サイトをDDoS攻撃から無料で守ってくれるGoogle Project Shieldに登録してみた

今日は、ちょっと技術的な話題です。ここ数年、DDoS攻撃が増えています。DoS攻撃とかDDoS攻撃って何なのか、どうやれば守れるのかを解説し、無料で使えるDDoS対策サービスの「Google Project Shield」を紹介します。

DDoS攻撃とかDoS攻撃って何？

「DDoS」や「DoS」は、WebサイトやWebサービスに対する外部からの攻撃です。わかりやすく言うと、どちらも「サーバーやネットワークに対して大量のトラフィック（アクセス）を仕掛けることで、ほかの人がサイトにアクセスできなくする」ものです。

一昔前に「F5アタック」というものがありました。1つのサイトに対してF5キー（ブラウザの再読み込みですね）を連打することで、大量のアクセスを発生させて、サイトを重くするいたずらです。

それを複数の人間でやれば、もっと同時アクセス数を増やして、負荷を高められます。

「DoS」は「Denial of Service」の略で、「サービス拒否」攻撃とも訳されますが、要はWebサイトが正規の訪問者に対してサービス（コンテンツ提供）できなくするという意味です（1人でF5アタック状態）。

「DDoS」は、その頭に「Distributed」が付いて「分散サービス拒否」攻撃と訳されます。要は、複数のアクセス元からDoS攻撃をすることですね（複数人でF5アタック状態）。

昨今では、ボットネットを使って攻撃することで攻撃元を増やして、攻撃力を高めるとともに対策しづらくしたDDoS攻撃が主流のようです。

「ボットネット」とは、悪質なハッカーたちが自由に使えるコンピュータ群のことです。彼らは、コンピュータウイルスなどを使って家庭やオフィスのパソコンを裏から自由に使えるようにしています。そうした状態のコンピュータを「ボット」と呼びます。そうしたボットを大量にまとめたものが「ボットネット」です。

さらに今では、ウェブカメラやネットワークプリンターなどの、ネットワークに接続しているデバイスも、そのボットネットに組み込んでしまうことが多いようで、一度狙われるとかなり大変なことになってしまうようです。

DDoSはなぜやられる？ どうすれば防げる？

一般的に「セキュリティ攻撃」というと、サイトで使っているWebサーバーやCMSなどのプログラムの脆弱性をねらって攻撃して、内部に侵入するものが多いですよね。

こうした攻撃の目的は、「内部のデータを盗む」「サイトを改ざんしてウイルスを仕込む」などです。

対策としては、WordPressなどのCMSのプログラムを最新版に更新したり、WAF（Webアプリケーション・ファイアウォール）を導入したりなどがあります。

しかしDDoS攻撃は、「サイトをほかの人が使えなくする」ことが目的であり、こちらのシステムに何の不備や問題がなくても、やられます。

直近でも2016年8月ごろに、さくらインターネットや技術評論社、ヨドバシカメラ、はてなといったサイトへのDDoS攻撃が発生していましたし、2015年10月にはASCII.jpなどがDDoS攻撃を受けていました。

狙われる理由は、さまざまです。

だれかにとって不都合な情報を公開しているからなのか、競合をつぶしてトラフィックを自社に流したいからなのか、イルカ漁に反対する団体がそれっぽいサイトをつぶしたいのか。

または、そうした行為の理由を推測しにくくするために多数のサイトを攻撃するといった目くらましの巻き添えの場合もあります。

では、DDoS攻撃はどうすれば防げるのでしょうか。

実は、DDoSからの防御は、非常に難しいのです。

• サイトを動かしているサーバーのIPアドレスを変えても、攻撃者はDNSの情報から新しいIPアドレスに攻撃を向けます。これをできないようにしようとすると、正規ユーザーもサイトにアクセスできなくなってしまいます。

• アクセス元を調べてブロックするといっても、前述のように世界中のボットネットのPCやWebカメラからアクセスが来るので、判別が非常に難しい。

• サーバーやネットワークを強化すれば耐えられそうに見えますが、昨今のDDoS攻撃は尋常ではないトラフィックを発生させるため、多少のことでは対応できません。クラウドなどで一時的に対応できるとしても、コストがかかります。

有効なのは、アカマイのようなCDN（コンテンツ配信ネットワーク）のサービスを契約して防いでもらうことです。CDNは動画などの大量トラフィックをさばくために、ネットワーク帯域をもっていますし、DDoS対策も強いですからね。

ただし、攻撃の度合いによっては「年間15万～20万ドル」レベルのコストがかかってしまうのが問題で、個人のジャーナリストに払える金額ではないですよね。

ですので、対処しきれない場合は「サーバーを落として、攻撃がやむのを待つ」という対応をすることが多いようです。前述のASCII.jpへのDDoS攻撃の際には、161時間ほどアクセスできない状態が続いていました。

グーグルの提供する無料のDDoS防御「Google Project Shield」

グーグルは、無料のDDoS防御サービス「Google Project Shield」を提供しています。

• Google | Project Shield | Free DDoS protection

他社がやったら1か月10万ドルもかかるようなサービスをなぜ無料でと思うかもしれませんが、このサービスは、

• ニュースサイト
• 人権関連サイト
• 選挙監視組織
• 個人ジャーナリスト

のサイトのためのサービスなのです。つまり、「ネット上の人権や言論の自由を守るために、無料で提供するサービス」ということ。グーグルらしいですね。

DDoSからの防御をSSLを含めて行い、グーグルからのサポートもあるというのがありがたいですね。

設定は、サービスにサイトを登録したら（有人の審査あり）、あとは、DNSの設定を切り替えるだけ（SSLがある場合はサーバー証明書関連の設定も必要）。

まだうちのサイト群はGoogle Project Shieldへの登録を承認されていませんが、世の中に対してニュースなどの価値を提供しているサイトは、これまでDDoSの被害に遭っていなくても、検討してみるといいのではないでしょうか。

だって、「イルカ漁への反対」の攻撃でASCII.jpが巻き添えを食うぐらいですから、あなたのサイトもいつDDoSの対象になるかわからないですからね。