QUIC フラッド DDoS 攻撃とは

QUIC フラッドは 分散サービス妨害（DDoS）攻撃 であり、QUIC プロトコルを介して送信されるデータを使用してターゲットサーバーを過負荷状態にすることを目的としています。大量の QUIC データの処理にリソースを使用するため、ターゲットサーバーのパフォーマンスが低速になり、最終的にクラッシュする可能性があります。QUIC フラッド攻撃は、攻撃をブロックするためにターゲットサーバーが使用できる詳細情報が非常に少ない UDP パケットを使用するため、緩和が困難です。また、QUIC フラッドはパケットデータを暗号化するため、パケットが正当かどうかを判断するのが困難です。

DDoS 攻撃では、攻撃者は大量の不要または不正なトラフィックでサーバー、Web サイト、またはネットワークを過負荷状態にすることで、それらを中断またはクラッシュさせようとします。これを実現するために、攻撃者は ボットネット を使用します。ボットネットとは、攻撃者による制御を可能にするマルウェアに感染した数千台または数百万台のデバイスの集合です。攻撃者がこのような侵害されたマシンに指示してターゲットデバイスに大量のトラフィックを送信すると、デバイスは最終的にリソースが枯渇するか、すべての接続を使用して悪性のトラフィックを処理または応答します。その結果、デバイスがクラッシュしたり、パフォーマンスが低速になったりして、正当なトラフィックやユーザーに応答できなくなることがあります。

QUIC は、Google が開発した新しい暗号化された接続指向のトランスポートプロトコルであり、より高速で安全なインターネット接続を実現するように設計されています。これは、TCP トランスポートプロトコルおよび TLS 暗号化プロトコルの代替となる可能性があります。QUIC はユーザー・データグラム・プロトコル（UDP）上に構築されており、高速オンライン接続を必要とするアプリケーションやサービスのための低レイテンシー転送プロトコルとして使用されます。高速のオンライン接続を実現するために、QUIC は時間のかかる 3 ウェイ TLS ハンドシェイク（TLS 接続の確立に使用される）を 1 つのハンドシェイクに置き換えます。QUIC は多重化を使用して複数のデータストリームを一度に送信するため、データ損失の可能性や従来の HTTP 要求／応答ロジックに起因するレイテンシーが軽減されます。QUIC は、TLS 暗号化を標準の通信プロセスに組み込むことで、すべてのデータを自動的に暗号化します。

QUIC プロトコルは、リフレクションを使用する DDoS 攻撃に対して特に脆弱です。この手法では、複数のサーバーから情報を要求するときに、標的サーバーの IP アドレスをスプーフィングします。サーバーが応答すると、すべてのデータは攻撃者のデバイスではなく標的のシステムに転送されます。QUIC リフレクション攻撃では、攻撃者は QUIC 接続を開始する「hello」メッセージを使用します。QUIC プロトコルは UDP トランスポートプロトコルと TLS 暗号化を組み合わせたものであるため、ターゲットサーバーは TLS 証明書を応答に含める必要があります。そのため、最初の応答は攻撃者の最初のメッセージよりもはるかに大きくなります。これが大量の応答に乗算されると、ターゲットサーバーは大量の不要なデータで過負荷状態になる可能性があります。

QUIC フラッド攻撃は、特にオンラインサービスやアプリケーションに大きく依存している事業を著しく中断させる可能性があります。サーバーが大量の QUIC データで過負荷状態になると、パフォーマンスが低速になり、クラッシュする可能性があります。これにより、Web サイト、アプリケーション、オンラインサービスのダウンタイムが発生し、生産性と顧客体験の両方に影響が生じます。

たとえば、e コマースプラットフォームでトランザクションプロセスに中断が発生し、売上の喪失や顧客満足度の低下につながります。同様に、ストリーミングプラットフォームやクラウドベースのソフトウェアサービスなどのオンライン・サービス・プロバイダーがサービスの中断に直面し、ユーザー基盤や評判に影響が生じる可能性があります。

インターネットに大きく依存して事業を行っている業界は、QUIC フラッド攻撃のリスクが最も大きくなります。例えば、E コマース、金融、テクノロジーなどの業界が挙げられます。E コマース企業は事業が完全にオンラインであるため、特に脆弱です。QUIC フラッド攻撃が成功すると、トランザクションの中断や売上の喪失により、多額の経済的損失が発生する可能性があります。

