[TECH] もしもDDoS攻撃を受けたら

ある日、アノニマスみたいなハクティビストたちによって理不尽なDDoS攻撃をされたときにどうすればいいのか。

昨日は日産自動車のWWWサーバがアノニマスによるDDoS攻撃を食らってサービス停止に追い込まれた。そのニュースを聞いてから、先程のような問答を断続的に考えてるとこ。

日産の場合はAkamaiみたいなCDNを使っているのかと思ったら、そうでもない様子。
どこのISP配下かと思ったら、whoisでもtracerouteでもよくわからない。
どこかのIXに直接接続しているのかもしれない。

日産みたいにグローバルに情報を発信する必要がある場合は難しいけれど、主に国内を対象としている場合には何とかなるかもしれない。
例えば太地町とか。

DDoSの攻撃手法にもよるけれど、TCP SynFloodみたいなTCPポートを大量の接続で潰していくものの場合はFirewallで海外からの接続を捨てちゃえば、国内向けのサービスは継続できそう。幾分か国内からの接続も巻き添えを食らうかもしれないけれど、全滅よりはマシ。

UDP Floodみたいに、コネクションレスなトラフィックを大量に向けられる場合は、攻撃対象がwww.example.co.jpみたいにホストになっている場合には、DNSで海外向けにだけ、www.example.co.jpのAレコードを127.0.0.1にするとかどうかな、と思った。

逆に国内向けのwww.example.co.jpのAレコードだけ別のに変更し、本来のIPアドレスへの経路はblackholeでも作って上位ISPに捨ててもらうとか。

なんとかリフレクション攻撃とかアンプ攻撃みたいなものの場合は、ちょっと思いついてない。
あと、国内からDDoSを食らった場合への対処も思いつかない。
接続している上位プロバイダのサポートに頼るしかないか。

サーバがオンプレではなくてクラウドの場合はどうなのか、対処できるのかという問題もある。クラウド信奉者の素人考えだと、高付加にも耐えられるだけクラウドでスケールアウトすればいいじゃないかとも思えるけれど、たぶんそんだけスケールアウトしたら莫大な料金がかかるんじゃないかな。
CDNだといけるのかもしれないが、契約料金とかよくわからない。
結局、クラウドを使っている場合も、クラウドサービスの会社のサポートに頼るしかない。

クラウドなのかVPSなのかよくわからないけれど、オンプレじゃないサーバがDDoS攻撃を受けた時、サービス提供会社が勝手にサーバをシャットダウンしてくれちゃったりする事例も最近あった。
被害サーバを守る以外に、同じハードやネットを共有する他のサーバが巻き添えにならないようにする意図があった?

それに倣ったのか、「DDoS攻撃を受けた時、攻撃だサービスを停止するんじゃなくて自分の意志でサービスを停止すりゃいい」とばかりに攻撃が止むまでシャットダウンする事例も出始めた。
攻撃者にとっちゃ、どっちに転んでも大成功。

東京五輪のWWWサービスをDDoS攻撃にも耐えられるようにするとしたら、CDNをふんだんに使って世界中にミラーサーバをばら撒いておくくらいか思いつかないな。
たぶんお金もたんまりかかるけど、メインスタジアム建設に1500億円以上もポンと出すくらいだから軽いでしょ。

今、総務省が自治体情報セキュリティクラウドの提言を出し、これまで都道府県・市町村の各自治体が個別に利用していたインターネット向けサービスを、都道府県単位にまとめて一括して管理運用させる方向で動き始めてるらしい。

今まで小さい自治体を相手になんかしていられなかった大手SIerたちは、今回都道府県単位でひとまとめに大きくなる顧客群に色めき立って、各都道府県の情報セキュリティクラウドの受注を獲得しようと動いているんじゃないかな。

弱肉強食、弱者はコバンザメのごとく大手に寄り添っていくしかないIT業界なので、ごっそりと仕事をかっさらわれていく、そういうこともあるかなと思うけれど、心配なのは攻撃を食らった時の影響もひとまとめに大きくなるってこと。

例えば今でこそ、世界中のアノニマスから狙われて攻撃され、たびたびダウンしている太地町のWWWサーバがあるけれど、自治体情報セキュリティクラウドで和歌山県のセキュリティ配下になったとき、和歌山県は世界中のアノニマスからの攻撃に耐えられるのだろうか。太地町が攻撃を受けること、すなわち和歌山県が攻撃を受けることになる。
その時「太地町のWWWサーバにアクセスできないね」ではなく「和歌山県の各自治体のサーバにつながらないね」にならないような対策が必要になってくる。

ただ、総務省の提言は受ける攻撃から守ることというより、侵入されて内部から情報が盗られるということを心配しているのではないかとも思えるので、県全体が落ちても構わないのかもしれない。

まぁ、私が総理大臣なら、そうやって攻撃ポイントをまとめて守るようにするよりも、各自治体に分散したまま、各自治体のセキュリティ関連予算を増やして対処させるけどね。