先ごろ、サイバー・セキュリティの重要性を私たちに再認識させる出来事が起こりました。ボットに乗っ取られたWebカメラの大群による攻撃が原因で、TwitterやAmzaon、Spotify、Netflixなどの著名インターネット・サービスが一時的に利用できなくなったのです。この大規模障害を引き起こしたのは、大手DNSサービス会社DYNに対する、世界規模の分散サービス妨害(DDoS)攻撃です。セキュリティ専門家にとって、決して目新しい攻撃手法ではありませんが、インターネットというネットワーク網の脆弱さを改めて浮き彫りにする事件であったといえるでしょう。今回の攻撃では、予想される最悪の事態には至りませんでしたが、それは単なる幸運に過ぎません。

インターネットは、イノベーションやインスピレーションが育つ揺り籠です。インターネットを介して、誰でも、製品やサービスを発明、開発し、有償・無償で提供することができます。資格や認定は必要ありません。製品やサービスのリリース後も、継続的な改善、更新が行われます。多くの場合、製造業者や販売店、一般消費者との間に、物理的な接触は発生しません。旧来の技術開発の世界では、ほとんど考えられない仕組みですが、これまでのところ非常にうまく機能しています。

ただし、セキュリティ専門家にとっては自明の理ですが、このかつてなかったほどの「イノベーションの自由」には、リスクが伴います。多くのインターネット接続デバイスは、十分なセキュリティを備えていません。中には、極めて単純な欠陥を含む製品も存在します。実際、DYNに対する攻撃では、ユーザ認証情報があらかじめ埋め込まれた、または初期設定のままのWebカメラがいとも簡単にハッカーに悪用されていました。著名なインターネット・サービスを狙ったサイバー攻撃の増加に伴い、一般ユーザの間にも、このような欠陥に対する問題意識が広がりつつあります。

インターネットを守る方法

社会のインターネット依存度は高まる一方です。継続的なイノベーションを妨げずに、インターネットを守る方法について検討する必要があります。

インターネットと同様の大規模ネットワークである電力網と電話網はどちらも、障害が起きてもすぐに復旧できるよう設計されているほか、各種の基準を満たした機器以外は接続できないようにする対策で、問題の発生原因を事前に排除しています。また、適切な認可を受けていない電気製品や電話機器は販売できないように規制されており、いずれの国でも関係当局の監督下にあります。

インターネットのセキュリティ問題を解決する1つの手段として、インターネットに接続できる機器を認可制にし、セキュリティをはじめとする基本的な基準を遵守させるべきだと主張する声もあります。将来的にはこのような制度が必要となり、徐々に整備が進むことになるかもしれません。しかし、そのプロセスは極めて煩雑なものとなるでしょう。基準について合意し、制度を確立するまでには、非常に長い時間が必要となるからです。また新たな規制によって、現在のような活発なイノベーションは減速を余儀なくされると考えられます。

より現実的な解決策は、インターネット自体にその保護機能を持たせることです。そのためには、信頼の仕組みが必要となるほか、ある程度のリスクが残ることになりますが、そのぶん関与する組織は大幅に少なくて済み、合理的かつ民主的な方法で目的を達成できます。では、その具体的な方法を見ていきましょう。

インターネット・トラフィックの制御

現代社会に欠かせない重要なインターネット・サービスの中には、金融サービスや行政サービスなど、一国内で完結するタイプもあれば、DNSやソーシャル・ネットワーク、電子メール、検索サービスなど、グローバルなサービスも存在します。インターネット・サービスに対する攻撃は、国内から行われるケースもありますが、先ごろ発生した世界規模のDDoS攻撃のように、国境を越えるケースが大半を占めます。

DoS攻撃への対処で最大の課題となるのは、発信元が同一の正規のトラフィックと不正なトラフィックをいかにして区別するかという点です。時には、同一のIPアドレスからのトラフィックに両者が混在している場合さえあります。この問題を解決するため、多くのセキュリティ・ベンダーは、異常値検出を行うDoS対策ソリューションを提供しており、一定の成果を上げています。特に、インターネット・リンクを飽和させて正規トラフィックの流通を妨害する攻撃よりも、特定ネットワークのコンピューティング・リソースを標的とした攻撃に対して大きな効果を発揮します。

しかし、ネットワークをインターネット・サービス・プロバイダ(ISP)に接続するリンクや、ISPとその上流ISP間のリンクが攻撃トラフィックで飽和状態に陥っている場合、この種のソリューションでは対処のしようがありません。

このため、インターネット・サービスを提供している企業、特にISPは、自社のサービスを守るためにできる限りの対策を講じる必要があります。しかし、自社だけでは力不足の場合には、インターネットのバックボーン・ネットワークを運用する組織、つまりティア1、ティア2と呼ばれるプロバイダに支援を要請できるよう、準備しておかなければなりません。

