ページの先頭です。
コンテンツエリアはここからです。
研究開発マガジン

[キーワードでわかる先端技術:vol.3]「目配り、気配り」サイバー攻撃にネットワーク全体で対抗する最新技術

おそろしいDDoS攻撃

北欧に位置するエストニアは、国政選挙において世界初の電子投票化を実現したインターネット先進国の一つ。そのエストニアが2007年5月に大規模な分散サービス拒否攻撃(DDoS)を受けたことはご存知でしょうか?

DDoS攻撃について簡単に説明すると、特定のサーバに対して不特定多数のPCから集中的にアクセスし、サーバに多大な負荷を与えて混乱させてしまうというもの。今回のエストニアの事例では、電話網やネットワークが停止するなど、多くの社会インフラが影響を受けてしまったといいます。
DDoS攻撃がおそろしいのは、攻撃を受けているサーバ単独ではこの攻撃を回避することができない場合がほとんどであるということ。しかも、現在の技術ではDDoS攻撃がどのような規模で行われているか、ISPの側で把握することも難しく、対応策も準備できていませんでした。
そうした現状を受け、NTTはDDoS攻撃に対処できる防御システムとして広域異常トラヒック検知・防御システム(WINDS)の構築に取り組むことになったのです。
WINDSの最大の特徴は、DDoS攻撃に対して攻撃を受けたサーバ側で対処するという従来の着想をいったん捨てきったところにあります。つまり、サーバだけでなくDDoS攻撃者を含んだネットワーク全体で対抗するという新しい発想から防御システムを構築しようとしているのです。

これまでの防御態勢の限界

不特定多数の拠点からアクセスを集中させるDDoS攻撃ですが、その対策の一つとして注目されたのがフロー情報の利用でした。フロー情報とは、ルータが提供する通信データの発信元と受信先が記された情報です。
これらの情報を解析することで、ルータを流れる個々の通信がどこから発生し、どのルータを介してきたかを正確に認識でき、ひいてはネットワーク全体の通信状況を把握できるのです。つまり、フロー情報を細かく調べることで、問題となっているDDoS攻撃についても、それがどのような経路で行われてきたかが分かるのです。
しかし、その解析には多くのリソースと回線容量を必要とするため、ネットワークの全ルータのフロー情報を解析することはできません。そのため、現状では重要な経路や拠点周辺のルータが提供するフロー情報を選択的に監視することで精一杯。効果的な方法でしたが、ネットワークの一部の状況を把握していただけに過ぎなかったのです。

DDoS攻撃への対抗はネットワーク全体で

こうした現状に対し、NTTではサーバへのアクセス集中という結果を引き起こした原因、つまり、サーバに集中するアクセスの一つひとつが発生した場所を明らかにすることを重視しました。
これまでは、広大なネットワークの一隅に潜んでいて知り得ることのできなかったDDoS攻撃の発生源を明らかにする、ということを対策の柱としたのです。このNTTの対策方法を実現させるには、ネットワーク全体の通信状況の把握が必要不可欠です。とはいえ、前述の理由からフロー情報を丸ごと解析する方法は使えません。
そこでWINDSでは、フロー情報から必要最低限の情報だけを抜き出してスリム化し、その情報を解析することにしました。この方法であれば、各ルータを通過するトラヒックの変動はもちろん、ネットワーク全体の概要を捉えることも可能になります。

DDoS攻撃の発生源を求めて

解析した結果、ネットワークに疑わしい兆候が発見できますが、まだそれだけでは、DDoS攻撃によるものか、それとも、突発的な事故や事件などの理由で一次的にアクセスが集中しているだけなのか、機械的に判別するのはWINDSでも未だ難しいことです。
アクセスの発信源や通過してきた経路、アクセスが発生するタイミング、アクセスが集中するサーバといった、現状取り得る情報からさらなる分析・判断が必要です。そこでWINDSは疑わしい兆候を発見すると、すぐに分析フェーズに移行します。

分析フェーズでは、その疑わしいアクセスが通過してきたルータに集中して、さらに詳しいフロー情報を取得・解析し、アクセスの発生源を突き止めていきます。つまり、DDoS攻撃がどこから始まり、どんな経路でアクセスしてくるのかといったことを絞り込んで明らかにしていくわけです。

DDoS攻撃を押さえ込むために

最終的には、分析フェーズで得られた情報を元に、オペレータによってその疑わしいアクセスがDDoS攻撃であるか否か、その対処法を判断します。このフェーズが制御フェーズです。

DDoS攻撃への対処は大きく3つに分かれています。
一つはDDoS攻撃と判断されたアクセスについて、例外なくその全て遮断するフィルタリングです。
二つ目はネットワークや攻撃対象となっているサーバが想定している負荷量を超えないように集中するアクセスの一部を制限する方法です。
最後がネットワーク中に分散設置された攻撃軽減装置を利用する解決策です。
現在NTTが研究・開発している防御システムWINDSは新しい技術であり、まだまだこれからの課題も多くあります。そのためにも、業界全体として防御システムの開発に取り組む必要があり、NTT情報流通プラットフォーム研究所は、DDoS攻撃に対する防御システムを標準化するために必要な機能提案をしています。
今後に向けては、対応可能な攻撃種別をさらに増やすことや、監視結果を他領域で適用する可能性などを、検討しているところです。

NTT情報流通プラットフォーム研究所 セキュアコミュニケーション基盤プロジェクト
フッタエリアはここからです。