はじめに
第六回は、DoS攻撃、ソーシャルハッキングについてお伝えできればと思います。
DoS攻撃
DoS攻撃とは
DoS攻撃(Denial of Service Attack)とは、インターネット上で Web サービスやメールサービス等を提供しているサーバ等に対して過剰な負荷を与えたり、サーバ等の脆弱性を悪用することによって、サービスの運用や提供を妨げる行為をいいます。
以前まではDoS攻撃が主流でしたが、最近ではDDos攻撃(Distributed Denial Of Service)というものが多く報告されています。
DoS攻撃は単独IPからの攻撃が特徴だったため、攻撃元を特定すればアクセスを遮断することで対応が可能でした。
一方DDoS攻撃とは、攻撃者が不特定多数のコンピュータなどを踏み台(ボット)として利用し、DoS攻撃を分散(Distributed)して行うものを指します。遮断するIPを特定することが難しくいため、対応が難しくなります。
DDoS攻撃の手法
SYNフラッド攻撃・ACKフラッド攻撃・FINフラッド攻撃
TCP接続では、以下プロセスを経てコネクションを確立・終了させます。
■コネクション確立時
- クライアント→サーバ:SYNパケットを送る
- サーバ→クライアント:SYN/ACKパケットを送り返す
- クライアント→サーバ:ACKパケットを送り返す
■コネクション切断時
- クライアント→サーバ:FINパケットを送る
- サーバ→クライアント:ACKパケットを送り返す
- サーバ→クライアント:FINパケットを送り返す
- クライアント→サーバ:ACKパケットを送り返す
攻撃者が自分のIPアドレスを偽ることにより、SYNパケット大量に送信するものをSYNフラッド攻撃、FINパケットを大量に送信するものをFINフラッド攻撃といいます。
接続元IPが存在しないと、サーバ側は接続のための資源を割り当てたまま待たされることになるため、サーバの資源が枯渇する原因となります。
■対策
- WAFの導入
- コネクション不成立におけるタイムリミットを設ける
ACKフラッド攻撃
ACKを大量に送信することで接続のためのリソースを使用させる攻撃を、ACKフラッド攻撃といいます。
ACKがいきなり送信されても、送信元と接続先の間ではTCP接続が確立されていないため、パケットは廃棄されて接続拒否(RST)を返します。接続先のサーバはパケット廃棄を大量に行わなければならないため、リソースが枯渇する原因となります。
■対策
- WAFの導入
HTTP GET/POST フラッド攻撃
HTTP GET Flood攻撃とは、サーバに大量のHTTP GETリクエストを実行する攻撃です。HTTP POSTコマンドを実行する攻撃をHTTP POST Flood攻撃といいます。
攻撃を受けたサーバは大量のHTTP GETコマンドを処理しきれなくなります。
HTTP GET Flood攻撃は、正常なリクエストに似せる工夫がされている事が多く、攻撃と判別することが難しいと言われています。
■対策
- WAFの導入
- 1つの送信元からの同時リクエスト数を制限する
- Webサーバの前にキャッシュサーバを置く
- Webサーバのスケールアップをする
Slow HTTP 攻撃
Slow HTTP DoS Attackとは、長時間に渡りTCPセッションが継続するようにサーバに断片的なリクエストをゆっくりと送信し続けることで、サーバのTCPセッションを占有する攻撃です。
フラッド攻撃とは違い、攻撃に使用するパケット数が少ないのが特徴です。
■対策
- WAFの導入
- mod_reqtimeoutの導入(Apacheの場合)
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、インターネットなどの情報通信技術を使わず、人的な脆弱性を利用して情報を入手する手法です。
ソーシャルエンジニアリングの攻撃手法
ショルダーハッキング
PCやスマホの画面を覗き見ることで、IDやパスワードを入手する手法をショルダーハッキングといいます。
原始的ではありますが、簡単に行うことができます。
■対策
- 画面にフィルターを貼る
- 重要な情報を扱う際は、周りを気にする
トラッシング(スキャビンジング)
ごみ箱に捨てられた資料などから、サーバ・ネットワークなどの設定情報や、ID・パスワードを入手する手法です。
そういった情報が記載された資料はシュレッダーにかけている企業も多いとは思いますが、シュレッダーにかけられた資料が復元されたケースもあるので注意が必要です。(FBIモノのドラマでもやっていました)
■対策
- 高性能なシュレッダーで確実に裁断する
- 信頼できる外部業者を通じて破棄する
会話
公共の場での会話を盗み聞きする手法の他、サービス利用者を成りすましてネットワーク管理者にパスワードを確認したり、逆に管理者に成りすまして利用者にパスワードを確認する手法もあります。
■対策
- 公共の場で、重要な内容について話さない
- 「電話ではパスワードなどの重要な情報を話さない」などのルール策定
おわりに
ここまで、色々な攻撃手法についてお伝えしてきました。
インターネット上でサービスを展開されていたり、HPを持っている企業様であれば、現状のセキュリティ対策の状況をシステム担当の方やベンダーに確認してみてください。
ご紹介してきた話が何かしらの形で役に立つこと、もとい読まれた方の周りでセキュリティに関連する問題が何も起きないことをお祈りしています。
GIPHY App Key not set. Please check settings