サイバー攻撃「水責め」の恐怖、G7も襲ったDDoS攻撃を解説【後編】
マイナビニュース / 2024年5月22日 7時0分
「水責め」という恐ろしい名前のサイバー攻撃があるのをご存知でしょうか。これは元々アメリカで「DNS Water Torture Attack」と名付けられ、それが和訳された呼び名です。水を顔に浴びせたり大量に飲ませたりする拷問を語源として命名されたというなんとも恐ろしげな攻撃です。
前編では、水責めが近年多く観測されており、2023年に日本では政府関連組織や自治体の被害が報道されたことを取り上げました。今回はその厄介な水責めの被害からどのようにしてシステムを守るかという対策について解説します。
DDoS対策の基本的な考え方
「DoS(Denial of Service)攻撃」は、標的となるシステムもしくはネットワーク帯域を過負荷状態にして使用不能にする攻撃です。これを多くの多様な送信元から大量のトラフィックで行う場合にD(Distributed=分散という意味)が付いたDDoS攻撃となります。これを防ぐ解決策を大別すると以下の2つが主な選択肢となります。
1. 攻撃を遮断する
不正な通信を検知し、対象システムに到達する前に遮断する。不正であることの根拠として、その通信の中身や送信元のIPアドレスなどで判断する手法などが挙げられる。
2. 負荷を分散する
不正な通信が標的にするシステムを地理的に分散し、かつ各場所においてサーバも複数配置して負荷分散を行う。分散して発せられた攻撃を合流させないことでDDoSの成立を阻む。
「遮断」は困難
水責め攻撃の厄介なところは、遮断しづらいところです。水責め以外のDNSを標的にするDDoS攻撃としては、ボットやリフレクション攻撃などによるトラフィックボリューム型の攻撃もありますが、これらの場合にはISPがオンプレミス型のDDoS対策ソリューションによって遮断する対策が有効です。
対して、水責めは形の上ではキャッシュDNSサーバから来ているDNSクエリであり、正当なゾーン情報と照らし合わせない限り不正クエリであるという判別がつきません。正当なISPのキャッシュDNSサーバからも発行されるため、送信元ベースで遮断することもできません。
負荷を分散する方法
現状、水責めに対しては負荷分散が最も有効です。権威DNSサーバは、元々複数台で構成することが想定されており、ゾーンデータを複数サーバで同期させる「ゾーン転送」機能を持っています。これを物理的に離れた大量のDNSサーバ間で構成することで、負荷を分散させることができます。
この記事に関連するニュース
-
【新規申込みで半額】CDN+WAF+DDoS攻撃対策 導入キャンペーンを開始
PR TIMES / 2024年5月31日 14時40分
-
株式会社アイロバ、6月12日-14日開催[Interop Tokyo 2024]にて【BLUE Sphere】を出展
PR TIMES / 2024年5月24日 15時40分
-
サイバー攻撃「水責め」の恐怖、G7も襲ったDDoS攻撃を解説【前編】
マイナビニュース / 2024年5月21日 7時0分
-
HTTPの「429」エラーコード、原因と9つの解決策
マイナビニュース / 2024年5月14日 16時25分
-
アクセリア、サイバーセキュリティクラウドとの代理店契約を締結し、「攻撃遮断くん」「Waf Charm」「SIDfm」の提供を開始
PR TIMES / 2024年5月9日 12時15分
ランキング
-
1【週間ニュースランキング】「あおぎり高校」VTuber・大代真白さんの体調不良を公式が説明―二次創作ゲーム『VTuberホームランダービー』も話題!
インサイド / 2024年6月2日 9時0分
-
2「8番出口」の続編「8番のりば」配信開始 開発者「8番シリーズは終了の予定」
ITmedia NEWS / 2024年6月3日 16時0分
-
3KDDIのSIMカード、台紙サイズを従来の半分に プラスチックの使用量を55%削減
ITmedia Mobile / 2024年6月3日 14時21分
-
4「050」で始まるIP電話「SMARTalk」が終了へ 楽天モバイルが発表
ITmedia NEWS / 2024年6月3日 11時42分
-
5「こんなに種類あるんですね」 コレクターが収集した交通系ICカードの数々に「すごい」「素敵です」
ねとらぼ / 2024年6月2日 20時45分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください