サイバー攻撃「水責め」の恐怖、G7も襲ったDDoS攻撃を解説【前編】
2024年5月21日(火)7時0分 マイナビニュース
「水責め」という恐ろしい名前のサイバー攻撃があるのをご存知でしょうか。これは元々アメリカで「DNS Water Torture Attack」と名付けられ、それが和訳された呼び名です。水を顔に浴びせたり大量に飲ませたりする拷問を語源として命名されたというなんとも恐ろしげな攻撃です。
この攻撃の被害は非常に厄介なもので、DNS(Domain Name System:ドメイン名システム)サーバは大量のリクエストで高負荷に陥り、応答不能にされてしまいます。結果、利用者はWebサイトに到達できず、Webサイト所有者は事業に悪影響が出ます。
DNSサーバが処理しきれない数の要求を無理矢理に飲ませるという構図が水責めを彷彿とさせるために当初このような名前がつけられたと言われています。現在は攻撃手法から名付けられた「疑似ランダムサブドメイン(PRSD=Pseudo Random Subdomain)攻撃」という名称で表記されることも多くなっています。
日本と世界での被害動向
この擬似ランダムサブドメイン攻撃の手法は、2014年から確認されていますが、10年経った現在も世界中で被害が続いています。
近年の印象的な事例としては、2023年のG7広島サミット時期に複数の組織がこの攻撃を受けたことが挙げられます。鉄道会社、電力会社、複数の自治体が被害に遭ったと報道されました。
加えてイギリスに本社を置くセキュリティ企業であるCorero社が2023年に発行したレポートによると、Miraiボットネットを悪用する主要な手法の1つが、この擬似ランダムサブドメイン攻撃だとされています。Miraiは言わずと知れた悪名高いマルウェアで、ネットワークカメラや家庭用ルータなどのコネクテッドデバイスを標的として感染し、それらでボットネットを作り出します。2023年4月には、その再拡大が確認されました。
2024年に入ってからも政府や企業の被害は続いており、ひとたび攻撃でサービスが落ちれば私たちの生活にも直接影響を与える悪質な攻撃です。筆者の所属するアカマイ・テクノロジーズにも被害を受けた組織などから、セキュリティソリューションに関する相談が寄せられています。
本稿では、その攻撃対象となるDNSと攻撃手法について解説します。
水責めの標的「DNS」とは?
DNSとは、「example.com」のようなWebで使われるドメイン名を「2001:db8:3e8:2a3::b63」といったIPアドレスに変換するサービスのことです。
IPアドレスとは、マシン同士がネットワーク上にある場所を表す論理的な文字列(もしくは数値列)のこと。文字列自体には意味のある単語は含まれず、人間が記憶したり記載したりするのには向きません。一方、ドメイン名は、人間も機会も利用するサービスを特定するための識別子です。多くの場合人間が扱いやすい単語などを含みます。つまりDNSはインターネットを利用する際に人間の要求を機械の処理に翻訳するような役割を持っています。
DNSは、ユーザやマシンが接続したいすべてのドメインに対して正しいIPアドレスを迅速に返す必要があります。DNSの返答が遅ければWebサイトへの接続も遅くなり、ユーザ体験が損なわれます。ユーザ体験が損なわれると、ブランドの毀損や機会の損失にもつながります。
DNSサーバには、大別するとキャッシュDNSサーバと権威DNSサーバがあります。擬似ランダムサブドメイン攻撃には、両方とも関連します。端的に言うと、大量の不要な処理リクエストをキャッシュDNSサーバに中継させて、権威DNSサーバに届けるというものです。
なぜ被害が続くのか?
