多数のクライアントから特定ページに対して一斉にアクセスし、通信を極端に増大させ、相手先のサーバに負荷をかけてダウンさせるサービス妨害(DoS)攻撃である「F5攻撃」。
あまり見かけない発想で対策を講じるアプライアンス製品を、システムインテグレーターのエーピーコミュニケーションズ(APC)が提供し始めた。
製品名は「空蝉-UTSUSEMI-」。サーバ管理者は、iOSを搭載するiPad上でサーバへの攻撃を監視する。攻撃を受けると、地球儀を模したGUI上に、攻撃者が存在する国の位置が赤く表示される。
例えば、中国からの攻撃だった場合、管理者は赤い表示が出現した時点で、GUI上で「中国からのトラフィックをダミーサーバに流す」ためのボタンをクリックするだけでいい。
現状では、IPアドレスから判別した特定の国からのアクセスを丸ごとダミーサーバに流す仕様になっており、個別IPアドレスのみを通常サーバに流すといった措置が取れない。これについては「F5攻撃の場合、政治的な意図があることも多く、攻撃者がIPアドレスに細工をすることが少ない」傾向があるため、国ごとなどの大雑把な区分けでも機能するとのこと。ただし、今後はIPアドレスごとの制御などもできるように製品拡張を検討するとしている。
ダミーとは知らずに満足するF5攻撃者
「空蝉-UTSUSEMI-」の画面
F5攻撃者からのトラフィックを「404エラー」のようなメッセージを表示するダミーサーバに流すため、F5攻撃者は、自分の攻撃によってサイトがダウンしたものと判断。満足して攻撃をやめる。「元に戻すのもワンクリックのため、サーバ管理者の負担が非常に少なくなるのもメリット」とAPCのシステム基盤エンジニアリング事業部長の嘉門延親氏は話している。
導入が簡単なことも特徴とのこと。「同じ仕組みを既存の技術で行う場合、ロードバランサ(負荷分散装置)やUTM(統合脅威管理)、ソフトウェアルータなどを使用するのが一般的で、カスタマイズやネットワーク構成の変更を伴うことがありコストが高くなる」(同氏)という。一方で、空蝉は「パケットの行き先を判断し、転送する機能があるリピータを導入するだけで、論理的なネットワーク構成への変更が不要」であるため、アプライアンス製品を差し込むだけで導入が済むとしている。
製品の中核となる機能は、データベースが「SQLite」、開発フレームワークが「OpenFlow Controller」など、オープンソースをベースにしている。これが「低コストでの価格設定につながっている」とのことだ。現状は第1弾を出したばかりというタイミングで、今後は、「運用状況のレポート機能」や、「(一時的に中国からの受け入れ帯域幅を80%制限するなど)帯域を絞る機能」などを追加する考えだ。
価格は標準的な構成で100万円。今後、いわゆる「ネット選挙」解禁後の政党のウェブサイト、オンラインゲーム、ECサイトなどの事業者の利用を見込んでいる。