オンラインバンキングやフィンテック企業を含む金融セクターもリスクにさらされています。このような企業は、機微な顧客情報を扱っており、24 時間利用できるサービスを売りにしています。中断により経済的な損失が生じるだけでなく、お客様の信頼も損なわれる可能性があります。

QUIC フラッド攻撃は、 増幅攻撃の一形態として見ることができます。増幅攻撃は、小さなインプットによって大規模で破壊的な出力を生成するものです。QUIC フラッド攻撃は、増幅攻撃を受けやすい DNS や ICMP プロトコルと同様に、QUIC プロトコルが UDP を使用することを悪用します。

この攻撃を緩和するうえで、認証が重要な役割を担います。トラフィックの送信元を確認することで、企業は悪性のパケットをフィルタリングできます。しかし、QUIC フラッド攻撃で使用される暗号化により、これは困難になります。

QUIC フラッド攻撃などの DoS 攻撃は、システムにトラフィックを大量に送り込み、使用できない状態にすることを目的としています。ファイアウォールは、受信トラフィックを監視し、不審なアクティビティをブロックすることで、このような攻撃を緩和するのに役立ちます。しかし、QUIC トラフィックは暗号化されているため、従来のファイアウォールの効果は限定的です。これは、QUIC フラッドなどの高度な攻撃に対処できる高度なセキュリティ対策（DDoS 緩和サービスなど）が必要であることを示しています。

セキュリティチームは、次のようなベストプラクティスに従うことで、QUIC フラッド攻撃を防止または緩和できます。

• レート制限。レート制限メカニズムにより、単一の送信元 IP アドレスまたは特定のサブネットからの QUIC パケットの許容数を制限できます。
• 最初のクライアントメッセージの最小サイズ。最初の hello メッセージの最小サイズを設定すると、攻撃者は大量の帯域幅を使用して偽の hello メッセージを送信しなければならなくなり、攻撃する意欲を失う可能性があります。
• DDoS 緩和サービス。セキュリティチームは DDoS 緩和サービスを契約することができます。このサービスは、さまざまな検知緩和手段を提供すると同時に、最大規模の DDoS 攻撃を吸収できるほどの規模のネットワークへのアクセスを提供します。

Akamai は世界中の企業に安全で快適なデジタル体験を提供しています。意思決定、アプリ、体験をユーザーに近づけて、攻撃や脅威を遠ざけることで、Akamai はお客様とそのネットワークの高速化、高度化、セキュリティ確保を実現します。

Akamai のエンドツーエンドの DDoS および DoS 防御ソリューション 防御の最前線として効果を発揮する包括的なアプローチです。専用のエッジ、分散型 DNS、ネットワーククラウド緩和戦略を備えた DDoS 対策テクノロジーは、巻き添え被害と単一障害点を防ぎ、お客様に増強された耐障害性、専用のスクラビング機能、高品質の緩和機能をもたらします。

App & API Protector は、お客様を重視した自動化を含む、強力で包括的な保護機能を提供します。このソリューションは、現在利用可能な最も高度な アプリケーションセキュリティ自動化機能を提供しながら、使い方はシンプルです。 新しい適応型セキュリティエンジンと業界をリードするコアテクノロジーにより、DDoS 防御、 API セキュリティ、ボット緩和、Web アプリケーションファイアウォールを実現する、使いやすいソリューションです。  

Prolexic は、大規模な DDoS 攻撃を迅速かつ効果的に防御します。Prolexic は DDoS 防御にゼロ秒の SLA を提供するとともに、攻撃の予防的な軽減や、ネットワークトラフィックに対する緩和制御のカスタマイズによって攻撃を即座にブロックします。フルマネージドの SOCC によってお客様の既存のサイバーセキュリティプログラムを補完し、業界で実証済みの経験を活かして、お客様が解決までの時間を短縮できるようサポートします。

Edge DNS は、最大規模のエッジプラットフォームで DNS の停止を徹底的に防御するため、DNS の可用性が常に保証されるようになります。クラウドベースのソリューションである Edge DNS は、24 時間体制で DNS 可用性を確保しながら、応答性を改善し、最大規模の DDoS 攻撃を防御します。

• DoS 防御とは
• ICMP フラッド攻撃とは
• Memcached DDoS 攻撃とは
• SYN フラッド DDoS 攻撃とは
• Slowloris DDoS 攻撃とは
• UDP フラッド DDoS 攻撃とは
• アプリケーションレイヤー DDoS 攻撃とは
• DNS 増幅攻撃とは
• SSDP DDoS 攻撃とは
• CLDAP リフレクション DDoS 攻撃とは