この攻撃は、ウェブサイトなどに大量のデータを送りつける「DDoS(ディードス)攻撃」の一種です。DNSサーバが高負荷のせいで応答できなくして、結果として特定のドメインを使えなくすることを目的とします。
この攻撃の厄介なところは、「表面上正当なリクエストを大量に送りつける」ところです。機械的には本物のクエリと判別出来ないため、攻撃を遮断するのはとても困難なため、根絶させられず被害が続いています。
余談ですが、水責めという名前がついたのには、表面上は正当なリクエストが送られる点も起因しているように思われます(あからさまな毒ではなく、透明で一見無害な水のようなクエリが送られるため)。
大量に送りつけられた偽のクエリの結果、キャッシュDNSサーバや権威DNSサーバはリクエストで過負荷になり、返答が遅くなるか最悪の場合クラッシュします。結果、ユーザからの正当なトラフィックに応答できなくなり、ドメインが利用できなくなるのです。
後編では、水責め攻撃を防ぐことのできる対策について解説します。
金子春信 かねこ はるのぶ シニアリード プロダクトマーケティングマネージャー 現在、アカマイにおけるアジア太平洋地域のセキュリティ製品マーケティングを担当。18年以上にわたりIT業界で、ネットワークエンジニア、新規事業開発、プロダクトマーケティングなどの業務に従事。大手SIerで金融、製造を中心とする大規模企業顧客のネットワークやセキュリティの設計構築プロジェクトを多く提供。2012年から2015年は、米国シリコンバレーのNet One Systems USAで、ビジネスデベロップメントマネージャーとして、セキュリティやクラウド関連のスタートアップと新規ビジネス開発を担当。 2018年より現職。CCIEとCISSPを保有。 この著者の記事一覧はこちら
この攻撃の被害は非常に厄介なもので、DNS(Domain Name System:ドメイン名システム)サーバは大量のリクエストで高負荷に陥り、応答不能にされてしまいます。結果、利用者はWebサイトに到達できず、Webサイト所有者は事業に悪影響が出ます。
DNSサーバが処理しきれない数の要求を無理矢理に飲ませるという構図が水責めを彷彿とさせるために当初このような名前がつけられたと言われています。現在は攻撃手法から名付けられた「疑似ランダムサブドメイン(PRSD=Pseudo Random Subdomain)攻撃」という名称で表記されることも多くなっています。
日本と世界での被害動向
この擬似ランダムサブドメイン攻撃の手法は、2014年から確認されていますが、10年経った現在も世界中で被害が続いています。
近年の印象的な事例としては、2023年のG7広島サミット時期に複数の組織がこの攻撃を受けたことが挙げられます。鉄道会社、電力会社、複数の自治体が被害に遭ったと報道されました。
加えてイギリスに本社を置くセキュリティ企業であるCorero社が2023年に発行したレポートによると、Miraiボットネットを悪用する主要な手法の1つが、この擬似ランダムサブドメイン攻撃だとされています。Miraiは言わずと知れた悪名高いマルウェアで、ネットワークカメラや家庭用ルータなどのコネクテッドデバイスを標的として感染し、それらでボットネットを作り出します。2023年4月には、その再拡大が確認されました。
2024年に入ってからも政府や企業の被害は続いており、ひとたび攻撃でサービスが落ちれば私たちの生活にも直接影響を与える悪質な攻撃です。筆者の所属するアカマイ・テクノロジーズにも被害を受けた組織などから、セキュリティソリューションに関する相談が寄せられています。
本稿では、その攻撃対象となるDNSと攻撃手法について解説します。
水責めの標的「DNS」とは?
DNSとは、「example.com」のようなWebで使われるドメイン名を「2001:db8:3e8:2a3::b63」といったIPアドレスに変換するサービスのことです。
IPアドレスとは、マシン同士がネットワーク上にある場所を表す論理的な文字列(もしくは数値列)のこと。文字列自体には意味のある単語は含まれず、人間が記憶したり記載したりするのには向きません。一方、ドメイン名は、人間も機会も利用するサービスを特定するための識別子です。多くの場合人間が扱いやすい単語などを含みます。つまりDNSはインターネットを利用する際に人間の要求を機械の処理に翻訳するような役割を持っています。
DNSは、ユーザやマシンが接続したいすべてのドメインに対して正しいIPアドレスを迅速に返す必要があります。DNSの返答が遅ければWebサイトへの接続も遅くなり、ユーザ体験が損なわれます。ユーザ体験が損なわれると、ブランドの毀損や機会の損失にもつながります。
DNSサーバには、大別するとキャッシュDNSサーバと権威DNSサーバがあります。擬似ランダムサブドメイン攻撃には、両方とも関連します。端的に言うと、大量の不要な処理リクエストをキャッシュDNSサーバに中継させて、権威DNSサーバに届けるというものです。
なぜ被害が続くのか?
この攻撃は、ウェブサイトなどに大量のデータを送りつける「DDoS(ディードス)攻撃」の一種です。DNSサーバが高負荷のせいで応答できなくして、結果として特定のドメインを使えなくすることを目的とします。
この攻撃の厄介なところは、「表面上正当なリクエストを大量に送りつける」ところです。機械的には本物のクエリと判別出来ないため、攻撃を遮断するのはとても困難なため、根絶させられず被害が続いています。
余談ですが、水責めという名前がついたのには、表面上は正当なリクエストが送られる点も起因しているように思われます(あからさまな毒ではなく、透明で一見無害な水のようなクエリが送られるため)。
大量に送りつけられた偽のクエリの結果、キャッシュDNSサーバや権威DNSサーバはリクエストで過負荷になり、返答が遅くなるか最悪の場合クラッシュします。結果、ユーザからの正当なトラフィックに応答できなくなり、ドメインが利用できなくなるのです。
後編では、水責め攻撃を防ぐことのできる対策について解説します。
金子春信 かねこ はるのぶ シニアリード プロダクトマーケティングマネージャー 現在、アカマイにおけるアジア太平洋地域のセキュリティ製品マーケティングを担当。18年以上にわたりIT業界で、ネットワークエンジニア、新規事業開発、プロダクトマーケティングなどの業務に従事。大手SIerで金融、製造を中心とする大規模企業顧客のネットワークやセキュリティの設計構築プロジェクトを多く提供。2012年から2015年は、米国シリコンバレーのNet One Systems USAで、ビジネスデベロップメントマネージャーとして、セキュリティやクラウド関連のスタートアップと新規ビジネス開発を担当。 2018年より現職。CCIEとCISSPを保有。 この著者の記事一覧はこちら
関連記事(外部サイト)
