「Pingフラッド攻撃」は「ICMPフラッド攻撃」とも呼ばれ、サイトへの大量のアクセスを集中させて、サーバーやサイトをダウンさせる（見られなくする）攻撃です。

こうした「Pingフラッド攻撃」の目的は人によって様々で、

などが主な目的だといわれています。

こうした無差別な「Pingフラッド攻撃」は標的になる可能性は誰にでもあるので、セキュリティ対策は必須といえます。

なのでこの記事では「Pingフラッド攻撃」が何なのか、仕組みや被害事例などを紹介し、対策法もお伝えしていきます。

「Pingフラッド攻撃」を知り、対策したい方は必見です。

Ping（ICMP）フラッド攻撃とは？仕組みや手口を解説

Ping（ICMP）フラッド攻撃って具体的にはどんな攻撃なんですか？

Pingフラッド攻撃を理解するためには、まず「ICMP」をお伝えしていきます。

「ICMP」とは通信を使うときの共通の決まり事（通信プロトコル）で、インターネットがつながっているかどうかを確認するためのものです。

「通信プロトコル」はイメージとして、現実世界の「共通の言語」といえます。

通信できているか否か確認する際に、PCメーカーごとに違う言語でおこなうと大変です。
そのため共通の取り決めを作ることで、やり取りができるようにします。

なのでPingフラッド攻撃はICMPの決まり通りに情報をやり取りして、通信相手とつながっているか確認できるもので、よく使われるのが「エコーリクエスト」と「エコー応答」です。

では実際にPingフラッド攻撃の手口について見ていきましょう。

Pingフラッド攻撃の手口

Pingフラッド攻撃の手口とは、

1. 攻撃対象者に複数のデバイスから、大量のICMPエコーリクエストパケットを送信
2. 攻撃対象者はリクエストに対するエコー応答を、それぞれのデバイスに送信

とてもシンプルな方法ですがデバイスの数が多ければ多いほど、サーバーの処理が間に合わなくなりダウンしてしまうのです。

Pingフラッド攻撃はシンプルな攻撃ですが、しっかりと対策しないと大きな被害を受けてしまいます。まずは被害事例をお伝えしてその後、対策法を言っていきます。

Ping（ICMP）フラッド攻撃の事例

Ping（ICMP）フラッド攻撃を知るためには、「DoS攻撃」と「DDoS攻撃」を理解する必要があります。

「DoS攻撃」よりさらに膨大なデータが送られることにより、攻撃相手に対し過剰な負担がかかるようになります。

Ping（ICMP）フラッド攻撃は「DoS攻撃」の一種ですが、攻撃が進化して対策が難しくなっています。攻撃に備えるためにも最新の攻撃事例を知って、対策を考えておく必要があります。

2016年：マルウェアの「Mirai」による攻撃

2016年米国のセキュリティジャーナリストBrian　Krebs氏のブログ「Krebs on Security」が、史上最大規模のDDoS攻撃の被害に遭いサーバーがダウンしました。

この攻撃はルーターやWebカメラなどのネットワーク機能を備えた機器をターゲットにした、マルウェア「Mirai」によるものだと考えられています。

「Mirai」 は様々なネットワーク機器に感染を広げ、感染した機器は不正な命令を受け、DDoS攻撃を別の機器に対して行いました。
感染した機器が次々とDDoS攻撃を広げていったのです。

連鎖的に「Twitter」や「Spotify」のようなサービスも利用ができない状態となり、被害は世界中に広がったと言われています。

「Mirai」の攻撃によりサーバーがダウンしたため、サービスの停止と復旧への資金投資という見過ごせない被害を受けました。

2017年：仮想通貨取引所「Bitfinex(ビットフィネックス) 」へのDDoS攻撃

引用元：BITFINEX

2017年香港を拠点とする仮想通貨取引所「ビットフィネックス」のWebサイトが、2度にわたり DDoS攻撃の標的となり、サービスを一時停止する事件が発生。

ビットフィネックスの報告では、攻撃者は数十万に及ぶ新規口座を作る攻撃によってサーバーに負荷をかけ、復旧まで12時間を要しました。

ビットコインの相場が新たに高値を更新した時に攻撃が仕掛けられていることから、攻撃者が価格の操作で利益を上げようとしたのではないかとの疑いがあります。

2度にわたる攻撃の間に「瞬間暴落」が起こり、トレーダーの中には深刻な被害に遭った人もいます。

ビットフィネックスは対策を強化していますが、その後も度々DDoS攻撃の標的となっています。
さらにインターネット上で、多額の窃盗の被害も受けているようです。

トレーダー達は過去に同様の被害に遭ったマウントゴックスのように、ビットフィネックスが倒産するのではないかと恐れています。

ビットフィネックスはDDoS攻撃によりトレーダーの信用を失くし、ビジネス上では痛い失点となりました。

2018年：スクウェア・エニックスの「FFXIV」にDDoS攻撃

引用元：スクウェア・エニックス

スクウェア・エニックスは2018年、同社が展開する人気オンラインゲーム「ファイナルファンタジーXIV」がDDoS攻撃を受けていることを発表。

日本・北米・欧州全てのデータセンターにおいて、被害が発生しました。

被害は欧州のデータセンター向けのものが最大で、同時に数千人の接続が切れるなどが起きています。
また日本のデータセンターにも被害が生じ、ワールドから切断されたりログインに失敗したりなどの障害が発生したとのことです。

攻撃者はそれぞれの場所によって異なる攻撃パターンを用いていたため、同社も各攻撃に適した防御方法を試みました 。

同社は都度防御方法を変更し、その機能の切り替え時にサーバーメンテナンスが必要となり、ゲームの途中で通信の遅延も起こっています。

そのためDDoS攻撃によりスクウェア・エニックスは、ゲームの復旧に莫大な資金を費やす羽目になりました。

Ping（ICMP）フラッド攻撃の対策法

ビットフィネックスの例を見てもわかるとおり、一度狙われると何度も攻撃をされることもあるのでしっかりと対策をしましょう。

スクウェア・エニックスも最初に狙われたのは2005年ですが、2018年に再度攻撃を受けています。

最近はコロナでWebサイトを開く機会が多く、テレワークなどで利用するPCなどにも会社情報が入っているため、ターゲットにされています。

今後もますます増えてくるサイバー攻撃に対しては、しっかりとした対策が必須になってきます。ここからはPing（ICMP）フラッド攻撃対策の方法を、いくつかご紹介しましょう。

①WAFの導入

Ping（ICMP）フラッド攻撃への有効な対処法として「WAF」の導入がおすすめです。

「WAF」はコンテンツが保管されているネット上の、Web アプリケーションの前面に置かれるシステムのためセキュリティ効果が高く、外部からの攻撃に対し「強力な盾」として攻撃を防ぐことができます。

クラウド型WAFはPing（ICMP）フラッド攻撃だけでなく、Webアプリケーションの脆弱性を悪用するサイバー攻撃対策も可能です。

不正ログインはサイトの信用を含め、大ダメージになります。
対策せず大損害となる前に、しっかりと対策できているか見直してみましょう。

②特定のIPアドレスからのアクセス停止

「攻撃元が一つ」の単純な攻撃に対し、攻撃元のIPを特定したらアクセスを遮断する対策が効果的です。

そこでおすすめなのが「.htaccess（ドットエイチティーアクセス）」です。

「.htaccess」はIPアドレスによる制限を、Webサイトにかけることができるファイルです。

特定 IP アドレスのアクセスを停止する記述を「.htaccess」に行い、ファイルをWebサイトにアップロードします。
この方法で悪意を持った IP アドレスを、遮断することができます。

サイバー攻撃は海外からのアクセスが多くなっています。
攻撃を避けるため、海外からのアクセスのみ遮断してみるのも効果的です。

③ネットワークトラフィックの監視システムの導入

「トラフィック」とはインターネットで、一定時間内に送られるデータ量のことです。

アクセス数が増えることを、「トラフィックが増える」と言います。
アクセス数の増加によって、通信データ量も増加するためです 。

「ネットワークトラフィックの監視システム」はネットワークトラフィックの異常な増加を監視し、攻撃を仕掛けていると思われるIPからのアクセスをブロックできます。

Ping（ICMP）フラッド攻撃の被害が表面化する前に防ぐことができるので、かなり有効な対策です。

④オールインワンで安心！「CyberBoxPro」

Ping（ICMP）フラッド攻撃に「CyberBoxPro」を採用するのもおすすめです。

CyberBoxProは「バックアップ」「ログ管理」「セキュリティ」が一つになったオールインワンのセキュリティ商品なので、個々にそろえるより便利で、コストも大幅に抑えることが可能。

3つの機能により詳細な分析の実行と、悪意のある振る舞いの特性を識別し、Ping（ICMP）フラッド攻撃から守ります。

「CyberBoxPro」はネットワーク通信を検査してウィークポイントに対する脅威をブロックし、ダウンロード書類の不整合をチェックして脆弱性への攻撃を遮断します。

ウイルスが侵入しそうなところを検査し、メモリー上で不審なプログラムコードをあぶりだし、マルウェアの中心的なサーバーとの通信状態を明らかにすることでPing（ICMP）フラッド攻撃を防ぎます。

まとめ

Ping（ICMP）フラッド攻撃について学んだら、ビットフィネックスのように顧客の信用を失う可能性もあるし、対策しないとマズイことがよく分かりました！

サイバー攻撃は内容も規模も巧妙になってきているので、今までのように「何か起こってからやればいい」という考え方では、通用しなくなっています。

ビットフィネックスと同様の被害に遭ったマウントゴックスは、トレーダーの信用をなくし倒産しています。
一度サイバー攻撃を受けると何度も襲われるように、悪循環に陥ります。
そのため被害に遭う前に対策をしておくことが、重要になってくるのです。

Ping（ICMP）フラッド攻撃を受けた時に起こる主な影響には、「経済的被害」「ネットワーク遅延」「サービス停止」があります。

その中で最も影響を及ぼすのが、「サービス停止」です。

サービス停止になることで、ユーザーがサービスにアクセスできなくなります。
サービスを提供する企業の業務を妨害することはもちろん、評判に関する悪影響も与えるでしょう。

Ping（ICMP）フラッド攻撃の対策は、主に二つです。

Ping（ICMP）フラッド攻撃はデータ改ざんを引き起こすような攻撃と比べて、軽いものと思われがちですが、復旧費用に膨大な費用がかかったり、信用を失うことで倒産する最悪な状況にもなりかねません。

そういった取り返しのつかない状況になる前に、未然に防ぐことができるものはしっかりと対策を施していきましょう！

SQLインジェクション攻撃とは簡単に説明するとWebアプリケーションの脆弱性を突いて、「悪意のある行動をさせる」非常に悪質なサイバー攻撃のことです。

実際にSQLインジェクション攻撃を受けた企業では個人情報やクレジット情報が流出したり、顧客が悪意のあるサイトに誘導されたという事例もあります。

「SQLインジェクション攻撃傾向」を独立行政法人 情報処理推進機構（IPA）が発表しています。

引用元：独立行政法人 情報処理推進機構（ＩＰＡ）

特に検索エンジンからWEBサイトを悪用されることもあるので注意が必要です。

自社で運営しているWEBサイトが狙われる可能性も0ではありません。

今回は「SQLインジェクション攻撃」の内容と被害事例、おすすめの対策法をお伝えしていきます。

SQLインジェクション攻撃を知って対策しておきたい方は必見です。

SQLインジェクション攻撃とは?

SQLインジェクション攻撃とはWEBサイトの書き換えをするプログラムを挿入（インジェクション）し、情報漏洩やデータの改ざんをを目的とする攻撃です。

ちなみにSQLとはデータベースのデータを更新・削除・検索などの作業をつかさどる部分です。

よく攻撃対象になるのはポータルサイト・ショッピングサイト・決済サイトなどがありますね。

SQLインジェクション攻撃の仕組み

SQLインジェクション攻撃ってどういう仕組みになっているんですか？

ECサイトで攻撃される場合を例にあげ、どのような仕組みか紹介しましょう。

ECサイト（通販サイト）のようにユーザーIDとパスワードを入力するようなフォームに、不正なSQLが入ってる文字列を入れるとします。このサイトのセキュリティが低い場合、正しいSQLと認識してしまい個人情報が入ってるデータベースを操作されてしまうのです。

こういった攻撃により、クレジットカード情報が盗まれたり、Webサイトが改ざんされて偽サイトに誘導されるということが起きてしまうのです。

SQLインジェクション攻撃を受けるとどうなる？

実際にSQLインジェクション攻撃を受けるとどうなってしまうんですか？

攻撃を受けると「情報漏洩」「Webサイトの改ざん」「不正ログイン」などの取り返しのつかない被害を受けてしまいます。一つずつ詳しくご紹介しましょう。

①情報漏洩

SQLインジェクションでどのような流れで情報漏洩が起きるんですか？

セキュリティ対策をしていないと、悪意ある攻撃者がアプリケーションに情報を盗む命令を出すと、本当にそれが実行されてしまいます。

Webサイトのデータベースには「ユーザーID」「パスワード」「クレジットカード情報」などの貴重な個人情報が入っています。

セキュリティ対策をしていないWebサイトで、悪意ある攻撃者が「データベースの会員情報を表示しなさい」とIDや名前を入れるフォームで入力すると簡単に実行されてしまうのです。

