米大学院生が2つのDoS攻撃対策を提案

　米カーネギーメロン大学の大学院生が、インターネットでのDoS（サービス拒否）攻撃を大幅に減らすための2つの手法を発表した。米国電気電子学会（IEEE）主催のセキュリティとプライバシーに関するシンポジウムの席上で行われたもの。いずれもネットワークソフトウェアに簡単な修正を加えて攻撃を防ぐもので、現在インターネットに使用されているプロトコルに実装可能だという。

　発表したのは、同大学コンピューターエンジニアリング学部の大学院生、Abraham YaarとXiao Feng Wang。Yaarは偽のインターネットアドレスから送られた大量のデータ送信攻撃を防ぐ方法、Wangはサーバへの通信を試みるパソコンに「パズル」のような問題を解かせて一定の時間をかけさせる手法を提案した。

　DoS攻撃のパターンは基本的に

1. 大量の有効データを送りつけ、特定のウェブサーバを停止させる
2. サーバのメモリを大量消費してサーバを停止させる
3. ソフトウェアの脆弱性を悪用し、サーバをフリーズ／クラッシュさせる

　の3つに大別できる。YaarとWangの提案する手法は（1）と（2）の攻撃への対策だ。

　Yaarの手法では、ネットワークトラフィックのヘッダー内にある未使用ビットを利用し、ネットワークの通過経路をもとにデータのパス識別番号、つまり「指紋」をとる。データ攻撃に悩んでいた被害者はこの「指紋」を使って、特定のインターネット領域を発信元とするトラフィックを、ISPで遮断するかどうか決定できるという。

　一方、Wangのパズル手法は、大量の不要な電子メールを送りつけてくるスパム発信者を撃退する方法としても使えそうだ。数百〜数千回もの接続を仕掛けてサーバのメモリを処理不能に追い込むDoS攻撃を防御する。

　数千台のパソコンからデータを大量に送りつけ、ウェブサイトをパンクさせる攻撃は、回避不可能なDoS攻撃の1つと考えられている。約2週間前にもこの種の攻撃が発生し、UNIXソフトウェアベンダーである米SCO Groupのウェブサイトが数時間にわたってアクセス不能に陥った。アラブのニュースサイトも同様の攻撃により、インターネットを数日間利用できない状況が続く結果となった。