェブサイトやネットワークサービスを使えないようにし、ユーザーがサービスを利用できないように仕向けて、直接的な経済的損失をもたらします。サービスの中断は、オンライン販売、顧客サービス、取引などを中断させ、ユーザーの信頼を失い、長期的にブランドの評判に悪影響を及ぼします。攻撃後は、システムの復旧とセキュリティ強化に多くの時間とコストがかかり、データセキュリティとサービス可用性規制を遵守できないリスクがあります。さらに、個人的な側面から見ると、DDoS攻撃のためにボットネットに感染したコンピュータは、パフォーマンスの低下、個人情報やデータの流出、さらなるマルウェア感染のリスク増加、アカウント乗っ取りによるDDoS犯罪の悪用など、様々な問題に直面する可能性があります。DDoSの攻撃を受けたコンピュータとアカウントは、攻撃者の命令に従ってサイバー攻撃を実行することになり、これにより法的責任の問題が発生する可能性もあります。
2.攻撃原理と種類
DDoS攻撃は、ハッカーがボットネットを使用してターゲットサーバーに過剰なトラフィックを集中させることで起こり、これによりサーバーは正常なユーザーの要求を処理できなくなり、サービス中断が発生します。攻撃方式は大きく4つのタイプでボリュームベースの攻撃(Volumetric Attacks)、プロトコル攻撃(Protocol Attacks)、アプリケーション層攻撃(Application Layer
Attacks)、マルチベクトル攻撃(Multi-vector Attacks)があります。このうち、最も一般的な攻撃方式はボリュームベースの攻撃で、これは帯域幅が処理できないほど多くのトラフィックをサーバーに送信し、ターゲットネットワークの帯域幅を消費しようとします。 これは、大量のトラフィックを使用してサービスを麻痺させることを目的としています。 一般的なボリューム攻撃であるDNS増幅では、攻撃者がスプーフィングされたターゲットのIPアドレスを使用してDNSサーバーにリクエストを送信します。DNSサーバーはリクエストに対する応答をターゲットサーバーに送信することになり、膨大な量のDNSサーバーの応答でターゲットサーバーに過負荷が発生します。
2020年2月のAmazon Web Services(AWS)攻撃は、有名企業がボリュームベースのDDoS攻撃を受けた代表的な事例の一つです。 この攻撃は、不特定のAWS顧客を対象とし、CLDAP(Connectionless Lightweight Directory Access Protocol)リフレクションという技術を活用しました。 この方法は、脆弱なサードパーティのCLDAPサーバーを活用し、被害者のIPアドレスに送信されるデータ量を56~70倍まで増幅させ、攻撃の規模は毎秒2. 3テラバイト/秒で最大値を記録しました。 これは、当時記録された最も極端なDDoS攻撃の一つでした。 このような事件は、攻撃方法の技術的な精巧さと、ますます進化するDDoS攻撃の破壊的な特性をよく示しており、重要なオンラインサービスを提供する企業にDDoSセキュリティ対策への投資と攻撃の防止に対する警告を与えました。
3.電子メール攻撃によるDDoS攻撃
メールを使用したDDoS攻撃は一般的ではありませんが、サイバー攻撃の90%がメールを通じた攻撃方法を使用しているという点で、メールのセキュリティに集中する必要があります。コンピュータに対するDDoS攻撃以外にも、メール攻撃を受けてアカウントが乗っ取られた場合、そのアカウントがDDoS攻撃のための手段になる可能性があります。アカウント乗っ取りのために使用される代表的な方法には、ソーシャルエンジニアリング攻撃のURLフィッシングがあります。
メールセキュリティ標準によると、「ソーシャルエンジニアリング攻撃」[7.Threats for targeted email attacksの7.2 Social engineering email attacks]とは、システムの脆弱性を攻略する攻撃ではなく、ユーザーを騙してお金を送金させたり、機密情報を抜き取ろうとする心理的な攻撃です。 メールセキュリティ国際標準書は、国連専門機関に繋がっている国際電気通信連合(ITU)に登録されているため、国際的に信頼できる内容です。URLフィッシングは、被害者のIDとパスワードを盗用するための攻撃を指し、攻撃者はフィッシングページやウェブサイトを作り、メールに内蔵された悪質なURLやファイルを利用して被害者のアカウント情報の入力を誘導します。攻撃者は、そのメールが評判の良い会社、政府機関、または同僚など、信頼できる既知のソースから送信されたように見せかけ、ユーザーを騙し、悪意のあるURLをクリックさせ、ログイン資格情報や重要な情報を入力させます。このようなソーシャルエンジニアリング攻撃方式は非常によく発生しているため、ディドス犯罪の悪用防止のためだけでなく、機密情報を保護し、他の2次犯罪を予防するために、継続的な関心を持ってメールセキュリティ診断を実施しなければなりません。。
4.DDoS攻撃防止ソリューションと電子メールセキュリティ
URLフィッシング攻撃に対応するためには、標準の[8.2.4 Security requirements for countering URL phishing attacks]に基づくセキュリティ要件を遵守しなければなりません。
-個人情報の入力を誘導するウェブページを含むURLの最終目的地を継続的に追跡する必要があります。
このようなセキュリティ要件を反映して、標準の[9.2.4 Countermeasures for URL phishing attacks]ソリューションを導入することで、URLフィッシング攻撃に対する先制的な対応が可能です。
URL追跡のエンドポイント:すべてのURLの最終目的地まで追跡し、情報入力誘導の可能性をモニタリングする必要があります。
ウェブページのHTMLソースコードを分析して、ユーザーの個人情報やID、パスワードなどのアカウント情報を提供するように誘導する入力文字ボックスがあるかどうかを確認し、入力された情報が第三者サーバーに伝送されるかどうかを検査しなければなりません。。
DDoS攻撃を防止するためには、ネットワークトラフィックを継続的に監視し、ネットワーク帯域幅を増やしてより多くのトラフィックを処理できるようにする必要があります。 また、専門的なDDoS防止サービスとウェブアプリケーションファイアウォールを使用して有害なトラフィックを遮断し、サービスとデータを複数の場所に分散して、単一の攻撃ポイントへの依存を減らす必要があります。 これとともに、DDoS攻撃に対応できる計画を立て、定期的なデータバックアップと復旧計画を立て、ISPと協力して攻撃を早期に検知して対応することが重要です。企業や機関だけでなく、個人が使用する機器とネットワークを保護するためには、アンチウイルスソフトウェアを使用し、定期的にアップデートすることが重要です。
また、電子メールによるDDoS攻撃は比較的に稀ですが、先ほど説明したように、ソーシャルエンジニアリング攻撃によるアカウント乗っ取りがDDoS攻撃につながる状況が発生する可能性があります。受信メール攻撃であるURLフィッシングメールは、注意を払わないと簡単に危険に陥る可能性があります。このようなリスクを防止するためには、電子メール国際標準に提示された電子メール攻撃の種類とセキュリティ要件について認識し、継続的な関心を持って電子メールセキュリティ診断を実施する必要があります。 電子メール国際セキュリティ標準では、URLフィッシング攻撃を効果的に遮断し、対応するために以下のようなセキュリティ要件とソリューションを提供しています。
URLフィッシング攻撃に対応するためには、標準の[8.2.4 Security requirements for countering URL phishing attacks]に基づくセキュリティ要件を遵守する必要があります。
-個人情報の入力を誘導するウェブページを含むURLの最終目的地を継続的に追跡する必要があります。
このようなセキュリティ要件を反映して、標準の[9.2.4 Countermeasures for URL phishing attacks]ソリューションを導入することで、URLフィッシング攻撃に対する先制的な対応が可能です。
ウェブページのHTMLソースコードを分析して、ユーザーの個人情報やID、パスワードなどのアカウント情報を提供するように誘導する入力文字ボックスがあるかどうかを確認し、入力された情報が第三者サーバーに伝達されるかどうかを検査する必要があります。
また、アカウント乗っ取りによるDDoS攻撃を遮断するためには、受信攻撃だけでなく、送信攻撃でのセキュリティ機能要件も適用されると、アカウント乗っ取り攻撃から安全を守ることができます。
標準の<攻撃者によるアウトバウンド電子メール脅威への対応>の「アカウント乗っ取りを利用した攻撃に対応するためのセキュリティ要件」によると、以下のようなセキュリティ要件および機能を遵守することも役立ちます。
- メール送信制限により、一度に送信できる最大メール数の制限を設定することができます。1日に送信できるユーザー数とメール1通あたりの受信者数を制限することで、メールサーバーの状態とアカウントのセキュリティを維持します。
- セキュリティ管理者とユーザーがメールアカウントにアクセスできる特定のIPと国を設定できるようにすることをお勧めします。
5.結論
DDoS攻撃は、サーバーに大量のトラフィックを引き起こし、サービスを麻痺させるサイバー犯罪です。 このような攻撃は通常、サービス中断を目的としており、経済的損失、サービス中断、信頼性及び評判の損傷などの損失を引き起こします。
予防および対応方法としては、ネットワークトラフィックのモニタリング、DDoS防止サービスおよびウェブアプリケーションファイアウォールの使用、データのバックアップおよび復旧計画の樹立、ISPとの協力などがあります。 また、個人ユーザーは、アンチウイルスソフトウェアの使用およびメールのセキュリティに注意する必要があります。 特に、サイバー攻撃の90%がメールを通じた攻撃方法を使用しているという点で、メールのセキュリティは非常に重要です。DDoS攻撃に利用されるアカウントにならないように、アカウント情報を奪取する手段として主に利用される攻撃であるURLフィッシングに対応するためには、メール国際セキュリティ標準機能要件に準拠した準備が必要です。 また、受信攻撃だけでなく、送信攻撃におけるセキュリティ機能要件が適用されると、メールハッキング攻撃から安全を守ることができます。標準で提示する攻撃セキュリティ要件について認識し、先制的な対応策を活用すれば、アカウント乗っ取りによって発生するDDoS攻撃はもちろん、メールフィッシングのリスクも大幅に減らすことができます。
参考文献
<大手バンキング・プラットフォームMonobank、Kyivstarのネットワーク障害で大規模なDDoS攻撃を受ける>
https://news.yahoo.com/major-banking-platform-monobank-experiences-132500767.html
<DDOS攻撃とは?>
https://www.fortinet.com/resources/cyberglossary/ddos-attack
<ボットネットとは>
https://heimdalsecurity.com/blog/all-about-botnets/
<インターネットを破壊した2016年のサイバー攻撃で司法省が有罪答弁を発表>|theWORLD(ザ・ワールド)|世界中のサッカーを楽しもう>