サイバー攻撃「水責め」の恐怖、G7も襲ったDDoS攻撃を解説【後編】

画像提供：マイナビニュース

「水責め」という恐ろしい名前のサイバー攻撃があるのをご存知でしょうか。これは元々アメリカで「DNS Water Torture Attack」と名付けられ、それが和訳された呼び名です。水を顔に浴びせたり大量に飲ませたりする拷問を語源として命名されたというなんとも恐ろしげな攻撃です。

前編では、水責めが近年多く観測されており、2023年に日本では政府関連組織や自治体の被害が報道されたことを取り上げました。今回はその厄介な水責めの被害からどのようにしてシステムを守るかという対策について解説します。
DDoS対策の基本的な考え方

「DoS(Denial of Service)攻撃」は、標的となるシステムもしくはネットワーク帯域を過負荷状態にして使用不能にする攻撃です。これを多くの多様な送信元から大量のトラフィックで行う場合にD(Distributed＝分散という意味)が付いたDDoS攻撃となります。これを防ぐ解決策を大別すると以下の2つが主な選択肢となります。

1. 攻撃を遮断する
不正な通信を検知し、対象システムに到達する前に遮断する。不正であることの根拠として、その通信の中身や送信元のIPアドレスなどで判断する手法などが挙げられる。

2. 負荷を分散する
不正な通信が標的にするシステムを地理的に分散し、かつ各場所においてサーバも複数配置して負荷分散を行う。分散して発せられた攻撃を合流させないことでDDoSの成立を阻む。
「遮断」は困難

水責め攻撃の厄介なところは、遮断しづらいところです。水責め以外のDNSを標的にするDDoS攻撃としては、ボットやリフレクション攻撃などによるトラフィックボリューム型の攻撃もありますが、これらの場合にはISPがオンプレミス型のDDoS対策ソリューションによって遮断する対策が有効です。

対して、水責めは形の上ではキャッシュDNSサーバから来ているDNSクエリであり、正当なゾーン情報と照らし合わせない限り不正クエリであるという判別がつきません。正当なISPのキャッシュDNSサーバからも発行されるため、送信元ベースで遮断することもできません。
負荷を分散する方法

現状、水責めに対しては負荷分散が最も有効です。権威DNSサーバは、元々複数台で構成することが想定されており、ゾーンデータを複数サーバで同期させる「ゾーン転送」機能を持っています。これを物理的に離れた大量のDNSサーバ間で構成することで、負荷を分散させることができます。