大量のアクセスを仕掛けてサーバーへのアクセスを不可能にする、DDoS攻撃への対策も重要です。最近ではニュースとして取り上げられる機会は減っていますが、攻撃そのものは発生し続けているようです。

Web脆弱性攻撃、DDoSとは何か？

　このDDoS攻撃を仕掛けている団体の1つとして、ハクティビスト集団である「Anonymous」が挙げられます。現時点ではイルカ・クジラ漁への抗議を目的とした「OpWhales」、「OpKillingBay」あるいは世界の銀行の腐敗に抗議する「OpIcarus」といった作戦を実施しており、多くの企業の名前が攻撃対象リストに挙げられています。

　金融機関やeコマースサイトを標的に10分程度のDDoS攻撃を仕掛け、さらにDDoS攻撃を行われたくないのであればビットコインを支払えと要求する、ランサム型の攻撃も続発しています。

　「こうした脅迫を受け取るケースに備えて、企業のBCPやコンプライアンスに沿って、適切な判断とアクションがとれるか。その上でDDoS攻撃対策として何を実施しておくのか。現状認識や対応について、ITやサイバーセキュリティ担当部門だけではなく、リスク対策室やサービスを運用している事業部門、広報部門、さらにそれぞれの部門の役員も含めて事前に検討し、コンセンサスを作っておく必要があるでしょう」（中西氏）

金銭要求（脅迫）を伴うDDoS

　このDDoS攻撃では、Webサーバーに対して大量の通信を行い、それによってWebサーバーを応答不能に陥れ、一般ユーザーのアクセスを妨害します。昨今ではWebサーバーの手前に設置して利用するDDoS緩和装置と呼ばれるセキュリティ機器も登場していますが、大規模なDDoS攻撃ではWebサーバーとインターネットをつなぐ回線自体がパンクしてしまうため、十分に機能しないことも十分に考えられます。

　本格的なDDoS攻撃を仕掛ける前に、調査目的で攻撃を行うケースもあるようです。

　「DDoS攻撃は受けたことはあるが、サービス不能状態にまでは陥らなかったという企業は意外と多いのが実態です。ただし、そのような攻撃は調査目的で行われているものですので、安心すべきではありません。攻撃者は1Gbps未満の短時間の攻撃を行い、それによってどの程度レスポンスが低下するのかを見て、どの程度の帯域幅の回線を使っているのかをチェックしているのです。DDoS対策ではこのような攻撃者の行動を頭に入れておく必要があり、契約している帯域幅以上の攻撃が行われたときにどう対処するのかを事前に検討しておくべきです」

　Webサーバー本体だけでなく、DNSを対象とした攻撃も発生しています。昨年10月にTwitterやSportify、NetflixといったWebサービスが停止する事件がありましたが、これはマネージドDNSサービスを提供しているアメリカのDyn社に対して大規模DDoS攻撃が行われたことが原因でした。このようなDNSに対するDDoS攻撃は「Water Torture（DNS水責め）」と呼ばれ、DNSサーバーの負荷を高めることで正常なリクエストに対する応答を不可能にします。

MiraiによるDNS水責め（Water Torture）攻撃のしくみ