アプリケーションは間違った情報だと認識せずその命令が実行されてしまい、ユーザーの個人情報が全て奪われることになります。

そんなに簡単に個人情報が盗まれてしまうんですね…

その通りです。このような悪意ある攻撃者が今日もどこかのサイトを狙っているんです。なので最近はセキュリティ対策に力を入れる企業が増えているんですよ。

②Webサイトの改ざん

Webサイトが改ざんされるとウィルスを感染させるサイトに変えられてしまいます！

SQLインジェクションによってWebサイトの改ざんも可能になります。
有名なものはセミコロン「;」を使う例。
セミコロンを使ってSQLを連結し改ざんできてしまうのです。

改ざんされたWebサイトは表面からは正しいサイトのように見えます。
何も知らないユーザーはそのWebサイトにアクセスするだけで、ウィルスに感染させられてしまうのです。

それはサイトを見にきてくれた方たちにとって最悪な状況じゃないですか!?

そうなんです！強力なセキュリティ対策でSQLインジェクションの攻撃から守らなくてはなりません。

③不正ログイン

不正ログインされてしまうと、例えば、ショッピングサイトなどのIDとパスワードを勝手に変えられたりしてしまいます。

ほかにも以下のようなことがあります。

不正にログインされるだけでこんなにも悪用されてしまうんですね…

そうなんです。ちなみに不正ログインの仕組みは、まず、悪意のある攻撃者は攻撃用の文字列に通常では入力しないコメントアウトを表す「–」を入力してログインします。

※コメントアウトとはコンピュータのプログラムで人間のために挿入された注釈のことです。

そのためコメントアウトはソースコードを無効にしてしまいます。
SQL文ではパスワードが一致するかどうかの条件文がありますが「–」を入力することによりコメントとして扱われてしまうのです。

パスワードが一致する条件が無効になるため、悪意ある攻撃者がログイン可能になるという仕組みです。

SQLインジェクション攻撃の被害事例

セキュリティ対策をしないとどんなに有名な企業でも被害にあってしまいます。ここでは、過去に起こった有名な３つの事例を見ていきましょう。

2011年「ソニー」7,700万人分の個人情報漏洩

2011年4月、ソニーグループが展開するゲーム用のサービス「PlayStation Network」に対する SQL インジェクションによる攻撃が行われ、約7,700人の個人情報を盗まれました。

個人情報は氏名・住所・e-mail アドレス・生年月日・PlayStation NetworkのIDとパスワード等です。
この事件によってソニーはセキュリティに強いデータセンターへの移行等、セキュリティの強化を行うことを余儀なくされました。

ユーザーのクレジットカードの再発行手数料の負担やPlayStation NetworkやQriocityのサービス停止による売上の減少など、企業としては見過ごせないような被害を被っています。

7,700人もの個人情報が盗まれるって怖いですね…

ソニーの不正アクセスは従来のファイアウォールの仕組みでは防御できず、そのためすぐには検知できなかったようです。防止するにはしっかりとしたセキュリティ対策が必要になってきます。

2019年「釣りビジョン」6万件以上の顧客情報漏洩

2019年1月、多くの釣り好きに愛されている「釣りビジョン」で会員のメールアドレスや氏名・住所など、6万件以上もの情報が盗まれました。

この事件により「釣りビジョン」は入力フォームの閉鎖を余儀なくされ、ユーザーからのプレゼント応募等はメールでやらざるを得なくなったのです。

釣りビジョンは第三者機関の厳しい審査を経て取得できる、プライバシーマーク （P マーク）を取得していました。
しかし十分な管理体制が整っている状況の中で発生したことから、これまで以上のセキュリティ対策が必要となっています。

セキュリティの管理体制やインフラを強化し、新技術の導入などの莫大な費用を負担する必要が生じたのです。

釣りビジョンの例を見ても、普通程度のセキュリティ対策では危ないということがよくわかると思います。

2020年「株式会社光言社」会員情報一部流出

2020年4月、出版・映像企画や販売を行う株式会社光言社の Web サイトに対し SQL インジェクション攻撃が行われ同サイトの会員情報が一部流出した可能性が判明しました。

