 |
 |
記事検索 |
イベントレポート |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
ACCSのWebを停止に追い込んだ700Mbpsを超えるDDoS攻撃の実態 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
ACCSのWebサイトは現在、複数の拠点から大量のアクセスを殺到させることでWebサーバーを実質的に利用不能の状態にする「DDoS攻撃」を定期的に受けている。この攻撃に対してACCSでは、大手プロバイダーや通信機器メーカーなどからなる「インシデント情報共有・分析センター(Telecom-ISAC Japan)」と協力して攻撃の実態調査を行なっており、カンファレンスでは調査の一部が公表された。 ● ACCSのWebサーバーを公開停止に追い込んだ「Antinny」のDDoS攻撃 ACCSの戦略法務室マネージャーを務める葛山博志氏は、ACCSのWebサイトに対するDDoS攻撃の状況を説明。最初にDDoS攻撃が確認されたのは2004年3月1日で、Webサーバーへのアクセスが急増しサーバーを停止せざるをえない状況に陥ったという。この時点では、Webサーバーは1秒間に約5,000回の命令を受信していたという。その後、3月中旬にはこの攻撃がファイル共有ソフト「Winny」を介して感染を広げるウイルス「Antinny」によるものと判明。Antinnyによる攻撃は、毎月1日と第1月曜日、月と日の数字が一致する日(3月3日や4月4日など)を中心に発生することが確認されている。 攻撃は毎月繰り返されるため、ACCSでは月の初めから月日の一致する日までの間、Webサーバーが稼動できない状態となってしまい、11月までに約70日程度Webサーバーを停止させるという被害を受けている。この間のアクセスログを確認したところ、1秒間に50回以上のアクセスを行なっているIPアドレスが140件、1秒間に10回以上のアクセスでは約640件となり、多くのPCがAntinnyに感染しているものと推測されるという。 そこでACCSでは、その日付の前に攻撃対象となっている「www.accsjp.or.jp」をDNSから削除するとともに、レンタルしているサーバーを共有回線から専用回線に変更し、他のサーバーに影響が出ないように対処したという。この対処により、とりあえずは攻撃を避けることができたかに思えたが、また別の問題を引き起こすこととなってしまった。それは、プロバイダー各社でネットワークに異常が観測されたことから判明した。 ● 殺到するACCSへのアクセスがプロバイダーのDNSに負荷をかける Telecom-ISAC JapanのメンバーであるIIJの斎藤衛氏は、この攻撃によってプロバイダー側で起こった問題を説明。ACCSがDNSから「www.accsjp.or.jp」を削除したことで、Antinnyに感染したPCがこのサーバーのIPアドレスをDNSに問い合わせるとエラーとなるようになった。しかし、攻撃は高速に繰り返されるため、プロバイダーのDNSへのリクエストが殺到し、今度はプロバイダーのDNSに負荷がかかる結果となってしまったというのだ。プロバイダーによっては通常の6倍のDNSへの問い合わせを観測したということで、設備の増強などを行なう一方で、4月にはTelecom-ISAC JapanからACCSにコンタクトを取り対策を協議。DNSから情報を削除する方法を取りやめ、ACCSへの攻撃パケットを廃棄するための「Blackholeアドレス」を複数のプロバイダーで用意し、ACCSのDNS情報をこのBlackholeアドレスに書き換えるという対処を行なうことにした。 これにより、6月からはプロバイダーのDNSやネットワークにもほとんど負荷はかからなくなり、対策としては成功した。しかし、依然として攻撃期間中にはACCSのWebサーバーにアクセスできない状況が続いており、ACCSからの依頼に基づいて攻撃の実態調査を行なうことにしたという。 ● 攻撃によるアクセスは700Mbpsを超えるトラフィックを観測 攻撃の実態調査は、まず8月にACCSのWebサーバーが置かれている既存の環境に観測システムを設置し、直接観測が試みられた。しかし、この際には観測システムの限界を超えるトラフィックが殺到したことから、観測データが数回に渡って欠落してしまったという。トラフィックが急増する直前にどのような前兆が見られるかということは分析できたものの、Telecom-ISAC Japanではさらに大規模な環境を用意し、9月に再度観測を行なった。9月の観測では、ギガビット回線によるバックボーンと複数のWebサーバーによる分散システムを構築し、攻撃が発生する期間にACCSのWebサーバーをこの環境に移して、サーバーへのアクセス状況を監視した。観測の結果、第1月曜日に発症するAntinnyによるものと思われる攻撃が最大で700Mbpsを超えるトラフィックが確認されたという。また、月と日が一致する日付に発症するAntinnyによるものと思われる攻撃では、個人情報をACCSのWebサーバーに送信しようとするため、通常のDDoSとは逆にWebサーバーへのデータの送信が急増する現象が確認できたとしている。 この環境においては、ACCSのWebサーバーからの配信も維持でき、攻撃にも耐えられることが確認できたという。ただし、実際にこの規模のシステムを利用するとなると、利用料が月額で数千万円にもなってしまうことから、現実的な費用として負担できるものではなく、またプロバイダー側にとっても脅威であることを認識させられる結果となった。 ● 今後は攻撃PCのユーザーに直接対応を行なっていきたい ACCSの葛山氏は、「ACCSへの攻撃は他のWebサイトに対しても起こりうる問題であり、単にACCSだけの問題ではない」として、対応策も困難である現状を説明。ACCSのドメイン名を変更するといった対策も検討したものの、ウイルスがこれに対応してしまえばすぐに意味が無くなることや、このような攻撃に耐えうるだけの環境を整えるのは費用面からも事実上不可能であることから、今後の対応ではプロバイダーとの協力が重要であるとした。Telecom-ISAC JapanのメンバーであるNTTコミュニケーションズの小山覚氏は、攻撃の内容分析に基づく技術的な対策については現在検討中ではあるが、技術的にも資金的にも常識の範囲内での対応は難しいと想定されるため、併行して技術に頼らない対策も必要だとした。 具体的な対策としては、PCのセキュリティ対策をユーザーに推奨するとともに、攻撃を行なっているPCの所有者に対してプロバイダーから対応を勧告し、応じないユーザーに対しては解約するといった措置が取れるかどうかを検討していきたいとした。これについては、迷惑メールの送信者に対してプロバイダー側から解約できるように約款を見直したように、制度の変更が必要になることも考えられるという。 小山氏は、膨大な数の感染PCへの対応は人海戦術では厳しく、永遠に継続する取り組みになる可能性もあるとして、システマティックな対応も必要ではないかとした。また、通常の帯域でWebビジネスができる環境を維持することは、プロバイダーやインターネット関係者にとっても重要であり、そのためには技術面だけでなく、法制度面からの対応や地道な啓発活動などが必要ではないかと呼びかけて、カンファレンスを締めくくった。 関連情報 ■URL Internet Week 2004 http://internetweek.jp/ コンピュータソフトウェア著作権協会(ACCS) http://www.accsjp.or.jp/ インシデント情報共有・分析センター(Telecom-ISAC Japan) https://www.telecom-isac.jp/ 日本インターネットプロバイダー協会(JAIPA) http://www.jaipa.or.jp/ ■関連記事 ・ Antinny感染マシンからの大量アクセスでACCSのWebサイトが閉鎖中(2004/05/07) ・ Winnyユーザーの個人情報をACCSに送信するウイルスが出現(2004/04/01) ・ ACCSにDoS攻撃? Webサイトが3月1日から3日まで閉鎖(2004/03/04)
( 三柳英樹 )
- ページの先頭へ-
|
