DDoS攻撃の現状(2) 業界連携の模索

株式会社インターネットイニシアティブ（IIJ）は日本で最初にインターネット接続の商用サービスを開始したISP事業者であり、古くから情報セキュリティ対策にも積極的に取り組んでいる。

同社サービスオペレーション本部セキュリティ情報統括室長齋藤衛氏にDDoS攻撃の現状と、ISPにおけるDDoS攻撃対策への取り組みについて話を聞いた。

――最近では韓国内での大規模攻撃の事例が話題になりました

現時点では、先月の事件が非常に大きく扱われていますが、韓国はこれでマルウェアによる大規模な事件は3回目です。2009年の7月と2011年3月に発生した前の2回では、マルウェアによりDDoS攻撃が行われ、政府官公庁関係のサイトや、多くの人が参加するポータルサイトやSNSに攻撃があって、その結果として国民生活に影響を与えました。2009年の時には韓国国内に展開された約9万台のマルウェア端末が攻撃を行い、ISPの立場からすると、利用者同士が突然攻撃しはじめたようにも見えたはずです。このような事件が日本国内で起こらない理由はありません。例えば世界的に有名となったDDoS攻撃事件では、FIRST(http://www.first.org/)などの国際団体において、攻撃元の一覧を共有し、対策に協力することがあります。いくつかの事件において、マルウェアに感染した日本国内の端末が加担したことがわかっています。日本のインターネット接続環境は世界的に見て安価で品質が良い環境となっていますので、マルウェアによるDDoS攻撃が発生した場合は、より大規模な攻撃となると考えています。この時、我々の顧客から別のISPの顧客に攻撃したり、我々の顧客がよそのISPから攻撃されるようなことを想定しています。

このようなDDoS攻撃を適切に止めるためには、ISP同士がお互い連携しないといけません。うちの顧客に攻撃しやがって、とISPが肩代わりして喧嘩をするのは間違っています。もう少し冷静に、被害を受けた顧客と調整しながら、攻撃元のISPに「御社の沢山のユーザがうちの顧客にこのくらいの攻撃を行ってるんだけど止めてください」と依頼し、また、依頼を受けた側もそれに応じて攻撃の通信を止められることが理想です。このような対策を、可能な限り迅速に実施できる仕組みを、中立的な場の業界団体において実現することを目指しています。ISP同士の連絡で、「上に回しますから来週まで待ってください」とか言われる間に攻撃が終わってしまいますから。

――大規模なDDoSが行われたとき、どのような対処をされるのでしょう

個別のサーバだけに影響するような規模の攻撃については、DDoS攻撃対策のサービスなどで対策できます。しかし、ある程度の規模を越えた大規模攻撃については、僕はインフラ屋やインターネット屋、もしかしたら国という単位で対策を考えなければならない事だと思っています。

先日もSpamhausに対するDDoS攻撃で300ギガbpsを越え、インターネットが潰れかけた、などと報道で大きく扱われました。日本のインターネットでも、通信の総容量を積算すると、テラbpsの単位になります。その中の300ギガbpsだと思えば、それだけでは特にインターネットは潰れませんが、その攻撃が特定のネットワークの特定の場所に集中したときに、通常の方法では御せなくなるわけです。

そのDDoS攻撃は、顧客が最終的な攻撃先かもしれませんが、ISPが自分たちの事業を継続するために、正当防衛として自らの判断で手を動かし、攻撃の通信を止めるようなことはあり得ます。

――勝手に通信を遮断しても大丈夫なのでしょうか

のべつ幕無しに止めていいかというと、もちろんそうではありません。どういう状況で、どのような行為が許されるかについて、2005年くらいから議論を行っています。その成果をガイドラインとしてまとめたものが「電気通信事業者における大量通信等への対処と通信の秘密に関するガイドライン」です。2007年に第一版が完成し、2011年3月の後半に更新した第二版を公開しています。この第二版はTCA（電気通信事業者協会）とテレコムサービス協会、JAIPA（インターネットプロバイダー協会）、ケーブルテレビ連盟の4団体と、データ通信協会テレコムアイザック推進会議（Telecom-ISAC Japan）の5団体の署名になっています。

電気通信事業者における大量通信等への対処と通信の秘密に関するガイドライン
http://www.jaipa.or.jp/other/mtcs/110325_guideline.pdf

このガイドラインは想定状況に対する考え方を示すために、かなり具体的なことが書いてあります。たとえば、顧客がマルウェアに感染して、大量の通信が1ヵ所に集中して発生している時には、何を契機にどう調査していいですか、といったことです。これは、業界団体の自主基準ですが、ここに書いてあることが、現在日本のISPでできることの実態を示した文書だと思います。

ただし、このガイドラインに書いてある通りに対策を実施したから、電気通信事業法違反にならないかというと、実際にはそうではありません。あくまで考え方を整理したものですし、ガイドライン本文中にも記載がありますが、個別事案の状況については総務省など関係各所に相談しながら対策をすすめるという位置づけのものです。

また、このガイドラインに記載されていることを、すべてのISPが実施するというものでもありません。あるISPでは「予算の都合でうちはやってません」と言われるかもしれない。「ISPさんは通信を司ってるから、全部、好き勝手できるでしょ。対策もやっておいて」と言われると、実はそうでもないということも、このガイドラインを見ればお分かりいただけると思います。

――ガイドライン内には共同対処という項目もあります

2009年に韓国で起こったような、国内から国内の相互のDDoS攻撃が何日も継続するような状況が、日本で起こったときに、我々国内のISPが迅速に動けるかどうかが課題なのです。日本のインターネットが潰れかねない事態が起こったらみんなで一緒に対処しましょう、と約束するのはいいのですが、これだけでは実際に有効な対策が打てるとは思えません。実際に行う情報のやり取りや内容、対策手法について、共同対処とはどういうことかを、Telecom-ISAC Japanなどの業界団体で中身を埋めようとしているところです。

繰り返しになりますが、日本のインターネットインフラは高品質ですから、DDoS攻撃としては、韓国のケースよりひどいことが起こる可能性があります。国内に数十万台規模で感染したマルウェアが、国内の重要なサイトにDDoS攻撃を仕掛けるという想定ですので、ISPとしては、攻撃側にも攻撃を受ける側にも、もしかしたら同時にその両者になるかもしれません。この時、国内複数のISPの間で、具体的にどういう連携が取れて、どういう対策が取れるかを考えるわけですが、その対策は、迅速で、正確で、適法である必要があります。これを有事の前に検討しているのです。

これが完成すれば、韓国で起こったような大規模なDDoS攻撃が起こった時に、顧客の通信、ひいては国民の生活に影響を及ぼさないような、「自己防衛できるな日本のインターネット」といたものが作れるのではないかと思っています。

――ありがとうございました。