ときめきの2月「最近、何に注目していますか？」

あっという間にバレンタインシーズンがやってきましたが、皆様ときめきの2月をお過ごしでしょうか？

近年、自分のときめきがめっきり枯渇しているせいか、他のひとが何に注目しているか知りたく、会う人会う人に「最近、何に注目してますか？」とお尋ねしているのですが、この1月は「セキュリティ周りに注目している（注目せざるを得ないよね）」という回答を多くの方からお聞きしました。

企業によっては、セキュリティは喫緊の課題であり、予算組みも緊急で進めているという切羽詰まったお話もあり、ときめきなんて言ってる場合ではなさそうです。

2024年末からニュースでも連日流れていましたが、多くのサービスでインターネットを介する攻撃が多数発生していたのは皆様もご存じかと思います。

例えば、日本航空(JAL)ではネットワークが利用できない状態となったため、搭乗者のチェックインや航空券販売に影響が出たり、りそな銀行、みずほ銀行、三菱UFJ銀行などの金融機関のインターネット取引が突然使えなくなったり、NTTドコモのサービスが利用できなくなったり、日本気象協会の気象予報サービスにアクセスできなくなったりなど、直接生活に影響が出た方もいらっしゃるのではないでしょうか。

https://www.resonabank.co.jp/kinkyukeisai/R20250107174755/R20250107174755.html

https://www.docomo.ne.jp/info/notice/page/250102_03_m.html

https://www.jwa.or.jp/news/2025/01/25120/

JALに関するニュースでは「大量のデータを送り付けられた」という表現が頻繁に見られましたが（JAL自身がそのように発表していたためと思われる）、この表現では何か巨大なサイズデータの攻撃ファイルがドンと送り付けられたようにも見えるため、当初はなにか新型の攻撃かと思われましたが、その後の報道などによりDDoS攻撃であることがわかりました。

JALだけでなく上記に例示したすべての障害については、この古来より（？）伝わる「DDoS(ディードス)攻撃」が原因とみられているのも皆様であればご存じかと思いますが、この大変原始的な攻撃手法が、2025年になっても主要インフラや大企業に打撃を与え続けることができてしまうのはなぜなのか、昨今のDDoS攻撃の流行も併せてご解説したいと思います。

まずDDoS攻撃について考える前には、DoS（Denial of Service）攻撃というものがあります。直訳すると”サービスを受け入れない状態にさせる攻撃”という感じでしょうか。

テレビで人気のタレントが愛用商品を紹介したりすると、放映と同時に商品のECサイトにアクセスが集中しサイトにつながらなくなる、というのは一種のDoS状態です。ただ攻撃として行われるものではないためDoS攻撃とは呼ばれません。

少し技術的な話となりますが、サイトに閲覧者がアクセスすると、ＷＥＢサーバでは閲覧者が要求するデータを渡すという動き（サービス）を行っています。その要求されたデータが静的なＨＴＭＬであれば、サーバはそのデータを渡す単純な作業だけでよいのですが、その要求されたデータがデータベースに情報を取りに行く必要があるもの（例えばログインパスワードが合っているかどうかの確認や、商品在庫の確認など）の場合、ＷＥＢサーバとデータベースサーバの間で照合作業等の複雑な作業が発生します。

そのため、一気に多数の閲覧者が同時にアクセスした場合、サーバでは膨大な作業を捌ききる能力が必要とされることになりますが、サーバの能力は無尽蔵にあるわけではありませんので、要求データを渡すというサービスが受け入れられない状態になってしまいます。

この状態に陥らせることを狙って行う手法がDoS攻撃です。

昔でいうところのF5アタック、つまり単純に短時間に何回も何回も再読み込みを行っていたらサイトが落ちてしまった、なんていうのはこの状態ですね。

それを踏まえてDDoS（Distributed Denial of Service）攻撃では、”Distributed” つまり攻撃元が分散しているため攻撃手が特定しづらいDoS攻撃となっており、この年末年始に起きた上記のトラブルはすべてこの攻撃による影響だといわれてます。

自分の周りでも2024年11月末頃からDDoS攻撃を受けているという報告が複数あがってきており、その調査や対策実施など進めてみたのですが、結果「いままでの対策が効かない」という愕然とした状況であることが見えてきました。

以前であればWAF（Web Application Firewall）などを利用して、攻撃元のIPが分散していてもすべてブロックすれば攻撃を食い止めることができたのですが、現在の攻撃手は世界的に有名なCDNのネットワークからアクセスを試みており、このネットワークからのアクセスを止めてしまうと、正常な閲覧者のアクセスにも影響が出てしまう（正規サイト利用者がアクセスできなくなる）状態になってしまうことが分かりました。

そのため、攻撃元のIPからのアクセスを止めるという旧来の対策を執ることができない状態となっています。

同様に、攻撃手の大元の情報もマスキングできてしまっているため、”同一人物が〇回アクセスしたらブロックせよ”という防御ルールを設定しても有効に稼働しません。

ここ数年、各CDNがWAF機能を世界屈指といわれるまで強化した結果、WEBサービスの提供側がその機能を利用するだけでなく、iPhoneのプライベートリレー機能をはじめ閲覧者側もこの機能を利用してマスキングできるようになりました。

それはつまりWEB提供側も閲覧者側も、どちらも仮面をかぶって悪いことができてしまう無法地帯になりつつある、ともいえます。

一度でもこの被害にあえば、今の無法地帯状態は看過すべきものではなく、すぐにでも止めるべきだと叫びたくなると思います。

しかしこれは技術進歩の過渡期特有のアンビバレンツな感情かもしれません。

今さら「昔に戻しましょ」「いいですよ」と世界の全人口が同意することはあり得ませんし、私たちは現在の状況を嘆くのはやめて、新たな対策を研究しながら前に進んでいくしかないのだと思います。

 - JECCICA記事, お知らせ, その他, コラム, ニュース