アプリ層へのDDoS攻撃の増加に備える
3つの柱となる戦術でアプリのレジリエンスを高める
分散型サービス拒否(DDoS)攻撃は、アプリケーション層に対する最も一般的な脅威の1つとなっており、その脅威はますます拡大しています。攻撃者は大量のリクエストでサーバーやネットワークリソースに負荷をかけ、ソフトウェアの速度低下や完全なクラッシュを引き起こし、重要な業務を停止させます。今ではDDoS攻撃はWebアプリケーションのトラフィック上で�見られる攻撃の大部分を占めるようになっており、実際、2024年にCloudflareがブロックした悪意あるアプリ層トラフィックのうち37%がDDoS攻撃によるものでした。
残念ながら、アプリ層に対するDDoS攻撃はますます容易に実行できるようになっています。攻撃者は新しいツールを次々と利用し、より効率的に攻撃できるよう戦術を進化させています。たとえば、DDoS攻撃代行サービスの「ブースター」やAIを活用した攻撃スクリプトにより、攻撃者はより簡単に攻撃を実行できるようになり、サイバー犯罪者は、これまでになく短時間かつ低コストで攻撃を開始できるようになりました。その結果、これまでにない規模と巧妙さを持つ攻撃が、四半期ごとに記録更新されています。
同時に、サイバー犯罪者は、標的の特定と防御をすり抜けるための技術も進化させています。例えば、脆弱なAPIを検出する偵察戦術や、実際のユーザーの行動を模倣したボットネットなどを使用して、セキュリティツールを回避しています。
多くのCIOは、アプリケーション層DDoS攻撃に対する防御強化を最優先事項に掲げています。このような攻撃を阻止するため、セキュリティチームはまず、攻撃の仕組み、検出が困難な理由、組織に与える影響を理解する必要があります。これらを把握したうえで、攻撃を阻止し、レジリエンスを向上させるために不可欠な機能を備えた戦略的フレームワークを構築する必要があります。
進化するアプリ層の脅威を理解する
アプリケーション層(レイヤー7)のDDoS攻撃は、一般的なネットワーク層に対するDDoS攻撃(レイヤー3または4)よりも焦点を絞ったアプローチを取ります。ネットワーク攻撃が全体の通信を妨害して広範囲に影響を与えるのに対し、アプリ層のDDoS攻撃は重要な業務やサービス機能を妨害しようとします。これらはログインページ、API、または決済ゲートウェイを標的とし、必ずしもネットワークインフラストラクチャ全体に影響を与えるのではなく、特定の機能を停止させることに重点を置いています。
アプリ層攻撃は、ネットワーク攻撃のように大量のトラフィックを発生させるわけではありません。代わりに、アプリケーションの通信規則に従う「正常なリクエスト」に見せかけて攻撃します。ログイン試行や検索クエリのような、正規の操作を装いながら、特定のソフトウェア機能を過負荷状態にします。攻撃の際には、検出を回避するために、長期間にわたって少量の悪意のあるトラフィックを送信します。ローアンドスロー攻撃は、CPU、メモリ、データベース接続などのリソースを消費させ、アプリケーションに関連するサーバーやデータベースを過負荷状態にすることを目的としています。
この低ボリューム型の攻撃は、アプリケーション層攻撃の検出を非常に困難にする要因の一つで、トラフィック量のしきい値を超えたものを検出する従来型のネットワーク防御を回避します。そのため、効果的な軽減策には、トラフィック量で判断するだけでなく、トラフィックの質、コンテキスト、意図を分析する適応的な戦略が必要です。
一般的な攻撃ベクトルとテクニックを特定する
サイバー犯罪者は、いくつかの手法を用いてアプリ層を攻撃します。さまざまな要素や脆弱性を標的とするものもあれば、さまざまな手口でサーバーに過負荷をかけるものもあります。代表的な6つの手法を以下に紹介します:
HTTP / HTTPSフラッド:大量のHTTPリクエスト(GETやPOST)をWebサーバーに送りつけることでWebサーバーのリソースを消費させ、正当なユーザーがアクセスできない状態を引き起こします�。
DNSクエリフラッド:攻撃者はDNSサービスにクエリを大量に送りつけ、連鎖的にシステム全体に障害を起こし、該当のDNSを使用するすべてのソフトウェアやサービスを利用不能にします。
ローアンドスロー攻撃:SlowlorisやR.U.D.Y.のような攻撃は、帯域幅の使用量を最小限に抑えながら、低速で不完全な接続を確立および維持し、検出を回避しつつサーバーリソースを枯渇させます。
API特化型攻撃:APIファースト構成の普及に伴い、サイバー犯罪者が特定のAPIエンドポイントを標的にしてサービス全体をオフラインにすることが増えています。
アプリケーションの脆弱性悪用:攻撃は、SQLインジェクションやcross-site scripting(XSS)などの脆弱性を悪用し、データを盗んだり、システムを侵害します。
新たな手口:攻撃者は、数年前にHTTP/2 Rapid Reset攻撃で使用された手口のように、新しい手口を絶えず開発しています。現在では、人間を装うためにマウスの動きをランダム化したり、セッションCookieクッキーを維持したり、リクエストヘッダーを改ざんしたり、サイト上の複数のページを移動するボットネットを使用するなどして検出を回避しています。
これらの手法の中には、DDoSとより一般的なアプリケーション層攻撃との境界線を曖昧にするものがあり、サービス拒否だけでなく、データ流出にも利用されます。これらの脅威に対抗するため、組織はDDoS対策とアプリケーション全体のセキュリティ対策を一体化する必要があります。