インターネットのバックボーンは、多数のISPが運用するネットワークが網目状に接続されて構成されています。今日では、接続容量の大きさと、他のプロバイダから経路情報を購入せずにカバーできる地域の広さに基づき、大手プロバイダ6社(Level 3 Communications、Telia Carrier、NTT、Cogent、GTT、Tata Communications)がティア1プロバイダと位置付けられています。このティア1プロバイダには、約30社のティア2プロバイダが接続し、ティア2プロバイダには、各国内に存在する多数のその他プロバイダが接続しています。ISP各社と一部の大手コンテンツ配信ネットワークは、IXP(Internet Exchange Points)経由で相互接続されています。各プロバイダの接続容量の合計がインターネットの最大接続容量となり、いかなるDDoS攻撃も、この容量を上回るトラフィックを送り付けることはできません。

発信元レベルで攻撃をブロックする

ここまで見てきたように、計50社に満たないティア1およびティア2のプロバイダが連携すれば、ほとんどの世界規模のDDoS攻撃、そして多くの国単位の攻撃に発信元レベルで技術的に対処することが可能となります。そのためには、正確な攻撃パターンを特定し、プロバイダ間で同意する必要がありますが、その手続きを効果的かつ合法的に、データ・プライバシーに配慮しながら実施することも重要となります。

次のように、抑制と均衡の仕組みを備える柔軟なプロセスを構築すると、プロバイダ間で連携してDDoS攻撃に対処できるようになります。

  1. インターネット・サービスの提供者は、ある程度までDDoS攻撃に対処できるスクラビング(洗浄)処理の仕組みを用意しておくことが望まれます(自社運用またはクラウド型)。
  2. インターネット・サービスの提供者は、自力では攻撃に対処しきれず回線が飽和すると判断した場合、上流のティア2プロバイダに直接、またはローカルISP経由で連絡し(大手のISPは、ティア2またはIXPに直接接続している場合があります)、攻撃についての詳細情報を提供します。
  3. ティア2プロバイダは、攻撃を受けている組織と連携して攻撃パターンを特定します。この作業は簡単には済まない場合もありますが、有能なセキュリティ技術者であれば特定できるはずです。
  4. ティア2プロバイダは、自社のリソースで攻撃をブロックできるかどうかを判断します。
  5. ブロックできない場合、ティア2プロバイダは、「グローバル・ブロック・リクエスト(GBR)」を発行します。GBRでは、送信元IP、送信先IP、送信元ポート、送信先ポート、プロトコルという一連のフロー識別子(必要に応じて範囲も指定)か、攻撃パターンを定義するワイルドカード/正規表現を指定します。また、ブロック・レベルを示すブロック比率も指定します。ブロック比率は、すべてのケースをブロックする場合は1:1、攻撃を緩和するだけの場合は1:nとします。
  6. GBRの実施には、3社以上のティア1プロバイダ、または5社以上のティア2プロバイダによる確認、承認、署名を義務付けるものとします。重要な正規トラフィックや攻撃に無関係なトラフィックがブロックされることのないよう、プロバイダ各社でGBRの内容を検証する必要があります。
  7. GBRが承認されたら、ティア1プロバイダとティア2プロバイダの全社で2時間、GBRの内容を実施します。2時間経過後、必要に応じてGBRを延長します。
  8. まだ攻撃が続いている場合は、4社以上のティア1プロバイダ、または7社以上のティア2プロバイダによる確認、承認、署名を得た上で再度GBRを延長します。必要に応じて、6時間ごとにこのプロセスを繰り返します。

GBRは、上流または下流に位置するティア1/ティア2プロバイダのネットワーク・デバイス/サービス・デバイス(またはIXP)で実施します。また、プロバイダが下流のISPに対し、攻撃の発信源となっているIPアドレスを通知すれば、問題のアドレスの所有者に対してその事実を知らせることができます。チェック・ポイントなどの一部ベンダーは、このGBRを実施するためのソリューションを提供しています。

DYNに対する攻撃を含め、多くのDDoS攻撃は、上記のプロセスで確実に緩和できます。攻撃がSSLなどの暗号化チャネルで行われている場合、正規表現を使用してトラフィック内の攻撃パターンを正確に指定することはできませんが、暗号化トラフィックを分析できなくても、通信パターンを示す前述のフロー識別子に基づいて、攻撃元IPアドレスからのトラフィックをブロックまたは制限することが可能です。

一般的に状況を揺るがすような大きな変化は、大惨事でも起きない限り受け入れられません。そうなって初めて、現実に譲歩し、抜本的な変化を受け入れる社会的な要請や切迫感、政治的意思が生まれます。世界規模のDDoS攻撃という問題は、そのような大惨事が起きるのを待たなくても解決することが可能です。ここまで説明してきたように、多くの大規模DDoS攻撃は、少数の国際的な組織が緊密に連携するだけで対処できます。またこのような取り組みは、よりシンプルな問題に対し、組織が単独で立ち向かうのではなく、連携して問題解決に当たるためのモデルにもなり得ます。