ティアドロップ攻撃とは、被害者のサーバーやネットワークにフラッド攻撃を仕掛けるために断片化されたデータパケットを使用するサービス運用妨害(DoS)攻撃の一種です。サーバーがパケットを再組み立てできないため、過負荷が発生し、結果としてシステムがシャットダウンします。
ティアドロップ攻撃は、通常、既存のTCP/IP脆弱性を持つサーバーを標的とします。 突き詰めると、IPパケットの断片化と再構築の方法を悪用して、ローカルサーバーやネットワーク上の従来のセキュリティ制御を回避するのです。多くの組織では、パッチが適用されていない、または更新されていないシステムソフトウェアを使用していることが多いため、ティアドロップ攻撃はこうした脆弱性を悪用するのに適しています。 その結果、ティアドロップ攻撃は、地方自治体、病院、小規模な銀行、特に非常に古いOS(Windows 95またはそれ以前など)を使用している銀行でよく発生します。
このガイドでは、ティアドロップ攻撃の実態、仕組み、防御方法などを詳細に解説し、今後ティアドロップ攻撃や類似する攻撃の被害者になるリスクを最小限に抑えることができるようにします。
ティアドロップ攻撃はどのようにして発生するのか
自宅(またはオフィス)で仕事をし、自分の仕事を処理している最中、突然何の前触れもなくローカルのマシンがシャットダウンしたとしましょう。または、ローカルネットワークがオフィススペース全体で切断され、必要なローカルデータにアクセスできないというケースもあるかもしれません。これがサービス運用妨害攻撃や分散型サービス運用妨害攻撃で発生する現象です。
DDoSサイバー攻撃は、深刻な被害をもたらす可能性があると同時にいらだたしいものですが、米国では珍しいことではありません。2017年9月、Google(およびそのデジタルインフラの大部分)は、毎秒2.54テラビットの規模に達する、6か月分のこれらの攻撃の被害者となりました。 GitHubは2015年と2018年の両方で被害者となっており、AWSも2020年に毎秒2.3テラビットに達する攻撃を受けました。
現代の一般ユーザーにとっては残念なことですが、DDoS攻撃やDoS攻撃は多様な形態で発生します。最初の登場以来、これらの攻撃は、過去20年間の多くのセキュリティ業界と同様に、著しい進化を遂げてきました。 最も阻止するのが難しい攻撃の1つは、間違いなくティアドロップ攻撃だと言えるでしょう。 その漸進的な攻撃手法にちなんで名付けられたティアドロップ攻撃が成功すると、慎重に対処しない限り、ユーザーのコンピューター(または接続されているシステム)が完全に破壊され、応答不能になってしまう可能性があります。
ティアドロップ攻撃の仕組み
平均的なデジタルシステムは、ある一定量のデータを同時に処理するように設計されています。結果として、データやネットワークトラフィックは多くの場合、より小さな部分に分割され、フラグメントオフセットフィールドと呼ばれるものに特定の番号がタグ付けされます。 攻撃がない時は、到着後にそれらを正しい順番に並べ直すのが通常の状態です。
しかし、ティアドロップ攻撃が発生すると、サイバー犯罪者はフラグメントオフセットフィールドに不正な値を注入し、再配列プロセスを妨害します。 その結果、破損した断片化データがシステムに大量に蓄積され、適切に再組み立てできなくなります。 そして残念ながら、システムはオーバーロードを起こし、(適切な)警告なしにクラッシュします。
ティアドロップ攻撃の例
ここ数年、大規模なシステムに対する注目すべき攻撃がいくつか発生しています。これは、サイバーセキュリティ業界の多くの人にとって馴染み深いものでしょう。 具体的には、以下のような例が挙げられます(決してこれらに限定されません):
- Windows NTと95:ティアドロップ攻撃は1990年代後半にWindows 3.1x、NT、95に大きな影響を及ぼし、多くのシステム障害の事例に応じて、Microsoftは脆弱性を解消するパッチをリリースしました。
- ホームシステム:この種類の攻撃は、レガシーなWindowsとLinuxシステムの両方で高い頻度で発生しており、主にWindows 95と2.1.63以前のLinuxカーネルで確認されています。
- Android/Rowhammer:RAMpageとして知られる攻撃はティアドロップ攻撃に似た性質を持っており、2012年から2018年の間にリリースされたすべてのAndroidデバイスに対する脅威となりました。
ティアドロップ攻撃の防止
ネットワークまたはローカルシステムに対するティアドロップ攻撃を防ぐには、いくつかの方法があります。 サイバーセキュリティに関する以下のアドバイスは、ティアドロップ攻撃だけでなく、その他の多くのデジタル脅威やマルウェアにも有効です。
OSをアップデートする
まず第一に、すべてのソフトウェアとOSをアップデートし、対応する開発元から提供されているすべてのセキュリティパッチをダウンロードして適用することを推奨します。 先に説明したように、システム上の脆弱性はティアドロップ攻撃の典型的な侵入経路であるため、この方法はローカルマシンやより広範なネットワークを保護する簡単な方法となります。
ポートを無効にする
古いソフトウェアや基幹業務アプリケーションのパッチを適用できない場合、ティアドロップ攻撃を防ぐ最も有効な手段の1つは、ポート139と445を無効にすることです。 これにより、ベンダーからのセキュリティアップデートを受信できなかったシステムで、危険な可能があるサーバーメッセージをブロックすることができます。
ファイアウォールを有効にする
ティアドロップ攻撃を防ぐ最もシンプルな方法の1つ(また、ローカルマシンを保護する一般的な方法)は、信頼のおける総合的なファイアウォールまたはサイバーセキュリティソリューションをコンピューターまたはネットワークにインストールすることです。 当社の専用セキュリティ製品であるカスペルスキープレミアムの使用を推奨します。カスペルスキープレミアムは、侵入を防止するファイアウォール、定期的なアップデート、一貫性のあるヘルプとサポートを実装しています。
FAQ
ティアドロップ攻撃とは?
ティアドロップ攻撃は、システム(またはネットワーク)がクラッシュしてシャットダウンするまで、欠陥のある断片化されたデータパケットをユーザーのシステムに送り続けるサービス運用妨害(DoS)攻撃です。 ティアドロップDDoS攻撃として呼ばれる場合もあるティアドロップ攻撃は、通常、既存のTCP/IPの脆弱性とレガシーソフトウェアを持つサーバーを標的としています。
推奨記事やリンク
推奨製品:
