AWS セキュリティ入門 DDoS 攻撃対策ガイド
Author : 喜多 望
builders.flash 読者の皆さん、こんにちは ! AWS ソリューションアーキテクトの喜多望です。
DDoS 攻撃は、大量のトラフィックを標的システムに送信することで、正規のユーザーのトラフィックを妨害し、標的システムの可用性に悪影響を与えるサイバー攻撃です。AWS は、2024 年に一日平均で 2,000 件、年間で 700,000 件以上の DDoS 攻撃を検知 しました。全体の傾向としてはアプリケーションレイヤーでの攻撃がより一般的になってきており、短時間で大量のトラフィックを急激に送信するものから複数の攻撃ベクトルを使用する長期的なものまで様々な DDoS 攻撃が観測されました。
AWS は基盤となるインフラストラクチャに対してセキュリティ対策を実装しており、DDoS 攻撃に対してもお客様のワークロードを自動的に保護しています。しかし、より高いセキュリティ状態を保つためには、AWS 環境上のセキュリティに対する責任を AWS とお客様で共有する「責任共有モデル」に基づいて、お客様にアプリケーションの設計やセキュリティサービスの実装などを行っていただく必要があります。
このような状況を踏まえ、本記事では DDoS 攻撃の概要や分類から AWS での対策まで、セキュリティや AWS の初中級者の方でもわかりやすいように解説を行っています。本記事を通して、読者の皆様が DDoS 攻撃とはどのような攻撃でどう対策すれば良いのかを体系的に理解し、より安全なシステム運用の役に立てていただくことを目指しています。
はじめに:DDoS 攻撃とは ?
まずは、DDoS 攻撃の概要とどういった分類があるのかについて解説します。
Distributed Denial of Service (DDoS) 攻撃とは、攻撃者が分散された複数の端末から一斉に大量のリクエストを送信することでサーバーやネットワークのリソースに過負荷をかけ、サービスを使用できないようにすることを目的とする攻撃であり、日本語では分散型サービス拒否攻撃とも呼ばれます。攻撃者はボットと呼ばれるマルウェアに感染した大量のコンピュータや IoT デバイスなどの端末を制御しネットワーク化したボットネットワークに指示を出すことで大量のアクセスを生み出しています。
DDoS 攻撃による主な被害はリソースにかかる過負荷によるサービスの停止です。サービスの停止は企業にとって短期的な売上の減少や復旧コストの発生だけでなく、顧客からの信頼の低下による長期的な収益の減少や社員の士気の低下、金融や通信などの業界では当局への説明の発生など様々な悪影響をもたらします。また、近年では DDoS 攻撃によって対象を混乱させ、その間にランサムウェア攻撃など別の攻撃を行うといったケースも確認されています。
DDoS 攻撃の種類
一口に DDoS 攻撃と言っても、どのリソースにどのような手法で大量のトラフィックを送信するかで分類があります。そこで本章では、代表的な DDoS 攻撃の種類について解説します。
本記事では、Open Systems Interconnection (OSI) 参照モデルにおける 7 つの層のうち、3、4 層であるネットワーク層とトランスポート層を標的とした攻撃をインフラストラクチャレイヤー攻撃、6、7 層であるプレゼンテーション層とアプリケーション層を標的とした攻撃をアプリケーションレイヤー攻撃として代表的な攻撃を解説していきます。
インフラストラクチャレイヤー攻撃
インフラストラクチャレイヤー攻撃は OSI 参照モデルにおける 3、4 層のネットワークの基本的な通信機能を標的とした攻撃であり、大量のトラフィックを発生させてネットワークやサーバーのリソースに過負荷をかけるのが特徴の攻撃です。インフラストラクチャレイヤー攻撃には、TCP 3 ウェイハンドシェイクを悪用する SYN フラッド攻撃や DNS などの仕組みを悪用することで大量の増幅された UDP パケットを送信する UDP リフレクション攻撃などがあります。これらの攻撃は、同じタイプのパケットが短時間に大量に発生する、同じ宛先に対して異常な量のリクエストを送信する、偽装された IP アドレスを利用しているなどの通常のネットワークトラフィックとは異なるパターンが存在するため、DDoS 攻撃のトラフィックを検知しやすいと言われています。
アプリケーションレイヤー攻撃
アプリケーションレイヤー攻撃は OSI 参照モデルにおける 6、7 層を標的とした攻撃であり、特定のウェブサイトやアプリケーションを標的として少ないリクエストで大きな影響を与える特徴のある攻撃です。アプリケーションレイヤー攻撃には、大量の負荷の高い HTTP リクエストを送信することで Web サーバーに過負荷をかける HTTP フラッド攻撃や、名前解決ができないリクエストを大量に送信することで DNS サーバーに負荷をかける DNS クエリフラッド攻撃などがあります。これらの攻撃では、インフラストラクチャレイヤー攻撃で行えていたような異常なトラフィックのパターンの判定が難しい場合があります。
DDoS 攻撃対策の方針
DDoS 攻撃を緩和する手法は様々ですが、基本的な方針はアクセスが集中しリソースが枯渇しやすい部分のアクセス頻度を下げることです。一般的な対策としては次のようなものが挙げられます。
- 攻撃対象の範囲を縮小する
- Web や DNS サーバーへの不正な通信を遮断する・通信量を減らす
- Web や DNS サーバーの冗長化による負荷分散を行う
AWS における DDoS 攻撃対策
AWS は DDoS 攻撃対策の ホワイトペーパー を公開しており、そこで 7 つのベストプラクティス (BP1) - (BP8) を紹介しています。本記事でもこの 8 つのベストプラクティスに則りながら AWS における DDoS 攻撃対策を解説していきます。
攻撃対象範囲の縮小
DDoS 攻撃の被害を抑えるためには、攻撃を受ける範囲を縮小すること (アタックサーフェスリダクション) も重要です。必要のないリソースを外部に公開しないようにすることで、攻撃の選択肢を制限することができます。
Amazon API Gateway による API エンドポイントの保護 (BP4)
Amazon API Gateway は、フルマネージドで API フロントエンドの作成を行えるサービスです。API は外部に公開した際にDDoS 攻撃の標的となる可能性があります。Amazon API Gateway を用いることで、アプリケーションのコンポーネントを外部から隠蔽し、DDoS 攻撃のリスクを軽減することができます。また、Amazon API Gateway は Amazon CloudFront や AWS WAF との連携が可能であり、これによってさらなる攻撃を緩和が可能です。
Amazon VPC 内でのオリジンの保護 (BP 5)
Elastic Load Blancing (ELB) の後段に Amazon Elastic Computing Cloud (EC2) などのコンピューティングリソースを配置する場合、これらのリソースは外部からアクセス可能にする必要性はありません。これは、Amazon Virtual Private Cloud (VPC) 内のネットワークアクセスコントロールリスト (NACL) とセキュリティグループという 2 種類のファイアウォールを適切に作成することで達成可能です。
Web、DNS サーバーへの不正な通信の遮断、通信料の減少
Amazon CloudFront によるエッジロケーションの利用 (BP1)
Amazon CloudFront は、世界中に分散されたエッジロケーションにコンテンツをキャッシュすることでオリジンサーバーの負荷を軽減するContent Delivery Network (CDN) サービスです。セキュリティサービスではありませんが、DDoS 攻撃対策という観点で Amazon CloudFront には次のようなメリットがあります。
- キャッシュによってオリジンサーバーへの通信量を減少させ、アクセス集中を緩和できる
- プロトコルを HTTP/S のみに限定することで UDP リフレクション攻撃をブロックできる
- 通信の過程でエッジサーバーとの TCP3 ウェイハンドシェイクの確立が必要なので、IP アドレスの詐称を行う SYN フラッド攻撃などをブロックできる
- 日本国内向けなどのサービスの場合、地理的制限により特定地域からのアクセスをブロックできる
- スロー HTTP 攻撃に対し、自動的に接続を閉じることで攻撃を緩和できる
- Amazon CloudFront VPC オリジン や AWS マネージドプレフィックスリスト の使用により、オリジンサーバーの隠蔽が可能
- SSL/TLS をエッジロケーションで終端できるので、TLS 消費攻撃を緩和できる
- AWS WAF との連携が可能
AWS Web Application Firewall (AWS WAF) によるアプリケーションレイヤーの保護 (BP2)
