DDoS攻撃は非常に簡単に実行できてしまうサイバー攻撃の一種。毎年何百万ものウェブサイトが標的となり、その数は増加の一途を辿っています。
オンラインで活動する以上、DDoS攻撃の存在は無視できません。またサイトへのアクセス数が増えれば増えるほど、攻撃の標的になる可能性が高くなります。しかし、適切な策を講じることで、DDoS攻撃の被害に遭う可能性を軽減することができます。
この記事では、DDoS攻撃の概要をご説明し、サイトを危険に晒す可能性のある要素、また効果的にDDoS対策を講じる方法をご紹介します。
DDoS攻撃とは
DDoSは「分散サービス拒否」(Distributed Denial of Service)を意味し、短期間に大量のリクエストを送信することでサイトを圧倒し、クラッシュさせる攻撃です。「分散(Distributed)」は複数の場所から同時に発生することを意味し、一箇所で発生するDoSとの対比表現になっています。
サイトがDDoS攻撃を受けると、数分から数時間の間に複数のソースから数千ものリクエストを受け取ります。これはサイトのトラフィックが急増したわけではなく、自動化されたリクエストが攻撃の規模に応じて、特定の複数のソースから送信されます。
以下のグラフは、DDoS攻撃の標的となったサイトが受信したリクエストの急増を示しています。
DDoS攻撃はハッキングと異なりますが、関連性がないとは限りません。悪意あるユーザーは、サイトファイルの盗用や管理画面への侵入ではなく、リクエストの急増によりサイトがクラッシュしたり脆弱になったりすることを目的にDDoS攻撃を仕掛けます。脆弱性が発生した際にハッキングが試行されることもありますが、基本的な目的は単にサイトの機能を停止することにあります。
ここまで聞くと、DDoS攻撃を回避する方法はないように思えます。実際、何者かがリクエストを大量に送信することを決めれば、それを予測して阻止することは不可能です。
しかし、万が一攻撃を受けてもサイトがダウンせず、ハッキングに対しても脆弱にならない状態を維持する策はあります。
この詳しい手順は後ほどご紹介します。続いてはDDoS攻撃の目的をご紹介します。
DDoS攻撃の目的
WordPressサイトはなぜDDoS攻撃の標的になるのか、また攻撃者にはどのようなメリットがあるのかという点も気になるところ。
DDoS攻撃の目的は多数あります。以下いくつか一般的なものをご紹介します。
競合他社によるDDoS攻撃
いかなる競合も、コンテンツ、SEO、 コンバージョン率を改善することで、オンラインプレゼンスを高めようと努力するのが本来のあるべき姿。
しかし中には、競合他社にDDoS攻撃を仕掛けるために誰かを雇うという「極端な対策」を講じる企業も。これはサイトだけでなくビジネスに直接悪影響を与えます。
サイトが復帰し、再び機能するようになるまでの間、(特にビジネス名をキーワードとした)広告を掲載している場合、攻撃を仕掛けた競合に潜在顧客を奪われてしまう可能性があります。サイトが復旧するのに時間がかかれば、検索エンジンの表示順位が下がり、競合サイトに抜かれてしまうかもしれません。
誰がDDoS攻撃を実行したかを証明することは不可能に近く、もちろん競合他社のIPアドレスが割り出されることもありません。金銭的によほどの余裕がない限り、攻撃者と思われる企業に対して法的措置を取るのは難しいところです。
また、攻撃による影響からサイトとビジネスを守る方がはるかに重要です(対抗してDDoS攻撃を仕掛けるというのはもっての外)。
配信コンテンツが原因のDDoS攻撃
コンテンツの性質上、DDoS攻撃の標的になるサイトもあります。
例えば、内部告発サイトや論争の的となっている問題(中絶、反人種差別など)を扱うサイトでは、強い反発を抱くユーザーによってDDoS攻撃の被害にあうことがあります。または、コンテンツが商業的であるものの、繊細なテーマを扱っている場合も同様です。
サイトが攻撃を受けると、コンテンツの配信が停止し、利用者が情報にアクセスできなくなるなどの問題が発生します。
また、問題の解決に時間を費やしている間、得られたはずの収益も失われます(販売の減少、非営利団体であれば寄付など)。サイトが数時間または数日間、502エラーを返し続けると、検索エンジンでの表示順位も低下する可能性があります。
