山崎文明のセキュリティコラム

標的型攻撃やAPT攻撃といった言葉が世間を賑わせています。APTは、Advanced Persistent Threat の頭文字ですから、厳密には攻撃手法を指すものではないと解するのが妥当ですが、日本国内の最近の使用例では標的型攻撃＝APT攻撃として解釈されているようです。NIST（アメリカ国立標準技術研究所）の定義( SP800-39 ）に従えば洗練された技術と目的を達成するのに十分な資源をもった攻撃者の脅威ということになります。また、長期間にわたって情報探索や攻撃を試行する傾向にあるため、隠密行動を基本とする点も特徴としてあげることができそうです。そいう意味でDos攻撃（サービス妨害攻撃）のように簡単に気がつく攻撃は、APTに分類されないのかもしれませんが、APTのような場合でも陽動作戦としてDos攻撃が使用されることは、ハッカーの常識ですから、Dos攻撃を受けたらAPTを疑うことが重要です。

進化するDos攻撃

最近、あまり話題になることのないDos攻撃ですが、この分野でも技術進化は止まってはいません。例えばDDos攻撃（Distributed Denial Service Attack：分散型サービス妨害攻撃）を標的のIPアドレスを指定するだけで簡単に行えるツールが沢山出回っていますので、以前より事態は深刻化しています。

さらに今年に入ってその実効性が確認されたSlow Read Dos攻撃も厄介です。こちらは、大きな送信バッファスペースを必要とするHTTPリクエストを出して、クライアント（ブラウザ）側は小さなバッファで受信することでWebサーバー側の処理能力を低下させる手法ですが、被害にあっても気づきにくいだろうと言われています。

EDos攻撃

そのような状況下で、クラウドサービスの利用者が注意を払わなければいけないのが、EDos攻撃だろうと思います。EDos（Economic　Denial Service / Economic Denial of Sustainability)攻撃とは、「経済的な損失を狙ったサービス妨害攻撃」と訳され、クラウドの「脅威」としていくつかのセキュリティ・ガイドラインなどで指摘されている問題です。クラウドサービスの中には、その使用料を従量制としているサービスがあります。処理したトラフィックの量、使用しているストレージ容量やＣＰＵの使用時間などをもとに利用料が計算され請求される仕組みですが、EDos攻撃は、こうしたサービスに対して攻撃を仕掛けることで課金対象のクラウドのリソースを大量消費して、サービス利用者のビジネスを経済的に破たんさせることを目的とした攻撃です。攻撃者にとっては、直接のメリットは何もないように思われますが、悪質な環境保護団体などから目をつけられそうな企業などは、今後標的にされる可能性があります。EDos攻撃も派手にやられればすぐに気付くタイプの攻撃ですが、APTのようにしつこく、目立たない程度にやられればどうでしょうか。
EDos攻撃の損害は誰が負担するのか

仮にEDos攻撃の被害にあったとして、その被害に気付く仕組みがあるのか、そしてその損害は取り戻せるのでしょうか。クラウドサービスを利用しようとするCIOとしては、そのあたりの問題を十分認識しておく必要があります。そういう目で改めてクラウドサービスの契約約款を見直すことになりますが、すべての損害をクラウド利用者が受け入れなければならない契約となっていることに驚かれると思います。多くのクラウドサービスでは、EDos攻撃はじめDos攻撃の類の被害は、不可抗力としてSLAの例外事由として返金や損失補てん対象から外されています。実害が生じた場合、経営責任が問われることも予想されますが、CIOとしてどう説明されるのか、興味深い課題です。