セキュリティの
学び場

今回の解説ニュース

県が管理するシステムがDDoS攻撃の被害にあい、Webサイトにアクセスしづらい状況が今(2022年2月18日時点)も続いているということです。今回のDNSフラッド攻撃を理解する上で必要なDNSの仕組みや、DDoS攻撃の対策について説明します。

今回のインシデントは、DNSサーバに多大な負荷がかかり、県及び市町のホームページの閲覧に支障が生じているということです。原因として、DDoS攻撃の中でもDNSサーバを対象とするDNSフラッド攻撃が断続的に仕掛けられたことが挙げられています。

対策として、警察と連携しながら対応を行っており、また、Webサイトにアクセスしづらい場合は、時間をおいてから再度アクセスするよう呼びかけています。

DNSサーバを狙う「DNSフラッド攻撃」とは

DNSフラッド攻撃とは、DNSサーバに対して無効かつ大量のリクエストを行うことで、応答ができない状態にする攻撃です。攻撃者の無効かつ大量のリクエストでDNSサーバのリソースが枯渇してしまい、正規のユーザに有効な応答を返すことができなくなります。DNSサーバが狙われる理由として、DNSの仕組みについて理解する必要がありますので、簡単に説明します。

DNSサーバはドメイン名とIPアドレスの情報を紐づけたデータベースを管理しています。これだけだとよくわからないと思うので、地図から目的の場所を見つける方法に例えて説明します。

例えば、Aさんの自宅は、地図上の緯度と経度で正確な位置を表すことができます。緯度と経度は数字の羅列なので覚えられなくはないかもしれませんが、直観的ではないですね。人間が覚えやすくするためには「東京都港区」というような文字列であることが望まれます。インターネットで緯度と経度にあたるのがIPアドレスで住所に当たるのがドメイン名です。そして、インターネットの住所録となるのがDNSと言えます。つまり、住所から地図上の緯度と経度がわかるように、DNSサーバに対してドメイン名を問い合わせたら、紐づくIPアドレスを常に返してくれることが期待されます。

ここで、DNSフラッド攻撃を受けてDNSサーバが応答できなくなったことを考えてみましょう。Aさんの住所に対して地図上の緯度と経度が確認できなくなりますので、たどりつくことができません。DNSサーバでは、Webサーバやメールサーバだけでなく、様々なシステムのドメイン名を管理しているため、多くのシステムにたどりつけなることが考えられます。今回のインシデントでも、県のDNSサーバで管理する全サーバに影響が出ていることが考えられます。

攻撃者の観点で考えた場合も、単一のDNSサーバに対する攻撃によって多くのサービスが提供できない状態にすることができるため、効率的な攻撃であると言うことができます。

完全防御は難しい？DDoS攻撃への対策や緩和策は

DDoS攻撃の対策としては、IPアドレスの制限が一般的ですが、DDoS攻撃を完全に防ぐことは難しいようです。また、緩和策としてクラウドサービスの利用があります。

ログ調査から攻撃元のIPを特定しアクセスを拒否する事が対策の一つだが

高負荷になっているサーバのログを調査して、攻撃元のIPアドレスを特定できたら、そのIPからサーバへのアクセスを拒否します。アクセスを拒否した後にIPアドレスを変えてしつこく攻撃を続けてくる場合は、IPアドレスのレンジごと拒否することも有効です。DNSフラッド攻撃のようにDNSサーバのリソースを枯渇させる攻撃を受けている場合は、キャッシュをクリアしたりサービスを再起動したりして、リソースを解放することが必要になる場合があります。

大量の通信をさばくにはクラウド事業者のインフラに頼ることが現実的

緩和策としてクラウドサービスの利用が有効になる場合があります。クラウド事業者によっては、一般的なネットワークレイヤーに対するDDoS攻撃を追加料金なしで対応してくれる場合があります。DNSサーバの場合、クラウド事業者がSaaSとして提供するサービスを利用することでDNSフラッド攻撃を緩和できる可能性があります。基本的には量には量の対策となりますので、DNSフラッド攻撃による大量の通信をさばくためには、クラウド事業者のグローバルなインフラに頼ることが現実的です。

今回は、DNSフラッド攻撃とDDoS攻撃の対策についてお届けしました。効果的なセキュリティ対策をするためには、システムやサービスの仕組みについてもよく理解する必要がありますので、ITの幅広い分野について一緒に学んでいきましょう。

音声で聴かれるかたはこちら