インターネットの普及とともに、サイバーセキュリティは今や無視できない課題となっています。
SYNフラッド攻撃は、サーバーの通信プロセスに悪意を持って介入し、サービスの提供を妨害するもので、一見すると単なる通信過負荷に見えますが、その背後には攻撃者の計算された意図があります。
この記事では、SYNフラッド攻撃の仕組みとそれに対抗するための対策を解説していきます。
SYNフラッド攻撃とは
SYNフラッド攻撃はインターネットの基礎となる通信プロトコルの一つ、TCP/IPを悪用したDDoS(分散型サービス拒否)攻撃の一形態です。この攻撃は、サーバーに対して正常な通信の確立プロセスである3ウェイ・ハンドシェイクを利用して不正に介入し、サービスを停止させることを目的としています。
SYNフラッド攻撃では、攻撃者が大量のSYNパケット(接続要求)を標的となるサーバーに送ります。通常、サーバーはSYNパケットを受け取ると、SYN/ACKパケット(接続受諾の応答)を返し、クライアントがACKパケット(応答確認)を送ることで通信が確立されます。しかし、攻撃の場合、ACKパケットが送られることはありません。結果、サーバーは無駄な通信セッションを保持し続けることになり、リソースが枯渇して正常なサービス提供ができなくなります。
SYNフラッド攻撃の特徴
SYNを送り続ける
攻撃者はSYNパケットをひたすら送り続け、サーバーのリソースを消費させることでサービスを停止させます。この一連の攻撃は自動化されたツールやボットネットを利用して行われることが多く、その規模は大きくなりがちです。
3ウェイ・ハンドシェイク
TCP/IP通信の基本である3ウェイ・ハンドシェイクは、通信の確立に不可欠です。SYNフラッド攻撃はこの手続きを悪用し、通信を成立させずにサーバーのリソースを無駄に消費させることで、サービスを停止に追い込みます。
SYNフラッド攻撃とUDPフラッド攻撃の主な違い
- プロトコルの違い: SYNフラッドはTCP接続の確立プロセスを悪用しますが、UDPフラッドは接続を確立せずにデータを送信するUDPによる攻撃です。
- 攻撃の影響: SYNフラッドはサーバーの接続待機キューを満たしてサービスを停止させますが、UDPフラッドはネットワークの帯域幅を消費してサービスを遅延させるか利用不可能にします。
- 対象となるサービス: SYNフラッドはWebサーバーなどTCPを利用するサービスに対して効果的ですが、UDPフラッドはDNSやVoIP、オンラインゲームなどUDPを利用するサービスを対象とします。
SYNフラッド攻撃により想定される被害
SYNフラッド攻撃による被害は、WebサーバーやWebサービスの停止に留まらず、企業の信頼失墜やECサイトの場合は売上減少など、深刻な経済的損失を引き起こします。
SYNフラッド対策方法
SYNフラッド攻撃への防御機能のあるOSを利用
攻撃に対抗するため、防御機能を持つOSの選定や設定の確認が重要です。また、ネットワーク上で不正侵入を検知するNIDSの利用も効果的です。
同じIPアドレスからの通信を制限する
攻撃の多くは特定のIPアドレスから行われるため、そのIPアドレスからのアクセス数を制限することで攻撃を防ぐことができます。
海外からのアクセスを制限する
サービスの対象地域に応じて、海外からのアクセスを制限することも一つの対策となり得ます。サイバー犯罪者は特定の国や地域からの攻撃が多いため、この対策によって無実のユーザーのアクセスを制限することなく攻撃を減らすことが可能です。
WAFの導入
Webアプリケーションファイアウォール(WAF)の導入により、SYNフラッド攻撃を含む様々なWeb攻撃から保護することができます。特にクラウド型WAFは導入が容易で、リアルタイムでの攻撃対策が可能であり、最新の攻撃パターンに対しても自動的に更新されるため、常に高いレベルのセキュリティを維持できます。
まとめ
SYNフラッド攻撃はTCP/IPプロトコルの脆弱性を悪用したサイバー攻撃であり、企業にとって重大な脅威となり得ます。攻撃の検知と対策は複雑ですが、技術的対策と運用の最適化を通じて、効果的に攻撃を防ぎ、サービスを保護することが重要です。Webサービス提供者は、サイバーセキュリティ対策を継続的に見直し、更新することで攻撃者にとっての攻撃コストを高め、攻撃のハードルを上げることが求められます。
アクトのサイバーセキュリティ対策支援
アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne、Cybereason)のおまかせ運用を実現します。
アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。
また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。