ここから本文です

「クラウドベースのDDoS攻撃対策」徹底解説

@IT 8月18日(木)15時13分配信

 DDoS攻撃の技術的な背景などを振り返りながら、有効なDDoS攻撃対策について考える本連載。第1回、第2回、第3回では、DDoS攻撃の素性や、インターネットの構造上対策が困難であること、単一企業での対策方法が極めて限られていることなどについて説明した。

【その他の画像】Webシステムに同居しているメールサーバが狙われるケース

 第5回となる今回は、前回解説したCDN(コンテンツデリバリーネットワーク)を用いたDDoS攻撃対策に続いて、もう1つのクラウドベースのDDoS攻撃対策である「スクラビングセンター(浄化センター)型」の仕組みを紹介する。

●CDN型のDDoS攻撃対策だけでは不十分?

 前回解説したCDN側のDDoS攻撃対策は、Webサイトそのものを高精度で防御できるという点では優れたサービスである。前回紹介した事例の通り、攻撃者によるWebサイトへの正面攻撃はCDNで吸収されるため、いずれ“攻撃者が諦める”という経過をたどるケースが多い。このシナリオ通りであれば、CDN型DDoS攻撃対策サービスを導入すれば、企業などのWebサイトをDDoS攻撃から完全に保護できる。事実、CDN型の対策で守られているWebサイトも数多い。ところが、一部のWebサイトでは、さらなる対策が必要となっているのが実情である。

 というのも、近年の攻撃者は、CDNを正面から倒す試みに加えて、別の切り口から攻撃を試みるようになったからだ。すなわち、CDNを迂回してWebサイトの構成要素に攻撃を仕掛けるのである。具体的に見てみよう。

 Webサイトを運営しているデータセンター内に、その企業のメールサーバが設置されているケースがあるとする。このとき、第三者がメールサーバのIPアドレスを見つけ出すことは容易である。このIPアドレスに向けてそれなりに大きな規模のDDoS攻撃が行われた場合、データセンター入口の回線があふれ、結果としてWebサイト運営も停止してしまうのである。

 また、この例の他にも、何らかの形でデータセンターのリソースのIPアドレスを知られてしまうと、そこを直接攻撃することが可能になってしまう。データセンターで使用しているIPアドレス帯を攻撃者の目から隠すことが望ましいが、インターネットにつながっている機器類のIPアドレスを完全に隠すことは極めて難しい。

 このようなときに、スクラビングセンター型DDoS攻撃対策が効果を発揮する。

●スクラビングセンター型DDoS攻撃対策とは

 スクラビングセンターはその名の通り、引き込んだ電文(パケット)を“浄化(scrubbing)”するための機構である。つまり、攻撃パケットと正規パケットをより分け、正規のパケットのみを通過させることを目的としている。

 言葉の上ではCDN上の配信サーバに導入されたDDoS攻撃対策機能とよく似ているが、HTTPパケットのみを扱うCDNと異なり、IPネットワーク上を流れるありとあらゆるプロトコルに対応可能である点が異なる。つまり、対処できる攻撃対象や種別が幅広くなっているのである。

 DDoS攻撃のトラフィックを顧客データセンターに代わって受け止めることから、必然的にスクラビングセンターの規模は巨大になる。例えば、世界7拠点に分散設置した合計3Tbps以上の容量を持つスクラビングセンターも存在している。

●スクラビングセンター型DDoS攻撃対策の実際

 以下では、スクラビングセンター型DDoS攻撃対策がどのように機能するか、DDoS攻撃対策の3要素に従って見てみよう。なお、第2回および前回議論したDDoS攻撃対策の3要素をスクラビングセンターに当てはめる場合、「Webサイト」よりも「データセンター」とした方がより的確な表現となるため、以下ではデータセンターという言い方をする。

・混雑し始めたデータセンターを特定する

 モニタリング装置を顧客データセンターに設置することで、混雑し始めたデータセンターを特定する。このとき、通常時のトラフィックパターンを把握しておき、異常発生をモニタリング装置で検出、アラートを発生させ、対処できるように手順を決めておく。

・そのデータセンターに向けた通信要求を、発信元近くで認識する

 攻撃対象となったデータセンターに向かうパケットを、スクラビングセンターに向かうよう仕向けるために、ルーティング情報を各ISPで更新してもらう。具体的には、攻撃対象のデータセンターのIPアドレス帯について、BGP広告(ISP間で交換するルーティング情報の更新依頼)を行う。これを受け取った各ISPはルーティング情報を更新し、攻撃パケットをスクラビングセンターに仕向ける(図2参照)。

 なお、世界複数拠点でスクラビングセンターを運営しているケースでは、BGP広告をIP Anycastで行うことにより、攻撃パケットをなるべくその発生点近くのスクラビングセンターに誘導する。

・攻撃パケットと正規パケットを区分し、攻撃パケットのみを遮断する

 スクラビングセンターでの攻撃パケット判定機構では、さまざまなプロトコルを悪用する攻撃に対応するために、多種多様な技術を導入し、重層的な判定機構を構築している。

 図3はその一例である。ここでは、アカマイテクノロジーズが運営するスクラビングセンターの構造を示す。スクラビングセンターに引き込んだトラフィックのうち、特に攻撃対象に向けられたパケットを分析、遮断機構に回し、それ以外のものは何もせずに最小遅延時間で顧客データセンターに転送する。攻撃対象向けのパケットは、UDP、TCP SYN、HTTP Floodなど各種の攻撃を専門に取り扱う機構で分析され、適切な対処方法が決定される。また、未知の攻撃に対しても、技術者による解析が行われ、対処方法が判断される。これについては後述しよう。