AWS WAF は AWS の Web Application Firewall のサービスであり、様々な脆弱性を悪用する攻撃からアプリケーションの保護が可能です。AWS WAF は保護対象としての対応リソースにアタッチして利用する形式であり、保護対象リソースは、Amazon CloudFront、フルマネージドな API フロントエンドサービスである Amazon API Gateway、L7 で動作するロードバランサーである Application Load Balancer などです。AWS WAF は様々なルールをアタッチ可能ですが、DDoS 攻撃対策という観点で有用な AWS マネージドルールには次のようなものがあります。
- Core rule set
OWASP Top 10 に掲載されている高リスクなものや一般的なものなど幅広い脆弱性の悪用からの保護が可能 - Bot control
DDoS 攻撃の際に遠隔操作で標的にリクエストを送信するデバイスであるボットのリクエストから 2 種類の保護レベルで対象リソースを保護するルールを提供- Common
スクレイピング、検索エンジン、自動ブラウザなど様々な自己識別ボットを検出 - Targeted
一般的なボットに加え、自己識別を行わない高度なボットに対するターゲットを絞った検出機能を追加
- Common
- Amazon IP reputation List
Amazon の内部脅威インテリジェンスに基づいて、悪意のあるアクティビティや DDoS への関与をしていることが判明したリクエストを検査
また、ACL のルールの作成で特定時間内の同一 IP アドレスからのリクエスト受信をブロックするレート制限ルールの作成を行うことも可能であり、DDoS 攻撃対策として有用です。
AWS WAF は機械的に通信を検知するため、適用するルールが厳しすぎると誤検知を起こし、正常なトラフィックもブロックしてしまう可能性があるため、システムに合わせたルールの設計が必要です。具体的には、最終的なデプロイ前にカウントモードで検証することが有効です。詳しくは こちら をご覧ください。
Web、DNS サーバーの冗長化による負荷分散
Amazon Route 53 による DNS の保護 (BP3)
Amazon Route 53 は、AWS が提供する高可用性でスケーラブルな DNS サービスです。Amazon Route 53 は AWS グローバルエッジロケーションでホストされており、大量の DNS トラフィックを吸収することができます。また、Amazon Route 53 は、シャッフルシャーディング と呼ばれるような冗長化技術や エニーキャストストライピング と呼ばれるルーティング最適化技術、さらに正常な DNS クエリに優先順位を付け、疑わしいまたは既知の DDoS 攻撃属性の優先度を下げるスコアリング手法などを用いることで DDoS 攻撃を自動的に緩和します。
Elastic Load Balancing (ELB) (BP6) と Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling (BP7) による負荷分散
大規模にコンピューティングリソースを運用し、アクセスが集中した際に自動的にスケーリングし、負荷分散を行うことで、DDoS 攻撃が発生した場合でもシステムの可用性に直ちに影響が出ないようにすることが可能です。こちらは Elastic Load Balancing の後段に Amazon EC2 Auto Scaling を配置することで達成できます。また、前段に ELB を前段に配置することで、アプリケーションのコンポーネントを外部ネットワークから隠蔽・保護することができます。ELB も AWS WAF をアタッチして悪意のあるトラフィックをブロックすることが可能です。
AWS Shield Advanced の利用による発展的な防御
ここまでは、AWS における DDoS 攻撃対策のベストプラクティスアーキテクチャについて説明しました。しかし、ミッションクリティカルなシステムなどにはリアルタイムな緩和など、より発展的な防御策が必要になるケースがあります。このより発展的な DDoS 対策を実現できるサービスが AWS Shield Advanced になります。
AWS Shield は様々な機能で DDoS 攻撃から AWS 環境を保護するサービスです。AWS Shield には、標準で有効かつ無償の AWS Shield Standard と有償の AWS Shield Advanced があります。
AWS Shield Standard
