[eWEEK] 巨大ネットワークが世界を滅ぼす

2003/4/3
Dennis Fisher

 24時間以内に1万8000台のコンピュータが結合され、仮想のマシン軍隊が新しく着任する将軍の命令を待つ――。ヒトゲノムの配列計算や地球外生物が送信する電波の検索支援など、今後コンピュータには、膨大な処理能力がもたらされる素晴らしい可能性がある。

 しかし、このようなマシン群は、コントロールする人間によっては、まったく異なる種類の目的で使用されることもある。つまり、大規模なDDoS(分散DoS)攻撃やインターネット上の重要な接続ポイント、バックボーンルータに対する複数の小規模攻撃を行う武器にもなり得るのだ。

 その結果どうなるか。マシンを瞬時に動作不能にする巨大な情報の津波がターゲットに襲いかかることになる。膨大な情報の中から必要な情報だけを識別し、ほかを排除しようと技術者やエンジニアが苦戦したとしても結局、下流のISPやエンドユーザーは突然、通信の遮断という悲惨な目にあうだろう。

 悪質なパケットが送られ続けると、グローバルネットワークにおける複数セグメント中のトラフィックは急速に速度が低下する。サービスが普通の状態に回復し、専門家がダメージの評価と原因究明に乗り出すまでに当然、数時間はかかる。

 セキュリティ関連ベンダの上層部(マーケティング担当)が営業戦略の一環として作り上げたようなこの「世界終末論」とも言うべき恐るべきシナリオは、しかし、残念ながら事実なのだ。ある専門家によると、状況はここまでの話より「はるかに悪いかもしれない」と言う。厳しい現実である。

 もちろん、ベンダ各社は自分たちの役割を果たそうと頑張っている。米Arbor Networksなどのセキュリティベンダも、下流のネットワークやユーザーに攻撃の影響が絶対に及ばないよう、サービス・プロバイダのレベルでDDoS攻撃を検知して抑え込む洗練された防御機能を持つアプリケーションを投入している。

 だが、これらの新しい防御機能があっても、セキュリティに対するエンドユーザーや管理者の考え方を大転換させなければ、DDoS問題を完全に解決することはできないとする専門家もいる。

 ダートマス大学(ニューハンプシャー州ハノーファー)にあるInstitute for Security Technology Studiesのシニア・セキュリティ・エキスパート George Bakos氏は、「ユーザーに対するセキュリティやPCの使用法の教え方を根本的に変える必要がある。われわれは今後も繰り返しこのような攻撃を受けることになる。うまくすれば間違えを何度も繰り返さずに済むだろうが、おそらくは繰り返すことになるだろうな」と語った。

 政府機関の専門家、民間のセキュリティ企業、そして大学は、さまざまな巨大ネットワークを監視している。アタッカーは、IRC(Internet Relay Chat)経由でマシンをリモートコントロールできる攻撃プログラム「ボット(bots)」を侵入させ、ネットワークを窮地に陥れることができるのだ。つまり、数百台から数千台におよぶ接続されたマシン群が、一斉にターゲットめがけてDDoS攻撃を仕掛ける可能性を持っている。

 カリフォルニア州アズサにあるアズサ・パシフィック大学 Web/情報技術学助教授のBill McCarty氏によると、同氏が使うWindows 2000の「ハニーポット」マシンは、ここ数週間のうちに複数のボットネットワーク(「ボットネット」)へ登録されてしまったという(「ハニーポット」は、セキュリティ専門家が、悪質なハッカーの行動や手法の観察を目的に防御手段を持たせずにインターネットに接続しているマシン)。これらのネットワークの中には、24時間で1万8000台以上のPCを集めたものもあった。一方、ペンシルバニア州ピッツバーグにあるCERT Coordination Centerの関係者は、すでに大きなボットネットのいくつかを確認しており、中には2003年3月初旬に14万台以上のマシンを集めたものがあったという。

 これだけの規模のネットワークから1カ所のターゲット(特に規模の小さい政府機関や企業)に攻撃が行われれば、壊滅的なダメージが発生するだろう。対策や警戒に全く怠(おこた)りのないセキュリティ・スタッフでも、これほど悪質なトラフィックには対処し切れない。

 Arbor Networksは、ISPや電話会社をこのような攻撃から守るべく、「Peakflow」というDDoS対抗ソフトウェアの新バージョンを発売した。この「Peakflow SP」は、セキュリティ・スタッフがDDoS攻撃との数年間に及ぶ戦いの中から開発した技術を結集したもの。ブラックホール・ルーティングとスキンホール・ルーティングという頻繁に利用される2つの対抗技術を両方サポートした点が新たな特徴だろう。

 ブラックホール・ルーティングを使えば、管理者が悪質なトラフィックをすべてnull IPアドレスに転送したり、排除したりできるようになる。スキンホール・ルーティングもこれと同様だが、トラフィックの転送先のIPアドレスで調査することができる点が異なる。これらはどちらもエンタープライズレベルの管理者が頻繁に利用するテクニックだが、悪質なトラフィックが顧客のネットワークまで到達できないようにするために、ISPが使えば一段と効果が上がるだろう。

 すべてとまではいかないが、どこのISPでもある程度のDDoSトラフィックは事実上、ネットワークに流れている。このことは帯域幅や顧客への迷惑という意味で負担になっているが、フィルタリングやルーティング防御機能の多くは、正当なトラフィックも検知してしまう。そこでサービスプロバイダは悩んでいる。

 Arbor Networksのチーフストラテジスト、Ted Julian氏は、「サービスプロバイダが無能だというわけではない。彼らはネットワークを抱え、顧客の利益と直接衝突する問題が山積みになっているだけだ」と語った。だがセキュリティ協会のBakos氏によると、DDoS攻撃の削減や停止にはエンドユーザーからサービスプロバイダまで全員の協力が欠かせないのだという。

[英文記事]
Thwarting the Zombies

[関連記事]
社会インフラとしてのインターネット、セキュリティ確保のために (@ITNews)
不正侵入検知をもっとセキュリティのメジャー分野にしたい (@ITNews)
SQLスラマーが大流行、その時MS社内は? (@ITNews)
次なるDDos攻撃に向け準備を整えるITチーム (@ITNews)

Copyright(c) eWEEK USA 2002, All rights reserved.

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)