インターネット以前から存在した「DDoS的なもの」――DDoS攻撃の本質と対策を考える：DDoS攻撃クロニクル（1）（2/2 ページ）

[新村信（アカマイ・テクノロジーズ），＠IT]

「負荷発生サイト」の登場とDDoS攻撃への悪用

　2014年9月、警視庁サイバー犯罪対策課は熊本在住の高校生をオンラインゲームサイトに対してDDoS攻撃を仕掛けた容疑により書類送検した。犯行の動機は「ゲーム会社のゲームの運営方法に対する不満」だった。

　驚くべきは、犯行が行われた時この生徒がまだ中学生であったこと、海外の「負荷発生サイト」を数百円という低料金で悪用して攻撃を加えたこと、そして攻撃を受けたゲーム会社の損害額が1億7000万円に及んだことであろう。負荷発生サイトの存在を知っているという予備知識と少しのお金があれば、これだけの打撃を加えることができるという象徴的な事件である。

　犯行に使用された負荷発生サイトは、もともとはコンピュータシステムの開発工程で不可欠な「負荷テスト」において必要な大量の負荷を発生させるためのものであり、その目的に沿って正しく利用されることを前提としたサービスである。アカマイが調べたところでは、類似のサイトが10件程度存在している。このようなサイトを悪用した攻撃の犯人を特定するにはサイト運営者の捜査協力を得る必要があり、犯人の特定は簡単ではない。

DDoS攻撃黎明期――生かされなかった教訓

　攻撃者側のハードルが下がり、誰でもDDoS攻撃を引き起こせるようになったのに対し、攻撃を受け止める側、あるいはインターネットそのものが、このような攻撃に対する防衛策を強化するための取り組みは著しく遅れている。ここでは、インターネットとDDoS攻撃の関係を振り返る上で重要な二つの事件を紹介しよう。

MafiaBoy事件

　世間でDDoS攻撃の存在が広く認知されたのは、2000年2月に発生した「MafiaBoy事件」が契機ではないかと思われる（参考リンク）。これは当時カナダ在住の15歳の少年が、Yahoo!などの米国の著名なサイトをダウンさせた事件である。Webがいよいよビジネスに本格活用され始めたころに起きたこの事件により、当時のWeb運営者は、インターネットは善意だけで成り立っているわけではないことを思い知ったのである。

　あれから約16年が経過したが、DDoS攻撃に対する根本的な防衛方法は開発されていない。運悪く攻撃された企業では被害が発生し、その他の企業は一時的には警戒するものの、徐々に恐怖感を忘れていく。こんなことを繰り返しながら今日の状況に至っている。つまり、16年間何も変わっていないのである。

Morris Worm事件

　また、実はインターネットは、MafiaBoy事件よりもはるかに前、1988年11月にも同じような経験をしている。「Morris Worm事件」である（参考リンク）。当時インターネットは商用利用が解禁される前で、大学や研究機関のコンピュータを結ぶネットワークであり、その主な用途は研究者の情報交換と遠隔地のコンピュータリソースの共有だった。Morris Worm事件は、米コーネル大学の大学院生が興味本位で作った「自分自身を複製する機能を持つプログラム」がネットワークに接続された主要大学のコンピュータにすさまじい速度で増殖し、リソースを食い尽くした結果、コンピュータの機能がまひしてしまったというものだ。

　一般にこの事件は、「史上初のワームの登場」として扱われるが、コンピュータネットワークから見れば、処理し切れない大量の電文がコンピュータ間を飛び交った結果、ネットワークに接続された大半のコンピュータが機能不全に陥ったというDDoS攻撃的側面を持つ。プログラムの開発者にそのような攻撃を行う意図が無かったことや、特定のコンピュータを標的としたわけではないという点は現在のDDoS攻撃とは異なるが、コンピュータネットワークの処理能力をはるかに上回る負荷が発生したために機能不全に陥ったという点はよく似ている。

　この事件を教訓としていれば、このような現象が悪用される可能性があることや、防衛策が必要であることはある程度明確であった。しかし、有効な対策がインターネットそのものにビルトインされることがなかったことは、前述の通りである。

インターネット以前の通信ネットワークにおける経験と対策

　さらに、インターネット以前の通信ネットワークにおいても、DDoS攻撃に似た事象が発生し、通信サービスが機能不全に陥ることがあった。例えば電話ネットワークでは、ある特定地域で地震などの自然災害が発生した際、その地域にいる親戚縁者の安否確認のための通話要求が殺到し、該当地域の電話交換機が過負荷状態に陥ることがある。こうなると、その地域内での通話が全て不可能になってしまう。また、その地域に向かう前段の電話交換機でも処理が滞留し、徐々に処理待ちの要求がネットワーク全体で滞留し始め、やがてネットワーク全体が機能不全に陥ってしまう。

　このような現象は「輻輳（ふくそう）」と呼ばれ、過去実際に発生している。電話会社は輻輳を防ぐため、非常時には被災地向け通話の一定割合を規制し、被災地の電話交換機の正常動作、さらに被災地での重要通信（人命救助や医療、食料輸送に関わるものなど）を確保している。電話会社は、あらかじめ重要通信と一般通信を区別し、輻輳を防ぐ仕組みをネットワークにビルトインしているのだ。

　被災地向けの通話がすぐにビジー音になったり接続できない旨のアナウンスになったりした経験をお持ちの方もいると思うが、これは電話端末が接続した最初の交換機、つまりネットワークの入り口で規制を行うことにより、輻輳を防止しているのである。このように、全体の利益のために一般の個人に我慢を強いる行為は、法律で認められている（電気通信事業法第8条及び電気通信事業法施行規則第55条）。

インターネットでの対策の難しさ

　DDoS攻撃は、いわばインターネット上で輻輳を人為的に引き起こすものである。電話における輻輳対策をインターネットに置き換えるとすれば、「DDoS攻撃の発生を認識し、それに加担している端末を特定し、その通信を規制する」ことにより、電話ネットワークと同等の防衛ができるはずである。

　ところがインターネットでは、このような対策を実施すること自体が非常に困難なのである。その理由は、インターネットの設計思想、インターネットの発展形態に由来しているのだが、この点については、次回以降詳しく解説することにしたい。

著者プロフィル

新村　信（にいむら　まこと）

アカマイ・テクノロジーズ合同会社 最高技術責任者。

早稲田大学理工学部電子通信学科を卒業し、日本電信電話公社（現NTT）に入社。

電話交換機ソフトウェア、ネットワークオペレーションシステムの開発を担当。

ワシントン大学経営大学院留学を経て、SI基盤の研究、開発に従事。

マクロメディア（現アドビシステムズ）にてRIA普及を推進。

2009年にアカマイ・テクノロジーズ入社。2012年より現職。