
内閣サイバーセキュリティセンター(NISC)は2024年12月から2025年1月にかけたDDoS攻撃に関連し、注意喚起を発表しました。
目次
DDoS攻撃の注意喚起の背景
内閣サイバーセキュリティセンターは、2024年12月から2025年1月の間に、航空業界、金融機関、通信事業者などが相次いでDDoS攻撃を受けたことを受け、注意喚起を発表しました。
これらの攻撃は、IoTボットネットを利用したUDPフラッド攻撃やHTTPフラッド攻撃など、複数種類の手法で行われ、今後も大規模な攻撃が発生する可能性があります。
DDoS攻撃に対する基本的な対策
1. 攻撃の影響を軽減するための対策
- 海外IPの遮断: ボットが多い国からの通信を拒否する設定を行い、攻撃影響を最小限にする。ただし、正当な通信を考慮する必要があります。
- 専用機器・サービスの導入: WAF、IDS/IPS、UTMなどのセキュリティ装置を利用し、攻撃を防御します。
- CDNの利用: 元サーバのIPアドレスを隠す設定を行い、直接攻撃を防ぎます。
- 冗長化: サーバや通信回線を多重化し、攻撃時に迅速に切り替え可能な構成を整えます。
- サーバ設定の見直し: パケットフィルタリングやタイムアウト短縮など、DDoS対策機能を有効化します。
2. 被害を想定した対策
- システムの選別と分離: 重要度に基づき、システムを分離し、それぞれの保護方針を明確化します。
- トラフィックの監視: 平常時のトラフィックを把握し、異常を早期発見できる体制を構築します。
- アラート通知: 異常通信時に担当者へアラートが届く設定を行います。
- 緊急時の対応手順: ソーリーページ(障害発生などの告知ページ)の準備やSNSを使った状況通知を計画します。
- 対策マニュアルの策定: 警察や関連機関の連絡先をまとめたマニュアルを作成します。
3. 加担(踏み台)を防ぐ対策
- オープンリゾルバ対策: DNSサーバの設定を見直し、不正な問い合わせを防ぎます。
- セキュリティパッチの適用: システムの脆弱性を解消する更新を確実に実施します。
- フィルタリング設定: IPアドレス詐称を防ぐためのフィルタリングを強化します。
参照
簡単にできる基本的なDDoS攻撃への対策
重複する内容もありますが、セキュリティ対策Labで簡単にできる基本的なDDoS攻撃への対策を記載します。
前提
DDoS攻撃は完全に防ぐことはできないので、ダウンしてもいいサービスやサーバとダウンさせないサーバやサービスを分け
トリアージする対象を事前に決めておく必要があります。
1:IPアドレスの遮断
仮想敵国であるロシア、中国、北朝鮮からのアクセスを国ごと遮断します。
一般的なサービスを提供しているのであれば、これらの企業からのアクセス量はビジネスに影響しないはずです。
ただし、DDoS攻撃はボットネットを利用するので日本からアクセスを行う場合が殆どですので、根本的な対策というわけではありません。
2:CDNの利用
Cloudflare(クラウドフレア)は無料で利用できますし、データセンターやサーバを提供している企業の場合低額で利用できます。
3:サーバの設定見直しとトラフィックの監視を実施
同一 IP アドレスからのアクセス回数を制限し
トラフィック値を監視し、異常なトラフィックが発生した場合はアラートを上げます。