アプリケーション層攻撃を阻止するための戦略を構築する
アプリケーション層DDoS攻撃への対策は、従来のボリュームベースのDDoS防御を凌駕する、高度かつ多角的なアプローチが不可欠です。高度な検出、防止、軽減と、適応型セキュリティアーキテクチャを組み合わせたものである必要があります。
高度な検出
攻撃者が用いる模倣を見破ることができる最新の検出戦略が必要です。ユーザーとエンティティの行動分析(UEBA)ソリューションは、アプリケーション上のトラフィックを継続的に監視することで、「通常」の動作を学習してその判断基準を確立します。これに行動分析と機械学習機能を適用して、攻撃を示す可能性のある不審な動作を見極めます。さらに、CPU使用率やメモリ消費量などのアプリケーションパフォーマンス指標をリアルタイム監視することで、攻撃の早期兆候を捉えることもできます。
これらに加え、大規模なクラウドベースのグローバルネットワークから得られるリアルタイムの脅威インテリジェンスを活用することで、これらの機能を強化できるとともに、Webアプリケーションファイアウォール(WAF)を使用して、悪意のあるIPアドレスやボットネットを事前に特定し、ブロックすることもできます。
予防と緩和
検出に加えて、ソフトウェアのレジリエンスを強化するために、さまざまな防止および軽減策を講じる必要があります。例えば、インテリジェントなレート制限を設定することで過剰なリクエストによってリソースが枯渇するのを防いだり、WAFを使用して悪意のあるトラフィックを切り分けて遮断したり、APIセキュリティゲートウェイで悪意のあるAPI呼び出しをフィルタリングします。ゼロトラストモデルを適用することで攻撃対象領域を縮小し、ユーザーの資格情報が侵害された場合でも、アプリケーションへのアクセスを制御します。
攻撃を軽減するための防御策として、世界中にアプリケーションコンテンツを分散配置して攻撃トラフィックを吸収して軽減するコンテンツ配信ネットワーク(CDN)、複数のサーバーに負荷を分散して1台への集中を回避する負荷分散、トラフィック量に応じて自動的にリソースを拡張して攻撃時でも十分な処理能力を確保するオートスケーリング機能を実装することができます。
適応型セキュリティアーキテクチャ
攻撃者は絶えず新たな手法を開発し、防御を掻い潜るのに役立つ新ツールを採用し続けています。そのため、進��化する脅威に合わせて自律的に学習、攻撃、対応できる、適応型セキュリティアーキテクチャが必要です。
DDoSへの耐性を強化するための中核となるのが脅威インテリジェンスであり、防御を事後対応から予測対応へと変えることができます。脅威インテリジェンスサービスは、世界中の攻撃パターンを分析しすることで攻撃ベクトル(新しい増幅技術やハクティビストキャンペーンなど)を予測し、防御を強化することを支援します。このインテリジェンスは、悪意のあるIPをリアルタイムでリスト化して即時遮断する機能や、適切なレート制限ポリシーを設定したり、DDoS攻撃と標的型データ窃盗を切り分けることが可能で、これによりサービスの可用性とコアデータ整合性の両方を保護する、焦点を絞った効果的な対応が可能になりします。
さらに、AIと機械学習(ML)はこの適応型構造の中心的役割を担います。AI/MLベースのツールは、膨大な量のネットワークデータを分析し、従来のシステムでは見逃す可能性のある、微妙な攻撃パターンや異常を特定することができます。また、新たな攻撃が発生するたびに学習し、新しいポリシーやルールを適用することで、数秒で脅威を軽減します。
セキュリティチームも、迅速に行動できる運用プロセスを実装する必要があります。インシデント対応計画を策定し、現実的なDDoSシミュレーションを実施することで、脆弱性を特定し緩和策の有効性を検証することができます。これらの計画とシミュレーションは、攻撃者が新たな手口を取り入れる都度、およびアプリケーションの脆弱性が判明する都度、進化させる必要があります。
アプリケーション層DDoS攻撃の阻止方法
Cloudflareのコネクティビティクラウドは、アプリケーション層を標的とするDDoS攻撃を含むあらゆるDDoS攻撃から防御するための包括的なクラウドネイティブサービスを提供します。例えば、DDoS攻撃対策には、Cloudflareの449 TbpsTbpsのネットワーク容量を活用することで、最大級のDDoS攻撃でさえ、アプリのパフォーマンスを低下させることなく軽減します。また、機械学習(ML)を活用したUEBA機能が異常な振る舞いをすばやく検知して潜在的な脅威を特定し、WAFサービスがリアルタイムの攻撃を阻止します。これらの機能はすべて単一の統合プラットフォーム上で動作するため、複雑さを増すことなく、アプリケーション層への攻撃を阻止し、レジリエンスを高めることができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝え�するシリーズの一環です。
このトピックを深く掘りさげてみましょう。
アプリケーション層やネットワークを標的としたDDoS攻撃から組織を保護する方法について、詳しくは、電子書籍「DDoS攻撃を軽減するための5つの重要検討事項」をご覧ください。
著者
Gregory Van den Top – @gregoryvdtop
CloudflareフィールドCEO
記事の要点
この記事では、以下のことがわかるようになります。
最新のアプリケーション層DDoS攻撃の手法と手口
アプリ層攻撃の検出が難しい理由
DDoS攻撃に対抗するための3本柱戦略の構築方法