無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

前回、サービス妨害攻撃で攻撃する側と攻撃される側が1対10、1対100といった状況になることをDDoS攻撃（ディードス攻撃）と呼ぶ定義をご紹介しました。引き続き、今回は、DDoS攻撃に対して具体的な事例と対策を考えていきたいと思います。

企業が受ける実被害

2000年2月7日、ドットコムバルに盛り上がるwww.yahoo.comに数時間のDDoS攻撃が加えられてサービスがダウンしました。直近の2000年1月に最高値となる500ドル弱の値をつけていた株価は、このサービス妨害で4〜5%も下落することとなりました。

DDoS攻撃の危険性は、セキュリティの専門家を中心に前年の1999年ころから指摘されてはいましたが、実際にヤフーが攻撃を受け、株価が敏感に反応したことで、広くITのリスクとして知られるようになりました。また、アマゾン、イーベイをはじめ、正式な発表がないものを含めると相当多数のサービスが同時期に同じ攻撃を受けたとされています。

この史上で初めてとされる大規模DDoS攻撃以降、DDoDS攻撃にどのように対応するべきかという議論はセキュリティの専門家だけではなく、サーバの専門家、ネットワークの専門家も含めて繰り返されてきました。
しかし、残念ながら、現在に至るまで有効な対策は確立されていません。

なぜDDoS攻撃には有効な対策が見つからないのでしょうか？それは、DDoS攻撃によって行われるアクセスが、そのひとつひとつは正常なアクセスでしかないから、という点が大きく影響しています。

多くのサービスは不特定多数のユーザーからのアクセスを受け付ける前提で構築されています。

先ほどのヤフーやアマゾンも、基本的には全世界からのウェブアクセスを受け付け、それに対してなんらかのサービスを提供することでビジネスを行っています。そのひとつひとつのアクセスを疑わなければならないとすると、サービスの提供自体が非常に困難になると言わざるを得ないでしょう。

DDoS攻撃を行う攻撃者は、それを逆手にとって、非常に大量のアクセスを、分散したIPアドレスから実施します。

有効な対策とは？

それでは、DDoS攻撃に対して、サイバーセキュリティ.com読者はまったく対策を行うことはできないのでしょうか？IPA(独立行政法人情報処理推進機構)が公開している「コンピュータ不正アクセス被害防止対策集」では、「DDoS攻撃加担への対策」が重点的に取り上げられています。

一部を引用すれば、「セキュリティの甘いコンピュータにあらかじめDoS攻撃を行なうツールを仕込んでおき、攻撃に加担させる行為が行なわれている。自分が加害者になってしまうので十分注意が必要」と問題提起がなされています。

この自分（自社）が加害者になることを防ぐこと、これが読者にとっては重要なポイントとなるのではないでしょうか？ぜひ、以下のIPAのウェブサイトを確認して適切な対応を行っていただければと思います。

コンピュータ不正アクセス被害防止対策集

http://www.ipa.go.jp/security/ciadr/cm01.html#DDoS

カジュアル化するサイバー犯罪と法整備

2014年の9月、オンラインゲームにサイバー攻撃をして運営会社の業務を妨害したとして、警視庁サイバー犯罪対策課は、電子計算機損壊等業務妨害容疑で、熊本市の市立高校１年の男子生徒（16）を書類送検しました。

報道によれば、これは国内でDDoS攻撃が立件された初めての例とされています。また、同じく報道によれば「DDoS攻撃を代行する海外サイトに有料登録。他に少なくとも２社のゲームサイトにも攻撃」をしており、「パソコンなどから攻撃の痕跡が見つかった」そうです。高校生の動機はゲームの運営会社への不満とされていますが、カジュアルに代行サイトを使用した実例としても注目されました。

これはDDoS攻撃がいかにカジュアル化しているかという事例ですが、同時に、サイバーセキュリティに対する法整備が進んできた事例でもあります。次回は、サイバーセキュリティに関する法整備について考えていきたいと思います。