サービス妨害
サービス妨害とは
サービス妨害(DoS)は、サーバに負荷を集中させるなどしてサーバを使用不能に陥れる攻撃である。盗聴などと異なり、重要な情報を盗み出す、といった要素はないが、営業妨害などに利用される。
DoS攻撃の扱いで苦慮するのは、通常のアクセスと区別しにくい点である。チケット販売サイトや重要な告知が行われるサイトでは、ユーザに悪意がなくても、アクセス要求の集中によるサービスのダウンなどが日常的に発生しており、DoS攻撃をこれらと完全に区別することは困難である。
サービス妨害の種類
TCP SYN Flood
TCPの通信がスタートするときの3ウェイハンドシェクは、SYN→SYN/ACK→ACKの三つのやり取りで行われるが、TCP SYN Floodは三つめのACKを行わないことで待ちぼうけをくらわせる攻撃方法である。通信の要求があるとサーバ側は通信用にCPUやメモリを割り当てるので、これを無駄遣いさせる。繰り返すことで性能低下やシステムダウンを狙うことができる。この他にも大量の通信を送信して相手の処理能力を飽和させる、xx Flood系の攻撃方法は多数存在する。TCP SYN Floodの場合は、一定時間を経過したコネクションを切断することで対処する。
Ping of Death
セキュリティホールのあるOSでは、許容範囲を超えるサイズのpingを送ると意図しない動作を引き起こすことが可能である。この脆弱性を突いた攻撃方法である。 セキュリティパッチを適用することで対応する。
DDoS 攻撃
大規模分散型のDoS攻撃である。DoS攻撃では、攻撃用の大量のパケットをどう作るかが攻撃者の悩みどころだが、ボットネットなどを使って多数のマシンを動員するのがDDoS攻撃である。多数のマシンが関わるので、特定のIPアドレスからの通信を遮断するなどで対処しにくい特徴もある。IDSの導入や通信事業者との連携で対応する。
ランダムサブドメイン攻撃
あるドメインにランダムなサブドメインを付けて、オープンリゾルバに問い合わせをする攻撃方法である。例えば、gihyo.co.jpを攻撃するなら、uhauha.gihyo.co.jpのようにする。ランダムであるため、オープンリゾルバのキャッシュには名前解決情報が存在せず、コンテンツサーバへの問い合わせを大量に発生させられる。
ICMP Flood
通信の疎通確認用プロトコルであるICMP (pingコマ ンドで使われるプロトコル) を大量に送信する攻撃方法である。基本的なプロトコルであるため、多くのマシンが攻撃対象となり得るのが特徴である。 ICMPに返答しないことで対応する。
smurf
疎通確認のコマンドであるpingをブロードキャストアドレスに対して行い、返信先に攻撃対象のIPアドレスを設定する。攻撃者側のPCが1台でも、多数のマシンから攻撃用のパケットを送ることができる。ブロードキャストアドレスを使ったpingを禁止することで対応する。
サービス妨害の法的根拠
サービス妨害では、個々の通信は特に違法性がない。一般的に伝統的な刑法はコンピュータ犯罪を裁くことが困難だった。
例えば、情報の窃視(盗み見ること)は電子計算機損壊等業務妨害罪や電子計算機使用詐欺罪などの罪には該当しない。刑法では盗難とは有体物を盗むことであり、メモリ上のデータをコピーしても罪には問えないからである。そこで、不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)などの行政法規が登場して、アクセス制御しているコンピュータへの攻撃やセキュリティホールを突いた攻撃への罪科を規定した。
しかし、アクセス制御されていないコンピュータは対象外であるし、正規のアクセスと区別がしにくいサービス妨害攻撃への適用も困難だろう。サービス妨害攻撃への適用も困難であるという課題は、依然として残っている。
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント