ビジネス基盤であるWebサーバーを守るには

　サイバー攻撃の手法もWebサーバーを狙ったものが少なくありません。IPA（独立行政法人 情報処理推進機構）が公開している「情報セキュリティ10大脅威 2017（組織編）」を見てみると、10位までの脅威のうち7つがWebセキュリティに関連する脅威となっています。中西氏によれば、実際に攻撃を行う際には、Webサーバーを狙う攻撃手法を複合的に利用するケースも珍しくないといいます。

IPA情報セキュリティ10大脅威 2017（組織編）

　こうしたWebを狙った攻撃の中で、油断しがちなのがWebサイトの改ざんです。確かに情報漏えいに直接的につながるSQLインジェクションなどの攻撃も企業にとって大きな脅威ですが、最近ではWebサイトの改ざんが重大なインシデントに発展する事例も増えています。

　以前のWebサイト改ざんはコンテンツを書き換えるというシンプルなものでしたが、昨今では改ざんしたWebサイトに一般ユーザーがアクセスすると、マルウェアの配布サイトに誘導して感染させることが目的となっています。こうしてサイバー攻撃の入口として自社サイトが使われ、Webサイトを訪問したユーザーや取引先のパソコンにマルウェアが送り込まれるわけです。このような状況にいち早く対応できなければ、顧客や取引先の信頼を失うことにもなりかねません。

　Webサイトの改ざんは、サーバーへの不正アクセスなどによって行われます。それを防止するために有効なのが、WAF（Web Application Firewall）とマネージドセキュリティサービスの組み合わせです。Webサーバーに対する不正なリクエストをWAFで適切に遮断しつつ、不審なアクセスがあった場合にはマネージドセキュリティサービスで即座に検知して対処するといったことが可能になります。

　大量のアクセスを仕掛けてサーバーへのアクセスを不可能にする、DDoS攻撃への対策も重要です。最近ではニュースとして取り上げられる機会は減っていますが、攻撃そのものは発生し続けているようです。

Web脆弱性攻撃、DDoSとは何か？

　このDDoS攻撃を仕掛けている団体の1つとして、ハクティビスト集団である「Anonymous」が挙げられます。現時点ではイルカ・クジラ漁への抗議を目的とした「OpWhales」、「OpKillingBay」あるいは世界の銀行の腐敗に抗議する「OpIcarus」といった作戦を実施しており、多くの企業の名前が攻撃対象リストに挙げられています。

　金融機関やeコマースサイトを標的に10分程度のDDoS攻撃を仕掛け、さらにDDoS攻撃を行われたくないのであればビットコインを支払えと要求する、ランサム型の攻撃も続発しています。

　「こうした脅迫を受け取るケースに備えて、企業のBCPやコンプライアンスに沿って、適切な判断とアクションがとれるか。その上でDDoS攻撃対策として何を実施しておくのか。現状認識や対応について、ITやサイバーセキュリティ担当部門だけではなく、リスク対策室やサービスを運用している事業部門、広報部門、さらにそれぞれの部門の役員も含めて事前に検討し、コンセンサスを作っておく必要があるでしょう」（中西氏）

金銭要求（脅迫）を伴うDDoS

　このDDoS攻撃では、Webサーバーに対して大量の通信を行い、それによってWebサーバーを応答不能に陥れ、一般ユーザーのアクセスを妨害します。昨今ではWebサーバーの手前に設置して利用するDDoS緩和装置と呼ばれるセキュリティ機器も登場していますが、大規模なDDoS攻撃ではWebサーバーとインターネットをつなぐ回線自体がパンクしてしまうため、十分に機能しないことも十分に考えられます。

　本格的なDDoS攻撃を仕掛ける前に、調査目的で攻撃を行うケースもあるようです。

　「DDoS攻撃は受けたことはあるが、サービス不能状態にまでは陥らなかったという企業は意外と多いのが実態です。ただし、そのような攻撃は調査目的で行われているものですので、安心すべきではありません。攻撃者は1Gbps未満の短時間の攻撃を行い、それによってどの程度レスポンスが低下するのかを見て、どの程度の帯域幅の回線を使っているのかをチェックしているのです。DDoS対策ではこのような攻撃者の行動を頭に入れておく必要があり、契約している帯域幅以上の攻撃が行われたときにどう対処するのかを事前に検討しておくべきです」

　Webサーバー本体だけでなく、DNSを対象とした攻撃も発生しています。昨年10月にTwitterやSportify、NetflixといったWebサービスが停止する事件がありましたが、これはマネージドDNSサービスを提供しているアメリカのDyn社に対して大規模DDoS攻撃が行われたことが原因でした。このようなDNSに対するDDoS攻撃は「Water Torture（DNS水責め）」と呼ばれ、DNSサーバーの負荷を高めることで正常なリクエストに対する応答を不可能にします。

MiraiによるDNS水責め（Water Torture）攻撃のしくみ

　前述したDDoS緩和装置の利用など、DDoS攻撃対策はいくつかの方法がありますが、その1つとして積極的に検討したいのがCDN（Contents Delivery Network）の活用です。

　CDNは世界各地に配置したキャッシュサーバーにコンテンツをミラーリングし、エンドユーザーがアクセスする際はオリジナルのWebサーバーではなく、最寄りのキャッシュサーバーからコンテンツを取得します。これによりオリジナルのWebサーバーの負荷を低減しつつ、エンドユーザーに対して快適なWebアクセスを提供します。

　このCDNを用いれば、仮にDDoS攻撃を受けたとしてもオリジナルのWebサーバーにアクセスが集中することはないため、サービス不能状態に陥ることを回避できます。特に昨今では、100GbpsのトラフィックでWebサーバーを襲う大規模なDDoS攻撃も発生しており、自社のインフラだけで対応することは困難です。DDoS攻撃によりビジネスに多大な影響が生じる恐れがあるならば、CDNの活用を検討するべきでしょう。

CDN導入前後のイメージ

　アカマイ・テクノロジーズでは、このCDNに特化した大規模なネットワークを構築しており、世界中の企業に利用されています。また同社のサービスは、NTTコミュニケーションズをはじめさまざまなパートナーが提供しています。