「現状のDDoS攻撃規模は企業が耐えきれるレベルではない」

今年（2015年）10月から11月にかけて、国内の複数Webサイトが相次いでDDoS攻撃を受けた。

10月10日未明には成田空港と中部国際空港の公式サイトが一時アクセスしづらい状態になり、以降、11月3日に毎日新聞のWebサイト、11月4日に2020年東京五輪・パラリンピック組織委員会の公式サイト、11月10日に「日経電子版」など日本経済新聞社グループが運営する一部Webサイトで同様の障害が発生。本サイトのASCII.jpも10月21日深夜から閲覧不能に陥り、攻撃遮断後の対策を経て28日夕方に復旧を果たした。これら一連の攻撃について、一部ではハッカー集団“アノニマス”の関与も疑われている。

アカマイの観測によれば、DDoS攻撃は毎年おおよそ130％ずつ増加している。Webサイトを守り、DDoSに対抗するにはどうすればよいのか。「その攻撃規模に対抗できるだけのリソースを追加投入してやる」という解も考えられるが、アカマイの製品＆開発担当プレジデント、リック・マッコーネル氏は、現状の攻撃規模を考えると現実的ではないと指摘する。

「最近の攻撃規模は『50Gbps超』が当たり前になりつつある。今年の第2四半期には、240Gbpsの大規模なDDoS攻撃も観測された。ふだん10Gbps程度のアクセスをさばいているWebサイトが、100Gbpsの攻撃トラフィックをさばこうとしても、その差を埋める（回線や機器増強の）追加コストは莫大なものになる」

さらに、たとえリソース追加でサービスを維持できたとしても、攻撃は変わらず企業ネットワークを直撃し続ける。「DDoS攻撃対策製品はオンプレミス型から始まったわけだが、現状の攻撃規模は企業が耐えきれるレベルではない」。マッコーネル氏は、今後は企業インフラへの影響を回避するために、オンプレミス型からクラウド型の対策ソリューションへと移行が進むことを予測する。

「Kona Site Defender」を補完する新オプションが来年登場

アカマイでは、同社のクラウドプラットフォームを基盤としたセキュリティソリューション「Kona Site Defender」を提供しているが（関連記事）、来年の2016年前半にはここに新たなソリューションが3つ加わるという。

1つめは「クライアント レピュテーション」だ。Kona Site Defenderのオプションとして、DDoS攻撃対策とWAF機能を提供する。

世界中のWebトラフィックの15～30％を配信するアカマイのクラウドプラットフォーム「Akamai Intelligent Platform」は、100か国以上、1300超のネットワーク上にある17万5000台以上のエッジサーバーで構成されている。これらのエッジサーバーが蓄積するデータ容量は2PBに及び、攻撃データは毎日10TB、数億件もの疑わしいIPアドレスが解析、処理されている。

クライアント レピュテーションは、その発信元のIPアドレスを「DDoS攻撃」や「脆弱性スキャン」といったタイプ別に分類し、0から10の「リスクスコア」を付けて、防御に活用する機能である。

「スコア付けは、攻撃に関する320億行の項目が格納された『CSIデータベース』を活用する。たとえば、膨大なトラフィックを発生させているIPアドレスが検出されたら、そこが攻撃発信源になることの多い国か、自動化ツールでトラフィックが生成されているかといった項目と照合し、悪意ある攻撃かどうかを総合判定する。その判定に応じて、顧客自身でブロックするかどうかを設定できる」

もう1つは「クライアント インテリジェンス」だ。これは、CSIデータベースの生データにAPI経由でアクセスを提供するオプションだ。顧客独自の評価基準に従ってレピューテションを実施でき、金融機関や行政機関などからのニーズが高いとマッコーネル氏は言う。

Webサイトを嗅ぎまわるボットを制御する新オプションも来年提供

そして3つ目は、「ボットマネージャ」だ。来年の第1四半期に提供開始予定で、すでにベータ版が提供されている。

ここで言う“ボット”とは、多数のWebサイトを自動的に巡回して情報収集を行うプログラムの総称だが、その目的は多様だ。マッコーネル氏によれば、世界のWebサイトは「1日あたり6000万個のボットによる100億以上のリクエストを受けている」が、その目的によっては「好ましいもの」も「排除したいもの」もある。

たとえば、グーグルがサーチエンジンのインデックスを作成するために運用しているボットは、アクセスを受け入れることで自社サイトをグーグルの検索結果に表示させることができる。つまり「好ましいボット」の1つだ。

一方で、競合他社のサイトを巡回し、価格競争に勝つため他社の割引セール情報を自動収集するようなボットもある（「スクレイピングボット」と呼ばれる）。こうしたボットは、ECサイトのほか、ホテルや航空会社などのサービス業にとっては忌々しい存在であり、排除したいものにあたる。

ボットマネージャでは、1200の固有のボット情報から、ポリシー設定に基づいて顧客にとって不要なボットをブロックすることができる。「大半の企業はデフォルトのポリシー設定で十分だが、さらに詳細な調整をすることもできる」とマッコーネル氏は語る。

（→次ページ、2016年はクラウドでエンドポイント保護対策を提供予定）