サービス拒否(DoS)イベントとは、ハッカーやサイバー犯罪者がホストマシン、オンラインサービス、またはネットワークリソースを意図したユーザーが利用できないようにしようとする サイバー攻撃 です。 分散型サービス妨害攻撃 攻撃は、2018年のGitHubと2016年のDyn DDoS攻撃が最も顕著で、最もよく知られているタイプのハッキングインシデントかもしれませんが、分散型攻撃やボットネットアプローチを必ずしも必要としないサービス拒否攻撃は他にもたくさんあります。 ただし、事実上すべてのケースで、サービス拒否イベントは、ターゲットのマシンまたはサービスが受信トラフィックであふれ、処理または帯域幅リソースが過負荷になり、オフラインになることを特徴としています。
従来のサービス拒否攻撃では、ハッカーは架空のリターンインターネットプロトコル(IP)アドレスを使用して、ターゲットのマシンまたはサービスに複数のリクエストを送信します。 サーバーがこれらのアドレスを認証しようとすると、エラー コード応答の波が発生し、SMTP トラフィックの繰り返しチェーンが発生し、サーバーがすぐに飽和状態になる可能性があります。 同様に、スマーフ攻撃では、ハッカーは、それらのターゲットマシンに属するスプーフィングされたIPアドレスを持つ複数のホストにパケットをブロードキャストします。 受信側のホスト マシンが応答すると、応答するパケット トラフィックが事実上殺到します。
SYNフラッドでは、攻撃者はTCP 3ウェイハンドシェイク(SYN、SYN-ACK、ACK)プロセスを利用してサービスをオフラインにします。 3ウェイハンドシェイクでは、サーバAはサーバBへのTCP SYNchronizeリクエストメッセージを開始します。要求を受信すると、ホスト B (ターゲット マシン) は SYNchronize-ACKnowledgement パケットをサーバー A に送り返します。この時点で、サービス拒否攻撃が発生します。 TCPソケット接続を確立するための正当な交換では、次のステップはホストAがACKnowledgeメッセージをホストBに送り返すことですが、ホストAを制御しているハッカーがこれを阻止すると、ハンドシェイクを完了できません。 その結果、ホスト B には、追加の要求に使用できないポートが接続されています。 攻撃者がこの種の要求を繰り返し送信すると、ホスト B で使用可能なすべてのポートがすぐにハングアップし、使用できなくなります。
SYNフラッド、バナナ攻撃、その他の従来のDoSハッキングは今日でも使用されており、もちろんボットネットを利用したDDoS攻撃は絶え間ない脅威であり続けています。 しかし、近年、悪意のあるハッカーは標的とするマシンやサービスの数を拡大し、脅威の対象領域を大幅に拡大しています。 組織は、リソースを完全にオフラインにすることなく、コストのかかるサービスの速度低下を引き起こす、強度の低い「サービス低下」攻撃の標的になることが増えています。 この攻撃方法は、ますます多くの組織が Web 運用を強化するために Amazon Web Services (AWS) や同様のクラウド製品に依存するようになったため、ますます一般的になっています。
大規模な小売業者、金融サービスプロバイダー、消費者ブランド、または同様の営利企業がAWS、Microsoft Azure、またはその他のクラウドオペレーターでWebサイトをホストしている場合、その取り決めはサービスレベルアグリーメントに準拠します。 実際、クラウド事業者は、特定の価格で、そのWebサイトがX量のWebトラフィック(Xはギガバイトのデータ、小売取引数、稼働時間、および関連するメトリックとして測定される)をサポートするために必要な処理リソース、帯域幅、およびサポートインフラストラクチャを提供することを約束します。 トラフィックの負荷が合意されたレベルを超えた場合、トラフィックが正当であればプラスになりますが、Webサイトの所有者はより高いレートで請求されます。 このプロセスは、必要に応じて処理リソースを動的に増減する自動スケーリング機能を備えた Amazon CloudWatch と同様に、多くの場合、完全に自動化されています。
ご想像のとおり、悪意のあるアクターは、不正なトラフィックをターゲットのWebサイトに誘導することで、これらの関係に自分自身を注入し、ターゲット組織のビジネスを行うコストを簡単に増加させることができます。 断続的なトラフィックバーストを送信するパルス状の「ゾンビ」サーバーは、この種の攻撃で頻繁に使用されます。 問題のトラフィック負荷は時折発生し、明らかに悪意のあるソースからのものではないため、正規のトラフィックと非常によく似ており、サイバーセキュリティ担当者がそれらを発見して阻止することは非常に困難です。
この種のサービス拒否やサービス低下インシデントで使用される別のツールセットは、いわゆる「ストレッサー」アプリケーションであり、もともとはWebサイトの所有者がWebインフラストラクチャの弱点を特定するのに役立つように設計されています。 入手が簡単で使いやすいWebHiveを含むこれらのアプリは、複数のクラウドインスタンスにインストールして、手ごわいDDoS機能を構築できます。 このように連携することで、これらの攻撃ツールは大規模な商用Webサイトを長期間オフラインにすることができます。
サービス拒否攻撃は長年にわたって変化してきましたが、被害は増加し続けています。 Ponemon Instituteがさまざまな業界の大企業を対象に行った調査によると、一般的な企業では年間4件のサービス拒否インシデントが発生しており、DoSに対処するための年間平均総コストは約150万ドルであることがわかりました。 DoS攻撃を検知、防止、対応できる セキュリティアーキテクチャ を導入することは、効果的なサイバーセキュリティプログラムにおいて重要なステップです。