【ららいすコラム#3】DDoSってなに?

- Category - コラム

最近FF14やってるとラグを感じる時がありますね。
最近公式にもこんなお知らせがありました。

現在、DDoS攻撃によるネットワーク障害が発生していることを確認しており、この影響により、下記の状況が発生する場合があります。
攻撃手法を確認しつつ対策を行っておりますので、状況に進展があり次第、あらためてお知らせいたします。

結構前もFF14はDDoS攻撃を受けているので、DDoSという言葉自体は知っているという方も多いとは思いますが、
実際どういったものなのか詳しいことは知らない人もいるのではないかと思います。

 

DDoSとは

DDos攻撃とはDoS攻撃の類型の1つです。

まず、DoS(Denial of Service)とは、サービスを提供しているサーバーや、ネットワークなどに対し、
意図的に過剰な負荷をかけたりすることで、サービスを妨害する攻撃になります。

DDoSはそこに Distributed(分散)という言葉をつけたもので、
大量のマシンから一斉にサーバー、ネットワークに負荷をかける攻撃手法になります。

 

と、文字で書いても理解しにくいと思うので、絵で説明します。

攻撃者は直接対象のサーバーを攻撃すると、すぐに犯人だとバレてしまうので、
まずはウイルスなどを用いて、大量の端末を乗っ取ります。

そして、乗っ取った端末に対して、標的のサーバーに対して大量のデータを送信したりする攻撃を指示します。
乗っ取った端末が多ければ多いほど、対象のサーバーにより負荷をかけることができます。

最近ではDRDoS(Reflection Reflective Denial of Service)攻撃という手法もあります。

攻撃者が標的のサーバーになりすましてリクエストを送信し、標的のサーバーに大量のレスポンスを送らせることで
標的のサーバーに負荷を与えるという攻撃手法です。

 

普段、Webサーバーなどの各種サーバーと私達のPC・ゲーム機(クライアント)は、手紙のようなものをやり取りしていると思ってください。
手紙には内容はもちろんのこと、送り元の情報(手紙で言えば差出人の名前や住所)、送付先の情報(宛先の名前や住所)が必ず付加されています。

普段私達がポストに入っている手紙を受け取った時、住所や名前を見て誰からの手紙かを判別しますよね。
そして、必要があればその相手に対して返事を出します。メールも一緒ですね。

ネットのデータのやり取り(パケット)も似たようなことをしているので、
当然差出人の情報を元に返事を返します。ですので、差出人の名前を偽装することができれば、対象のサーバーに対して間接的に
大量のデータを送りつけて負荷をかけることができるのです。

 

もちろん、負荷をかけるのはサーバーに対してだけではありません。
サーバーに対しての攻撃による負荷は優れた防御装置を導入すればある程度防ぐことができますが、
ネットワーク回線に対して負荷をかける攻撃は防御装置だけではどうにもならないことも多いため、
プロバイダ側の協力が必要不可欠になります。

 

どうやって対策するのか

①特定の相手から送られてきた通信をブロックする

原始的な方法ですが、大量のパケットを送付してきている相手さえ特定できれば、
その相手からの通信を遮断することによって、攻撃を防ぐことができます。

しかし、当然攻撃者は乗っ取っている端末から攻撃ができなくなった場合、別の端末を乗っ取って再攻撃してくることもあるため、
あくまで一時的な対策に過ぎません。

また、常に安定した防御態勢を取るには、サーバーへのアクセスをリアルタイムで監視する必要があるため、
コストがかかります。

 

②国外からのアクセスを遮断する。

世界中からサーバーにアクセスできるようにしているということは、それだけ沢山の人からの攻撃を受けるリスクがあるということです。
逆に言えば、国内からのアクセスのみに限定することによって、自身が攻撃されるリスクをある程度減らすことができます。

また、DDoS攻撃自体がやはり海外の端末を経由しているパターンが多いので、
海外からのアクセスを制限するのはかなり重要です。

FF14は世界中に展開されており、日本からでもNAやEUへのデータセンターにアクセスすることができます。
ですので、国内のみアクセス可としているサーバーに比べると、攻撃を受けやすい状態であるということです。

 

③防御装置による防衛

もちろん防御装置を用意することで攻撃を防ぐ手法もあります。
常時防御しておくか、攻撃時のみ防御するかなど、方法は様々です。
常時防御しておくと、リアルタイムに攻撃を防ぐことができる一方、その分通常時の通信に遅延が発生する可能性もあります。
攻撃を検知して防御するタイプの場合、そういった遅延は極力減らすことができますが、
攻撃を検知→防御するまでに少なからず時間がかかります。

どういった相手から狙われるのか、あるいはどういった相手からの攻撃を防ぐのかを見定めて、上手いこと防御装置を構成していかなければなりません。

 

 

犯人は特定できないのか

DDoSは有名な攻撃手段です。何故かと言うと最も効果的で、加害者が特定されにくいからです。

上の図では攻撃者が直接乗っ取った端末に対して指示を出している図でしたが、
下図のように、実際はいくつもの端末を経由した上で標的のサーバーを攻撃しているのが実際です。

ですので、攻撃の大元を特定するのは非常に困難です。
(サーバー側から見れば、自身を直接攻撃してきた相手については情報を得ることができますが、
それよりも前にどの端末を経由してきたのかまでは分かりません)

 

 

いつまで続くのか

攻撃の主な目的は、大体は金銭絡みです。

攻撃をやめて欲しければお金を払え。みたいな感じですね。

お金を払えばいいんじゃない?とも思うかもしれません。
指示に従って金銭を払えば一時的に攻撃は止まるかもしれません。
ですが、大抵そういう相手というのは攻撃者からすれば良い獲物ですので、再度標的にされたり、
あるいは他の金銭目的の個人・団体からも標的にされてしまう可能性もあります。

ただし、攻撃もするのにも一切お金がかからないわけではないです。
DDoSを請負う業者もあったりしますが、当然期間や規模に対してお金がかかってくるので、
主犯の資金が底を尽きるまで凌げば、いずれは攻撃は止まることになります。

 

 

最後に…

話題にもなっていたので、簡単にDDoSについてまとめてみました。
できるだけサーバーへの負荷がかからないように防御を続けていればいずれは攻撃は止まりますので、
それまでの辛抱ですね。

ちなみに、前回のFF14への大規模なDDoSは 2017/10/27~2017/11/27の1ヶ月間行われていたようです。