AWS Shield Standard は AWS の利用時に自動的に提供され、追加料金はかかりません。AWS Shield Standard では、一般的かつう頻繁に発生する L3、4 の DDoS 攻撃を自動で緩和します。また、Amazon Route 53、Amazon CloudFront、Amazon Global Accelerator といったエッジロケーションのサービスを利用すると AWS Shield Standard の利点を最も活かすことができます (前述した Amazon Route 53 や Amazon CloudFront の DDoS 攻撃緩和の一部は AWS Shield Standard の機能です)。
AWS Shield Advanced
AWS Shield Advanced は一年のコミットメントが必要な有償サービスであり、お客様の固有のアプリケーションの保護のために以下のような機能を提供します。
L7 の DDoS 攻撃への自動緩和
AWS Shield Advanced は L7 攻撃を検知した際に自動で AWS WAF ルールを作成します。また、作成された WAF ルールは DDoS イベントが収まった後に自動的に削除されます。こちらの自動緩和は Amazon CloudFront と Application Load Balancer (ALB) に対応しています。
DDoS 攻撃レポートの確認
現在進行中のものも含め過去 13 ヶ月分の攻撃のレポートがマネジメントコンソールより確認可能です。こちらのレポートでは、攻撃の種類、発生期間、攻撃元や攻撃対象の情報、脅威レベル、最大リクエストレートなどの各種メトリクスが確認可能です。
SRT との連携
AWS の DDoS 攻撃対策の専門家チームである Shield Response Team (SRT) へ 24/365 でアクセスしていただくことが可能です。AWS サポート経由もしくは プロアクティブエンゲージメント での連携が可能であり、緊急度の高い場合は直ぐに SRT にアクセスしていただき、インシデントレスポンスを行うことが可能です。こちらには AWS サポートのビジネス、Enterprise On-Ramp、エンタープライズプランのいずれかへの加入が必要です。
その他にも、正常性ベース検出での DDoS 攻撃の検出精度の向上や、DDoS 攻撃のトラフィックによって追加で発生したコストに対するクレジットの発行、AWS Firewall Manager や AWS WAF の一部機能を無償利用可能などの機能があります。
画像をクリックすると拡大します
セキュリティインシデントレスポンス
DDoS 攻撃対策に限らずですが、サイバーセキュリティ対策にはセキュリティサービスを導入して攻撃を緩和できるようにする防御のプロセスだけでなく、実際に DDoS 攻撃を受けた際にそのことを検知して対応を行い、システムを正常な状態に復旧するというプロセス (セキュリティインシデントレスポンス) までを考えて対策を行う必要があります。また、どのセキュリティサービスで対策するかという「テクノロジー」の観点だけでなく、誰が対策・意思決定を行うかという「人・組織」の観点やインシデント発生時にどのように対応するかという「プロセス」の観点での対策が必要です。
セキュリティインシデントが発生した時に、従うべき規範的なガイダンスと手順を記載したドキュメントをセキュリティインシデントレスポンスプレイブックと言います。プレイブックを作成することで、インシデント発生時に混乱や人為的ミスを避けることができます。AWS では、DDoS 攻撃対応のためのインシデントレンスポンスプレイブックの テンプレート を提供しており、NIST のコンピュータセキュリティインシデント対応ガイドに基づいて作成されています。DDoS 攻撃発生時の証拠の保存から封じ込めと根絶、復旧、インシデント後の活動までを 5 つのパートに分割し、するべきプロセスを解説しています。
また、実際の企業でインシデント対応プレイブックを作成する場合は対応者や決定権を持つ責任者などを「人」に関する役割と責任を明確にしておくことが重要です。これらによってインシデント発生時の混乱を最小限に抑え、迅速な対応が可能になります。
まとめ
いかがだったでしょうか ?
本記事では、DDoS 攻撃の解説から AWS での対策方法まで包括的に解説を行いました。
AWSでは、世界中に広がる AWS グローバルネットワークと様々なサービスを最大限に活用して多層的に DDoS 攻撃を緩和することができます。
本記事がお客様の DDoS 攻撃対策の参考になれば幸いです。
筆者プロフィール
喜多 望 (Nozomi Kita)
アマゾン ウェブ サービス ジャパン合同会社
技術統括本部
ソリューションアーキテクト
ソリューションアーキテクトとして、AWSを活用されているお客様の技術支援を行っています。
趣味はゲームとお笑いライブの鑑賞です。
AWS を無料でお試しいただけます