情報処理安全確保支援士試験 令和6年度 春期 午前Ⅱ 問5
【出典:情報処理安全確保支援士試験 令和6年度 春期 午前Ⅱ(一部、加工あり)】
送信元IPアドレスがA、送信元ポート番号が80/tcp、宛先IPアドレスがホストに割り振られていない未使用のIPアドレスであるSYN/ACKパケットを大量に観測した場合、推定できる攻撃はどれか。
ア IPアドレスAを攻撃先とするサービス妨害攻撃
イ IPアドレスAを攻撃先とするパスワードリスト攻撃
ウ IPアドレスAを攻撃元とするサービス妨害攻撃
エ IPアドレスAを攻撃元とするパスワードリスト攻撃
セキュリティ分野は広大ですが、今回は特に重要な攻撃手法の一つである「SYNリフレクション攻撃」、あるいは「SYNフラッド攻撃」について、基礎から応用まで深掘りしていきましょう。この知識は、試験対策だけでなく、実際のネットワーク運用においても非常に役立ちますよ。
SYNリフレクション攻撃とは?その定義と仕組み
まず、SYNリフレクション攻撃とは何か、その定義から見ていきましょう。
SYNリフレクション攻撃は、DDoS(分散型サービス拒否)攻撃の一種で、TCPコネクションの確立プロセスを悪用して、ターゲットのシステムリソースを枯渇させることを目的とした攻撃です。別名としてSYNフラッド攻撃と呼ばれることも多いですね。
TCPコネクションは、通常「3ウェイハンドシェイク」と呼ばれる以下の3段階で確立されます。
- SYN(同期): クライアントがサーバーに接続要求を送ります。
- SYN-ACK(同期応答-確認応答): サーバーがクライアントに接続要求を受け入れたことを応答します。
- ACK(確認応答): クライアントがサーバーに応答を受け入れたことを確認します。
SYNリフレクション攻撃では、攻撃者はこの最初のステップである「SYN」パケットを大量にターゲットサーバーに送りつけます。しかし、そのSYNパケットの送信元IPアドレスを偽装しているため、サーバーはSYN-ACKを偽装されたIPアドレスに送り返すことになります。偽装されたIPアドレスのホストは、サーバーからのSYN-ACKに応答しないため、サーバーはACKが返ってくるまで一定時間待ち続けます。この「待ち状態」のリソース(半開きのコネクション)が大量に蓄積されることで、正規の接続要求を受け付けられなくなり、サービスが停止してしまうのです。
背景・経緯:なぜこの攻撃が問題になったのか
SYNフラッド攻撃は、インターネットの初期段階から知られている古典的なDDoS攻撃の一つです。TCP/IPプロトコルスタックの基本的な脆弱性を突いているため、対策が難しい側面がありました。特に、インターネットが普及し、オンラインサービスが一般化するにつれて、サーバーダウンはビジネスに大きな影響を与えるようになりました。そのため、この手のサービス拒否攻撃は、常に脅威として認識され、様々な対策が講じられてきた歴史があります。
事例:実際にあった攻撃の被害
残念ながら、SYNリフレクション攻撃による被害事例は枚挙にいとまがありません。大規模なオンラインゲームのサーバーが停止したり、ECサイトが一時的に利用できなくなったりといったニュースを耳にしたことがあるかもしれません。特に、特定のイベント時やピーク時には、トラフィックが増加することから、攻撃のターゲットになりやすい傾向があります。これらの攻撃は、企業の信頼性失墜だけでなく、直接的な経済的損失にもつながるため、非常に深刻な問題として捉えられています。
課題:攻撃対策の難しさ
SYNリフレクション攻撃の対策は、いくつかの課題を抱えています。
- 正規のトラフィックとの区別が難しい
SYNパケット自体は正規の接続要求でも使用されるため、攻撃パケットと正規パケットを区別することが困難です。 - 送信元IPアドレスの偽装
攻撃者が送信元IPアドレスを偽装しているため、攻撃元の特定が困難です。これにより、単に攻撃元のIPアドレスをブロックするだけでは根本的な解決になりません。 - 大規模な攻撃
DDoS攻撃の一種であるため、非常に大量のパケットが送りつけられることがあり、通常のセキュリティ機器では処理しきれない場合があります。
対策:いかにして攻撃を防ぐか
このような課題がある中で、どのような対策が有効なのでしょうか。
- SYNクッキー
サーバーはSYN-ACKを送信する際に、その中に「クッキー」と呼ばれる情報を埋め込みます。クライアントからACKが返ってきた場合にのみ、このクッキーを検証し、正規のセッションとして確立します。これにより、偽装されたSYNリクエストによるリソースの枯渇を防ぐことができます。多くのOSやネットワーク機器に実装されています。 - ファイアウォール/IPS/IDSの活用
不審なSYNパケットの検出・フィルタリング機能を持つファイアウォールや侵入防止システム(IPS)を導入します。ただし、大量のトラフィックを処理できる高性能なものが必要となります。 - ロードバランサーの導入
複数のサーバーで処理を分散することで、1台のサーバーに負荷が集中するのを防ぎます。また、ロードバランサー自体がSYNクッキーなどのDDoS対策機能を持っている場合もあります。 - DDoS対策サービスの利用
クラウドベースのDDoS対策サービスを利用することで、専門的なDDoS対策ベンダーが提供する大規模なネットワークインフラと専門知識を活用し、攻撃トラフィックを吸収・フィルタリングしてもらうことができます。 - ネットワーク帯域の増強
物理的にネットワーク帯域を増強することで、ある程度の量のSYNパケットを吸収し、サービスダウンを遅らせる効果があります。しかし、あくまで一時的な対策であり、根本的な解決にはなりません。
今後の動向:進化する攻撃と対策
近年、DDoS攻撃はより高度化・巧妙化しています。単一の攻撃手法だけでなく、複数の攻撃手法を組み合わせたハイブリッド攻撃や、より大規模なボットネットを利用した攻撃が増加しています。
これに対し、対策側も進化しています。AIや機械学習を活用して、異常なトラフィックパターンをリアルを検出し、自動で防御するソリューションが登場しています。また、ISP(インターネットサービスプロバイダ)レベルでのDDoS対策も強化されており、攻撃トラフィックを源流に近い場所でブロックする取り組みも進んでいます。
情報処理安全確保支援士やネットワークスペシャリストを目指す皆さんには、このような最新の動向にも常にアンテナを張り、変化に対応できる知識とスキルを身につけていくことが求められます。
まとめ
今回はSYNリフレクション攻撃(SYNフラッド攻撃)について深掘りしました。
- TCPの3ウェイハンドシェイクを悪用し、半開きのコネクションを大量に生成してリソースを枯渇させる攻撃
- 送信元IPアドレスを偽装するため、対策が難しい
- SYNクッキー、ファイアウォール/IPS、ロードバランサー、DDoS対策サービスなどが有効な対策
この知識が、皆さんの資格取得、そしてその先のキャリアに役立つことを願っています。セキュリティの学習は終わりがありませんが、一歩ずつ着実に進んでいきましょう!
さて、問題の解説です
送信元IPアドレスがA、送信元ポート番号が80/tcp、宛先IPアドレスがホストに割り振られていない未使用のIPアドレスであるSYN/ACKパケットを大量に観測した場合、推定できる攻撃はどれか。
ア IPアドレスAを攻撃先とするサービス妨害攻撃
イ IPアドレスAを攻撃先とするパスワードリスト攻撃
ウ IPアドレスAを攻撃元とするサービス妨害攻撃
エ IPアドレスAを攻撃元とするパスワードリスト攻撃
ア IPアドレスAを攻撃先とするサービス妨害攻撃
正解です。
これは、典型的な SYNリフレクション攻撃(またはSYNフラッド攻撃の一種)です。
- 攻撃者は、送信元IPアドレスをAに偽装して、複数のホストにSYNパケットを送る。
- 各ホストはAに対してSYN/ACKを返す。
- これにより、Aに大量のSYN/ACKが集中し、Aの通信が妨害される。
つまり、IPアドレスAが攻撃対象(被害者)となっており、攻撃の目的はAのサービスを妨害すること。
イ IPアドレスAを攻撃先とするパスワードリスト攻撃
誤りです。
- パスワードリスト攻撃ではログイン試行が観測されるはずだが、今回はSYN/ACKが観測されており、該当しない。
ウ IPアドレスAを攻撃元とするサービス妨害攻撃
誤りです。
- Aは攻撃元ではなく、攻撃のターゲット(被害者)。
エ IPアドレスAを攻撃元とするパスワードリスト攻撃
誤りです。
- Aは攻撃元ではなく、攻撃されている側。