●SOC(セキュリティ・オペレーション・センター)の必要性

 スクラビングセンターでは、さまざまなプロトコルを悪用する攻撃に加え、しばしば未知の攻撃にも対処しなければならない。その際には、エキスパートによる即時の解析が必要である。また、攻撃かどうか疑わしいものについては安易に遮断するのではなく、遮断に伴うリスクの評価と是非について顧客の理解を得る必要がある。そのためには、データの蓄積や分析、レポーティングが重要となる。これらの作業には、専門のスキルを身につけた技術者を必要とする。

 また、いつ発生するか分からない攻撃に安定的に即応するためには、技術者集団を体制化する必要がある。アカマイテクノロジーズの場合、ハードウェアのスクラビングセンターを運営するための組織として、SOC(セキュリティ・オペレーション・センター)を組織し、24時間体制で顧客データセンターの監視、スクラビングセンターの制御、攻撃発生時の対応を行っている。

●正規パケットをデータセンターに“戻す”には

 スクラビングセンターで正規パケットと判定されたものは、対象のデータセンターに戻さなければならない。そのためには、ネットワーク上に特別なルートを構築する必要がある。前述の通り、対象データセンターのIPアドレス帯に関するルーティング情報は、スクラビングセンターに向かうようBGP広告を行ってしまっているため、通常のIPルーティングではパケットを届けることができない。そのため、スクラビングセンターと対象データセンター間で特別なネットワークを構成する必要がある。これについては、比較的小規模な用途の場合はGRE(Generic Routing Encapsulation)トンネルを設定する。大規模なデータセンター向けには、専用回線を設けている例もある。

●「常時接続」か「攻撃時切り替え」か

 スクラビングセンター型のサービスでは、データセンターを「常時攻撃から保護するか」「攻撃発生時のみ保護するか」という選択も可能である。常時保護の場合は、あらかじめBGP広告を行っておき、平時からデータセンター向けトラフィックを全てスクラビングセンターに回す構成をとる。そのメリットは、攻撃発生を即座に検知し、対処が可能な点にある。ただし、トラフィックを常にスクラビングセンターに回すことになることから、正規のアクセスユーザーの所在地や、データセンターの設置場所によっては、通信遅延の影響を考慮しなければならない。

 一方、攻撃発生時のみ保護するケースでは、平時はデータセンターで直接パケットを受け取り、攻撃を検知したときにのみ、BGP広告を行い攻撃をスクラビングセンターに引き込む。こちらのケースでは平時には遅延を気にする必要はないが、いざ攻撃を受けたときに、各ISPがBGP広告内容に従って攻撃パケットをスクラビングセンターに送り始めるまでに、若干のタイムラグを要する。

●実際にアカマイが経験した攻撃事例

 2014年の夏、アカマイテクノロジーズはアジア地区で最大級のDDoS攻撃に対処した。このケースでは、あるゲームサイトが攻撃目標であったと思われるが、直接攻撃を受けたのはWebサイト周辺のネットワークだった。

 具体的には、該当のサブネット全体にわたりUDPフラッド、TCP SYNフラッドが仕掛けられたもので、ピーク時の最大ボリュームは321Gbpsにも及んだ。そのうち3分の2に当たる攻撃(グラフ中の緑色)は、事前に把握していた典型的な攻撃元IPからのものであったため、比較的簡単に遮断することができた。

 残りの3分の1(グラフ中の青色)はTCP SYNであり、試みにSYN-ACKを返送したところ、シーケンスが進まないことから、偽装されたIPアドレスが利用されている、つまり正規ユーザーによるアクセスではないことが判明した。これらのいずれの攻撃もスクラビングセンター上で遮断することで、正規ユーザーのアクセスを保護することができた。

●CDN型防御との組み合わせ

 前回説明したCDN型のDDoS攻撃対策は、Webサイトへの正面攻撃に対しては強固な防御を実現する。そして今回解説したスクラビングセンター型DDoS攻撃対策は、CDNをバイパスする側面攻撃に対して効果がある。つまり、この2つを組み合わせることで、さまざまなタイプのDDoS攻撃に対応できる強固な防御システムを構成することができる。事実、過去さまざまな攻撃にさらされてきた中央省庁や大手金融機関などでは、このような組み合わせ構成をとっている組織がある。

●DDoS攻撃対策サービスでは、組織力が差別化要因となる

 以上、本稿ではスクラビングセンター型DDoS攻撃対策の基本的な仕組みを解説した。近年では、各種セキュリティ機器のベンダーなども、この分野に参入し、独自のスクラビングセンターの運用を始めている。企業によって実装方法に多少の差異はあるものの、技術的な観点で大きな違いはない。そのため、「多岐にわたる攻撃手法に対して安定的な対処が可能か」「熟練した技術者が組織化されているか」といった点が差別化の要因となってくるだろう。

 さて、次回はいよいよ本連載の最終回である。DDoS攻撃と防御に関する基本的な事項については今回までで大方言及できたため、最終回となる次回は、第1回の原稿を執筆してから今日までに起きた出来事や、「IoT」「FinTech」といった先端分野に関連する取り組みを紹介し、この“クロニクル“の締めくくりとしたい。

●著者プロフィル 新村信:アカマイ・テクノロジーズ合同会社 最高技術責任者。早稲田大学理工学部電子通信学科を卒業し、日本電信電話公社(現NTT)に入社。電話交換機ソフトウェア、ネットワークオペレーションシステムの開発を担当。ワシントン大学経営大学院留学を経て、SI基盤の研究、開発に従事。マクロメディア(現アドビシステムズ)にてRIA普及を推進。2009年にアカマイ・テクノロジーズ入社。2012年より現職。

最終更新:8月18日(木)15時13分

@IT