政治的な動機を持つDDoS攻撃
サイバー攻撃が頻繁に政治を混乱させるために利用されている昨今、政治的動機によるDDoS攻撃が増加傾向にあります。
政党、候補者または政治組織のサイト、あるいは特定の政治的信念を推進しているサイトは、それに反対するユーザーからの攻撃に対して脆弱である可能性があります。
また、政治的な対立者が必ずしも攻撃を仕掛けるとは限りません。政治的議論を乱し、特定の種類のコンテンツをブロックしてユーザーの間に混乱を招き、権利の剥奪を目論む外部のソースからもたらされていることも考えられます。
ユーザーがコンテンツにアクセスできないようにする(上記で触れた通り)ことが目的である可能性もあれば、サイトの背後にいる個々の候補者や組織に対するより個人的な攻撃かもしれません。
なお、これはトレンドに応じた訪問者数の急増によってサイトに過負荷がかかるシナリオとは異なります。特にオンラインキャンペーンに力をいれる選挙立候補者のサイトなどでは、予測をはるかに上回るトラフィックが流入することは十分にあり得ます。
DDoS攻撃は瞬発的に発生するもので、数分の間に大量のリクエストを受信するというのが特徴で、自然なトラフィック急増の流れとは異なります。後者は、急激にアクセスが増えても、ピークを超えるとガクンと下がるのではなく、曲線を描きながら落ち着いていくものです。
キャンペーンを実施中であれば、それによりサイトが脆弱になっている可能性もあるため、サイトの運営を存続し、攻撃への対処に時間を無駄にしないことが特に重要です。この記事の後半でご紹介する対策を講じて、サイトをしっかり保護しましょう。
DDoS攻撃による被害
DDoS攻撃によってもたらされる被害も多岐に渡ります。
1. ウェブサイトのダウン
まず明らかな被害としては、ウェブサイトにアクセスできない状態になること。
つまり、ウェブサイトを中心としたビジネスを経営している場合、サイトが再び機能するまで顧客やユーザーが利用できないことから、評判に傷がついてしまいます。また、サイトをすぐに復旧できなければ、SEOにも悪影響を与える可能性があります(Googleがサイトをクロールし、サイトが機能していないことを検出するため)。
過負荷によりサイトがダウンすると「502 bad gateway」エラーが表示され、この状態が長く続けば検索順位が低下します。
サイトが数日間利用できない状態になった事例(解決方法がわからずバックアップも作成していなかったことが原因)もあり、最終的には復旧できたものの、Googleで表示されていないサイトの内部リンクはすべて失われる結果となりました。
2. ホスティングに関する問題
サイトが定期的に攻撃の対象となり、これに対して緩和策を講じていない場合、ホスティングサービスに関する問題につながる可能性もあります。
優れたホスティングサービスは、DDoS攻撃からサイトを保護するための機能やツールを提供していますが、共用サーバーなどの安価なレンタルサーバーを利用している場合、攻撃による被害は同じサーバー上にある他のサイトにも及ぶ可能性があります。自分のサイトで受けた攻撃が他の利用者に波及すると、ホスティング会社がサイトを停止したり、高額な追加料金を請求したりするかもしれません。
3. ウェブサイトの脆弱性
DDoS攻撃の際には、すべてのシステムがサイトをオンラインで正常に稼働させることに集中します。これにより、 サイトがハッキングに対してより脆弱になり、攻撃によりセキュリティシステムが機能しなくなる恐れもあります。
DDoS攻撃がサイトを「麻痺」させると、悪意あるユーザーがバックドアを介してサイトに侵入する可能性があります。
このようなさらなる攻撃は、DDoS攻撃のリクエストと同じソースから送信されるとは限りません。狡猾なハッカーは、トラックを非表示にする方法、複数のIPアドレスを使用してサイトを攻撃する方法、そして位置情報を隠す方法を心得ているものです。
したがって、DDoS攻撃の被害に遭ってしまった場合は、 WordPressサイトのセキュリティを確保することが最優先事項の一つになります。「サイトをとりあえずの状態で稼働させる」よりも確実に重要です。これは、別の攻撃を受けてすぐに元の(またはさらに悪い)状態に陥る危険性があるためです。
4. 時間とお金の消費
DDoS攻撃の標的となったサイトに復旧には、時間そしてお金がかかることがあります。
サイトに何が起きているのかわからず、攻撃の可能性に対する備えがない場合には、サイトをゼロから再構築する必要性が生じることも。サイトのバックアップがなければ、 復元できるデータがありません。また再三ですが、復旧に時間がかかれば、SEOとビジネスパフォーマンスへの長期的な打撃が心配されます。
サイトがダウンしている間は、収益を失うことになります(特にオンラインストア)。また、サイトを再構築して今後起こり得る攻撃に確実に備えるため、セキュリティ担当者やウェブ開発者を雇用し、人件費がかかるかもしれません。
これらはすべて、DDoS攻撃からサイトを保護することがいかに重要であるかを物語っています。備えあれば憂いなし。DDoS攻撃による被害を心配する必要がなくなります。
DDoS攻撃に対して脆弱になる原因
サイトの中には、DDoS攻撃に対して特に脆弱なものがあります。脆弱な要素があると、一度だけでなく何度も攻撃を受ける可能性が高まります。以下、DDoS攻撃に対して脆弱になる原因をいくつか見てみましょう。
格安レンタルサーバー
DDoS攻撃に対してサイトが脆弱になる最初の原因は、格安レンタルサーバーです。
安価なレンタルサーバーの欠点は、サポートの欠如と利用者数にあります。
プランを格安で提供するため、同じサーバーを多数の利用者を割り当てているため、同じサーバー上の他のサイトが攻撃を受けると、自分のサイトにも被害が及ぶ可能性があります。
格安レンタルサーバーは、DDoS攻撃に対するセキュリティ強化策を講じておらず、問題の発生時にも通知などもなく、サイトがダウンしても復旧を支援するサポートも提供していません。また、通常定期的なバックアップ機能もないため、サイトの復元サポートもありません。
ウェブサイトを介してビジネスや事業を運営している場合は特に、質の高いホスティングサービスには投資する価値があります。サイトが攻撃されても、復旧に時間を費やす必要がなく、被害を心配する必要がなくなるとなればなおさらです。
DDoS攻撃対策の欠如
DDoS攻撃の発生そのものを未然に防ぐことはできませんが、事前に備えておくことで、攻撃を受けた際に被害を最小限に抑えることができます。
まずは、潜在的な攻撃に対するセキュリティ強化策を講じることで、攻撃を受けてもサイトの稼働を維持できる可能性が高まります。
DDoS攻撃への対抗方法を理解しておくことも有益です。サイトが攻撃されてダウンしたとしても、より素早くサイトを復旧することができます。
セキュリティソフトウェアをインストールするか、ホスティングサービスが提供するセキュリティに関する通知をオンにしておくと、サイトが攻撃を受けた際にすぐに警告が送信され、即座に措置を取ることができます。
また、サイトを定期的にバックアップすることで、復元が必要になる緊急事態にも備えることができます。
サイトを最新の状態に保つことでも安全性が高まり、サイトを再構築する必要が生じた際にも問題が発生する可能性が下がります。
安全でないまたは古くなったコード
WordPressのバージョン、テーマ、プラグインを最新の状態に保っても、DDoS攻撃に対する守りを固められたとは言えません。
サイトが攻撃を受け、ハッカーがサイトの弱点の現出を利用して不正アクセスを試みたとします。その際、サイトが適切に管理されていれば、ハッキング可能性を大幅に低減することができます。
予防措置としては、サイトを常に最新の状態に保つこと、そして信頼できる開発元でプラグインとテーマを入手することが挙げられます。WordPressのテーマおよびプラグインディレクトリは、信頼ある開発者によって構築された無料のテーマとプラグインを見つけるのに最善の場所です。ホスティングとの非互換性を引き起こす可能性のあるコードをインストールしないように注意し、違法配布されているテーマやプラグインは使用しないことを心がけてください。
DDoS攻撃からサイトを保護する方法
それでは、ここからはDDoS攻撃からサイトを効果的に保護する方法をご紹介していきます。
これにはさまざまな方法がありますが、設定や予算、好みによって異なります。実現可能なものを選んで実践してみてください。
優れたホスティングプロバイダーを利用する
例えば、KinstaのWordPress専用マネージドホスティングには、DDoS攻撃の標的となる可能性を減らす数々の機能が付帯しています。
すべてのサイトは、組み込みのDDoS対策を備えた安全なファイアウォールをはじめとするCloudflare統合によって保護され、さらなる保護のため、厳格なソフトウェアベースの制限を採用しています。これにより、DDoS攻撃の突破がより困難になります。
DDoS攻撃が実行された場合のもう一つの保護策として、IPジオロケーション機能も用意しています。DDoS攻撃が検出されるとすぐに警告が送信され、 位置情報を利用したトラフィック拒否で、DDoS攻撃が発生している地域をブロックします。
攻撃が発生している地域を安全にブロックすることで、その地域のIPアドレスはサイトにリクエストを送信できなくなります。
また、MyKinstaの「IP制限」画面でIPアドレスを個別にブロックすることも可能です。
とはいえ、ホスティングサービスがどれほど優れていても、DDoS攻撃に対する完全な保護を実現することはできません。ホスティングサービスが提供してくれるのは、堅牢なファイアウォール。これにより攻撃の可能性を低減することはできますが、完全に排除することはできません。またIPブロックなど、DDoS攻撃を受けた際に停止するためのツールも用意されています。
逆に言えば、「DDoS攻撃を完全に排除」などと謳うホスティングサービスは信頼性に欠けることを意味します。あらゆる策を講じても、ホスティングサービスがDDoS攻撃を完全に阻止することはできないということは念頭に置いてください。
DDoS攻撃から完全にサイトを守るのであれば、巨大なネットワーク(世界中の他のサイトへの攻撃に関する情報のデータベースを持つもの)を使用して攻撃を予測し、攻撃元のIPをブロックする必要があります。以下、代表的なサービスをいくつかご紹介します。
Cloudflare
Cloudflareは、特に人気の高いコンテンツ配信ネットワーク(CDN)の提供元として知られ、攻撃やハッキングに対する保護機能も充実しています。その膨大な規模で、DDoS攻撃元に関する情報にアクセスし、さらに必要があれば、ネットワーク上のすべての特定のIPアドレスをブロックします。
Cloudflareのクラウドベースのネットワークは常に稼働し、進化を続けているため、潜在的な攻撃を把握して24時間365日、好ましくないトラフィックがサイトに訪れることを阻止できます。コントロールパネルを利用してDDoS攻撃を監視、回避しながら、サイトの脆弱性を理解することができます。
Sucuri
Sucuriは、ハッキング後にサイトをクリーンアップし、再発を防ぐサービスを提供しており、DDoSに対する保護も含まれます。
Sucuriは非常に大規模なサービスであり、40万人を超える顧客ネットワークを抱えているため、Cloudflare同様、攻撃に対する包括的なデータベースを持っています。該当するIPアドレスは、各サイトでブロックされます。
Sucuriのネットワーク規模はCloudflareほどではありませんが、高度なセキュリティ機能と監視が必要であれば、検討する価値があります。サイトのダウン、攻撃、ハッキングなどを監視し、発生時にはあらゆるハッキングを修正してくれます。
DDoS攻撃によってWordPressサイトが脆弱になり、結果としてハッキングの被害に遭うといったシナリオでは、できる限り高速にサイトを復旧し再稼働することができます。
まとめ
DDoS攻撃は一般的なサイバー攻撃の一種であり、最悪の場合には数十億ドル相当の損害をもたらす可能性すらあります。
サイトへのトラフィックは制御できないことから、DDoS攻撃からサイトを完全に保護することは不可能です。しかし、CloudflareやSucuriなどのサービスを利用し、格安レンタルサーバーを避け、DDoS攻撃の発生時に備えておくことで、被害を受ける可能性を最小限に下げることができます。
コメントを残す