暗号化されたサービスへの攻撃

2018年4月23日 トム・ビエンコスキー 製品担当ディレクター

セキュリティにおいて暗号化は、最も基本的な手段の一つです。暗号化によって、銀行はオンラインバンキングや資金移動が可能になり、消費者はクレジットカードやデビットカードを使ってネットで買い物ができます。政府機関やヘルスケア事業者のオンラインでのやり取りを保護してくれるものでもあります。しかし、このような暗号化されたサービスがDDoS攻撃の主要な標的になっていることをご存知でしょうか。こうしたサービスは、大量の個人情報や機密情報、金融取引に関するデータにアクセスを可能にします。なりすましやサイバー犯罪者は、暗号化を破ることで大いに楽しんでいるのです。
当社の「ワールドワイド・インフラストラクチャー・セキュリティ・レポート 第13版」(以下WISR)では、暗号化されたサービスへの攻撃が、この数年ますます広がっていると報告されています。一般企業、政府機関、教育機関の回答者の53%が、アプリケーション層の暗号化されたサービスを標的にした攻撃を検知したと回答しています。また42%が、クライアントサーバー認証や安全な通信のためのSSL/TSL (Secure Socket Layer/Transport Layer Security) を標的とした攻撃を経験しています。サービスプロバイダーにおいては、セキュアWebサービス(HTTPS)を標的とした攻撃が、前年の52%から61%へと顕著な増加を示しています。
暗号化されたサービスを標的にしたDDoS攻撃は、以下の4つに分類されます。
攻撃者は高いレベルで暗号化がされた標的をしつこく攻撃します。暗号化されたアプリケーションやサービスを徹底的に破壊することが彼らにとっての成功なのです。セキュアWebサービスへの攻撃が多様化し、広範囲にわたって激化することで、マルチレイヤーの防御態勢がますます必要になります。あらゆるタイプの攻撃を検知・緩和する能力を備えるべきです。
セキュリティ担当部門にとってさらに厄介なことに、攻撃者は自分たちの不正行為を隠すためにSSL/TLSの暗号そのものをよく使います。膨大なトラフィックが検出・調査されることなくインターネット上を行き来しているので、悪意のあるアクターは正規のトラフィックの中に楽々と身を潜め、セキュアなHTTPSサービスに攻撃を仕掛けようとします。そのため、暗号化されたトラフィックをしっかりと調査し、正規のトラフィックを遅くしたり中断したりすることなく信頼性を証明することが、セキュリティにとって重要なカギになります。暗号化はミティゲーションの成功に必ずしも必要ではありませんが、パケットを解読するためのスケーラブルなソリューションへの要求は明らかに高まってきています。
WISRの調査で得られた肯定的な結果の一つは、サービスプロバイダーも一般企業も、高度なDDoS攻撃、特に暗号化サービスを狙った暗号化された攻撃に立ち向かうには、従来のファイアウォールや侵入検知システムでは不十分だと認識しつつあるということです。確かに暗号化は不可欠です。しかし、強い意志を持った高度な攻撃者を阻止するにはあまり当てになりません。セキュアWebサービスの運用では、DDoS攻撃を緩和する効果的な方法として、専用に作られたインテリジェントなDDoSミティゲーションシステム(IDMS)の必要性がますます認識されてきました。常時オンのオンプレミスの防御と、脅威の規模や性質によって自動で作動するクラウドベースのミティゲーションを組み合わせた多層的なアプローチが求められているのです。
DDoS攻撃の最悪の結果の例として、風評被害やブランドダメージがよく挙げられます。消費者が何のためらいもなく日々アクセスしているセキュアなサービスに不正侵入されることほど、組織の評判を傷つけることはありません。組織にとって重要なサービスの完全性と可用性を確保するためには、暗号化以上の手段を講じる必要があります。