Slow HTTP攻撃は、DDoS攻撃(分散型サービス拒否攻撃)の一種で、低速な通信を利用してターゲットとなるサーバーのリソースを消耗させ、正常な利用者がアクセスできなくする攻撃手法です。従来のDDoS攻撃が大量のリクエストを短期間で送りつけるのに対し、Slow HTTP攻撃は「ゆっくり」かつ「控えめ」にリクエストを送信することで、検知されにくい特徴を持っています。

本記事では、Slow HTTP攻撃の仕組み、種類、実際のリスク、そして企業が取るべき効果的な対策について詳しく解説します。

SentinelOne 特設サイト
AIによる次世代セキュリティで、ミリ秒で自動防御を実現
AI駆動EDR「SentinelOne」
アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーです。
平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

Slow HTTP攻撃とは

Slow HTTP攻撃は、HTTPプロトコルの特性を悪用することで、サーバーのリソースを枯渇させる攻撃手法です。HTTPリクエストを「ゆっくり」送信することで、サーバー側がリクエストの完了を待ち続けるように仕向け、結果的にサーバーの接続スロットを占有します。この攻撃は、従来のDDoS攻撃に比べて帯域幅の消費が少ないため、ネットワーク監視ツールによる検知が難しいのが特徴です。

📚関連記事:DDoS攻撃で実際に起きた被害事例と対策をわかりやすく解説!

Slow HTTP攻撃は、ターゲットとなるサーバーの接続スロットを過剰に占有し、他のリクエストが処理されない状態を作り出します。この結果、次のような影響が生じます。

  1. サービスの遅延:正規のユーザーがリクエストを送信しても、サーバーが応答できなくなる。
  2. リソースの枯渇:サーバーのCPUやメモリの消耗が激しくなり、システム全体のパフォーマンスが低下。
  3. 業務の中断:eコマースサイトやオンラインサービスの場合、収益に直結するダウンタイムが発生する。

Slow HTTP攻撃の仕組みと種類

🔴Slow HTTP攻撃の動作原理

Slow HTTP攻撃は、HTTPプロトコルの以下の特性を悪用します。

未完了のリクエスト:攻撃者は意図的にリクエストを未完了の状態にし、サーバーの接続を占有します。

接続の維持:HTTPプロトコルでは、リクエストが完了するまで接続を維持する必要があります。

分割されたデータ送信:攻撃者はリクエストデータを小さなチャンクに分けて、非常に遅い速度で送信します。

🔴Slow HTTP攻撃の代表的な種類

Slowloris攻撃
Slowlorisは、ターゲットサーバーに対して部分的なHTTPヘッダーを送信し続ける攻撃です。サーバーは完全なヘッダーを受信するまで接続を維持するため、多くの接続スロットが占有されます。この攻撃は特に、Apacheのようなスレッドベースのサーバーで効果を発揮します。

Slow POST攻撃
Slow POST攻撃では、HTTPリクエストの本文を非常に低速で送信します。これにより、サーバーはリクエストの完了を待ち続け、リソースが枯渇します。

Slow Read攻撃
Slow Read攻撃は、サーバーから送信されたデータを非常に低速で読み取ることで、サーバーの応答時間を延ばします。この攻撃は、TCPウィンドウサイズを小さく設定することで実行されます。

Slow HTTP攻撃のリスクと影響

⚠️サービス停止のリスク

Slow HTTP攻撃は、サーバーの接続スロットを埋め尽くすため、新規接続を受け付けられなくなります。この結果、オンラインサービスの停止や顧客満足度の低下、さらには収益の減少に繋がる可能性があります。

⚠️検知の難しさ

従来のDDoS攻撃とは異なり、Slow HTTP攻撃は低帯域幅で実行されるため、ネットワークモニタリングツールでは異常として検知されにくい特徴があります。このため、攻撃が長期間続いても気づかれない場合があります。

⚠️業務継続性への影響

特に、金融機関やeコマース企業など、常時稼働が求められるサービスにおいて、Slow HTTP攻撃は重大なリスクとなります。サービス停止による損害は金銭的な損失だけでなく、ブランドイメージの低下や顧客離れにも繋がります。

Slow HTTP攻撃への対策

レート制限の導入

サーバーに対する接続リクエストの数や速度を制限することで、Slow HTTP攻撃の影響を軽減できます。具体的には、IPアドレスごとの接続数やリクエスト速度をモニタリングし、一定の閾値を超えた場合に接続を遮断する方法が有効です。

アプリケーションファイアウォールの活用

WAF(Web Application Firewall)は、Slow HTTP攻撃を特定し、ブロックするための重要なツールです。WAFは、リクエストの異常な遅延やサイズの小さいデータパケットを監視し、不正なアクセスをリアルタイムで遮断します。

タイムアウト設定の最適化

サーバーのタイムアウト値を適切に設定することで、未完了のリクエストを早期に切断できます。これにより、サーバーの接続スロットを有効に活用し、リソースの浪費を防ぎます。

CDNの活用

CDN(Content Delivery Network)は、リクエストを分散処理することで、サーバーへの負荷を軽減します。また、CDNのセキュリティ機能を利用することで、Slow HTTP攻撃を事前に防ぐことも可能です。

サイバー攻撃対策をするなら

未知の攻撃にも対応できるセキュリティツールの導入

サイバー攻撃に対処するためには、最新のセキュリティツールの導入が不可欠です。特に、ランサムウェアやゼロデイ攻撃に対しては、従来のウイルス対策ソフトでは不十分であり、AIを活用したEDR(Endpoint Detection and Response)や次世代ファイアウォールの導入が効果的です。これらのツールは、未知の脅威にも迅速に対応でき、攻撃が発生する前にシステムを保護することが可能です。

SentinelOne 特設サイト
AIによる次世代セキュリティで、ミリ秒で自動防御を実現
AI駆動EDR「SentinelOne」
アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーです。
平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

セキュリティについて従業員教育を行う

サイバー攻撃対策を効果的に実行するためには、技術的なツールの導入だけでなく、従業員一人ひとりのセキュリティ意識を高めることも重要です。多くのサイバー攻撃は、従業員の不注意や不正な操作によって引き起こされるケースが少なくありません。特に、フィッシングメールや悪意のあるリンクをクリックしてしまうことによる情報漏えいは防止可能なものです。定期的なセキュリティ研修やシミュレーションを行うことで、従業員が最新の攻撃手法を理解し、適切な対応を取れるようになります。

セキュリティ対策のガイドラインを策定する

効果的なセキュリティ対策を実施するためには、企業ごとに具体的なセキュリティガイドラインを策定することが求められます。このガイドラインでは、データの取扱い方法、アクセス権の設定、アプリケーションの使用制限など、業務に関連するセキュリティポリシーを明確に定義します。従業員が守るべきセキュリティ基準を文書化することで、全員が一貫したセキュリティ対策を実施できる環境を構築します。

また、ガイドラインを定期的に見直し、最新のサイバー攻撃手法に対応するために必要な変更を加えることも重要です。企業の業務内容や使用する技術の変化に応じて、適切にセキュリティポリシーを更新することで、サイバー攻撃に対する防御力を維持できます。

SentinelOneに関する詳細は下記バナーから特設サイトへ

Sentinelone