ACCS vs Antinny――DDoSとの戦いに終わりはあるか

Internet Week 2004の「インターネット上の法律勉強会」では、ACCSのWebサイトが受けたDDoS攻撃の状況が明らかにされた。

[高橋睦美，ITmedia]

　「今コンピュータソフトウェア著作権協会（ACCS）で起きていることは、ワームのコードを一行書き換えればどこのWebサイトでも起こりうること。DDoSへの対策はインターネットコミュニティ全体の問題だ」――

　ACCSの戦略法務室マネージャを務める葛山博志氏は、パシフィコ横浜で開催されているInternet Week 2004のプログラム「インターネット上の法律勉強会」（主催：日本インターネットプロバイダー協会）において、今年春からACCSのWebサイトが受けているDDoS（分散型サービス妨害攻撃）の実態を明らかにした。

　ACCSのWebサイトは今年3月以降、定期的にDDoS攻撃にさらされ、しばしば閉鎖を余儀なくされてきた。かつて「F5アタック」のターゲットとなったこともあるACCSサイトだが、今回の原因は違う。P2P型ファイル共有ソフト「Winny」経由で広まるウイルス「Antinny」が、定期的に大量のトラフィックを送り付けることで、Webサーバが麻痺状態に陥っているのだ。

　Antinnyに感染したPCは、毎月1日と第1月曜日、それに3月3日、11月11日のような「ぞろ目」の日になると、ACCSのWebサイトに大量のアクセスを仕掛ける。結果として「（ぞろ目の日が来るまでの）月の前半はWebサーバを落とさざるを得ない状態になっている」（葛山氏）。こうしてWebサイト停止に追い込まれた日数は、3月から11月までの間で、延べ約80日間に及んだということだ。

レコード削除が引き起こしたDNS負荷の増大

　DoS／DDoS攻撃のターゲットになってしまった場合、相手が分散しているだけに対処はやっかいだ。

　ACCSでは、Antinnyのターゲットになっていることを把握した時点で、DNSサーバから「www.accsjp.or.jp」のAレコードを削除するという非常手段を取り、攻撃を回避しようと試みた。DNSの世界からWebサーバの姿を隠し、攻撃を受け流そうとしたわけだ。だがこの手段によって、思わぬ、しかも深刻な副作用が生じた。インターネットサービスプロバイダーのDNSサーバに多大な負荷が生じることになった。

　ACCSのWebサーバをDNSで検索できなくなったからといって、Antinnyに感染したPCがなくなったわけではない。感染PCは引き続き、特定の日になれば大量のDNSクエリを発生させ、それがエラーとなって戻る……という具合で、複数のISP側のDNSサーバに普段の数倍の負荷がかかる結果となった。

　この事態を憂慮し、Telecom-ISAC JapanはACCSにコンタクトを取り、共同で問題の対処に当たることにしたという。

　Telecom-ISAC Japanでこの問題に取り組んでいる斎藤衛氏（インターネットイニシアティブ）によると、Aレコード削除に代わる代替案は「Blackhole アドレスの設定」。つまり、そこに送りつけられてくるパケットはすべて廃棄するというBlackhole アドレスを設定し、ACCS Webサーバに対するDNSクエリにはそのBlackhole アドレスを返すという仕組みだ。このIPアドレスを払い出したISPに過大な負荷がかかることのないよう、複数のISPが協力し、各々の網内である程度フィルタリングを行うという措置も並行して行った。

　結果として、「ISPはDNSバーストから救われた。Blackhole アドレスを払い出したISPに過度のトラフィックが集中することもなかった」（斉藤氏）。

無尽蔵にリソースがあれば……

　だが、これで一件落着というわけにはいかない。「通信インフラであるDNSは助かったが、ACCSのWebサーバは依然として見ることができない。つまり、DDoSに対応できていない」（斉藤氏）。サービスを妨害するというDDoS本来の目的は、達成され続けているからだ。

　有効なDDoS対策を探る糸口として、ACCSとTelecom-ISAC Japanは8月から9月にかけて、DDoSトラフィックの実態調査を行った。はじめは通常の環境で観測を行ったが、SYN Floodの兆候らしきものをつかむことができても、直後にデータ欠落が発生してしまう結果に終わったことから、次に「できるだけ多くの資源を用意してDDoSを受けて立ってみよう」（斉藤氏）と、大容量の回線に大規模負荷分散システムを用意してトラフィックを計測した。

　その結果は「予想以上にひどかった」と斉藤氏。第一月曜日に当たる9月6日には700Mbpsのトラフィックが生じた。またぞろ目の日である9月9日には、逆に情報をアップロードしようとするトラフィックが261Mbpsに達したという。

　複数のWebサーバを配置して負荷分散を行ったことから、「攻撃のあった期間もコンテンツ配信を維持することはできた」（斉藤氏）。しかし、今回のような実験目的ならばともかく、実運用でこれだけの回線と負荷分散システムを実現するとなると「数千万円の費用が必要となり、一般的な顧客が気軽に利用できるものではない」（同氏）。引き続き計測したトラフィックの解析に取り組むというが、なかなか有効な手立てがないというのが現状のようだ。

エンドユーザーへの働きかけが必要に

　ACCSのWebサイトは、講演のあった当日、前日にも、依然として大量の通信を受け続けている状態だという。「ACCSでは実質的に、ホームページでの情報発信が困難になっている。われわれはまだいいが、これが何らかの取引を伴うサイトで起きた場合、影響は深刻なものになるだろう」（葛山氏）。

　だが前述のとおり、「これぞ」という対策は乏しい。回線やセキュリティ機器の増強といった手段で対応を考えようとすると、今度はコストの壁が立ちはだかる。結局のところ、「エンドユーザーのウイルス感染状況が改善されない限り、状況の好転は見込めない」（葛山氏）のが実情のようだ。

　これに関してTelecom-ISACの小山覚氏（NTTコミュニケーションズ）は、まず「PCのセキュリティ対策を推進していく」という当たり前だが地道な活動が必要だと指摘。さらに、やや過激な手段として、攻撃トラフィックを吐き出している利用者に対応を促し、何度言っても聞き入れられない場合は解約するという道筋もあり得るのではと述べた。

　ただ、脆弱性のあるPCを利用しているからといって、即解約が可能かというと、いくつか論点が残るという。どの程度脆弱であれば解約が可能かという閾値の問題に加え、既存の契約約款（「公序良俗義務」規定があるとしても）や法制度の下でこういった対応が可能かの検討が必要だ。また葛山氏が指摘するように、「攻撃と通常のアクセスとの区別をどのように付けるか」についても考慮の必要がある。

　仮に、枠組みとしてそれが可能になったとして、今度は数万、数十万台に上る脆弱なPCの所有者に、人海戦術で対応を求めていくのかという運用の問題が生じる。ISP間の連携やユーザーへの働きかけ、警告、どうしても力が及ばない場合の解約といった対応について、システマティックな仕組みが必要になるのではないかと小川氏は述べた。

　いずれにしても、「単独での対応は困難。Telecom-ISACやISP各社と協力しながらの解決が必要だ」（葛山氏）、「技術面での対応だけでなく、法制度面の整備や地道な啓発活動が必要ではないか」（小川氏）というところに結論は落ち着くようだ。