流出した可能性があるのはメールアドレス・名前・住所・連絡先・会員番号等です。
光言社は既に不正アクセスの対策にWAFを導入してWebサイト開発管理体制の強化を行っています。

情報流出すると、顧客は信用できなくなり、会員をやめてしまいます。企業から見ても信用できない会社というイメージができて取引できない可能性があります。

SQLインジェクションの対策方法

事例を見てもこのSQLインジェクション攻撃の対策って可能なの？と感じますが対策はできるんですか？

いくつかあるので紹介しましょう。今まで以上にしっかりと対策をすることが必要です。

①想定している文字の入力だけを受け付ける

SQLインジェクション攻撃の仕組みでは入力フォームで想定している数字以外が入力されています。

そのため、アプリケーションが想定している文字以外が入らないように対策することが必要です。

入力された文字が想定外かどうかを確かめ、想定外の文字列の場合はエラーにしてデータベースに接続させないという方法があります。

②アカウントの権限を制限

SQL インジェクション攻撃を受けた場合に被害を減らす方法です。

サーバーのアカウントの権限は個人情報が入っているデータベース内を自由に閲覧したり編集できるようになっています。

この権限が大きければ悪意ある攻撃者がアカウント情報を持つと重要な情報が漏れてしまう可能性が高くなります。

そこで予め、Webサイトからデータベースに送信できる命令文を制限しておきます。
そうしたことで、攻撃者から悪意のあるSQL 文を送信されても被害を最小限に抑えることができます。

③WAF(ウェブアプリケーションファイアウォール)の導入

SQLインジェクションからサイトやアプリケーションを防御するために効果的なのがWAFの導入です。
WAFとはWeb Application Firewall(ウェブアプリケーションファイアウォール)です。

一般的なファイアウォールは外部ネットワークからの不正アクセスを検知し遮断することはできます。
しかしSQLインジェクションを防ぐことはできません。

なぜならSQLインジェクションはWebサイトへのアクセス自体は正常だからです。

ソニーもファイアウォールで対策はしていましたが、攻撃者がWebサイトへアクセスした後に不正なデータを送るという攻撃は防げなかったのです。

WAFはアクセス後のユーザーの行動が不正かどうかをチェックします。
通信内容を検査し不正なデータがレスポンスにないかどうかを検査してくれます。

ファイアウォールでは防ぎきれないSQLインジェクション攻撃を受けると、取引先や顧客情報の漏洩につながる危険性があります。

万全の対策としてWAFの導入も含めたセキュリティの強化が必要となります。

④オールインワンで安心！「CyberBox Pro」

WAFのほかに「CyberBox Pro」を採用するのも有効な手段となります。

CyberBox Pro は「バックアップ」「ログ管理」 「セキュリティ」が一つになったオールインワンのセキュリティアイテムです。

3つの機能により詳細な分析の実行と悪意のある振る舞いの特性を識別し、SQLインジェクション攻撃から守ります。

CyberBox Proはネットワーク通信を検査して脆弱性への攻撃をブロックし、ダウンロード書類の不整合をチェックして脆弱性への攻撃をブロックします。

ウイルスの DNA 検査実行、メモリー上で不審な実行コードの検出、マルウェアの C & C サーバーとの通信の検出でSQLインジェクションの攻撃を防ぎます。

まとめ

SQLインジェクション攻撃と対策がよくわかりました。

これまでのファイアウォールが入っているからセキュリティは大丈夫という考えは通用しなくなっています。攻撃されてから対策するのではなく、攻撃される前に対策することが大事です。

会社のWebサイトで個人情報が流出すると大変なことになります。

漏れた個人情報はインターネット上の闇サイトで売買されています。
購入された個人情報を元にさらにサイバー攻撃の脅威にさらされるのです。

フィッシングサイトに誘導されたりマルウェアが添付されたメールを受け取ったり、クレジットカードが不正利用される可能性もあります。

個人情報を漏らした会社ということで企業の信用も著しく低下するでしょう。
ソニーの事例でわかるようにサイトの一時閉鎖も余儀なくされ、調査に追われ本来の仕事もできないような状態になります。

個人情報の漏洩は億単位の賠償金を支払うケースもあります。

これからの時代は現状のサイバー攻撃について把握し、未然に防ぐことができるものはしっかりと対策を施し、個人や会社・関連企業の未来を守っていくことがとても重要な時代に突入しているといえるでしょう。