特許 7551001 ＤｏＳ攻撃対処装置及びＤｏＳ攻撃対処プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-09-05

(45)【発行日】2024-09-13

(54)【発明の名称】ＤｏＳ攻撃対処装置及びＤｏＳ攻撃対処プログラム

(51)【国際特許分類】

   G06F 21/55 20130101AFI20240906BHJP

【ＦＩ】

G06F21/55 340

【請求項の数】 3

(21)【出願番号】P 2023557580

(86)(22)【出願日】2021-11-08

(86)【国際出願番号】 JP2021040956

(87)【国際公開番号】W WO2023079731

(87)【国際公開日】2023-05-11

【審査請求日】2024-04-18

【早期審査対象出願】

(73)【特許権者】

【識別番号】000236056

【氏名又は名称】三菱電機ビルソリューションズ株式会社

(74)【代理人】

【識別番号】110001210

【氏名又は名称】弁理士法人ＹＫＩ国際特許事務所

(72)【発明者】

【氏名】樋口 真樹

【審査官】平井 誠

(56)【参考文献】

【文献】特開２００４－３０４７５２（ＪＰ，Ａ）

【文献】米国特許出願公開第２０１６／００２８７６４（ＵＳ，Ａ１）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ ２１／００－８８

(57)【特許請求の範囲】

【請求項1】

対象サーバへのアクセスを許可又は禁止するアクセス元が示されたアクセス可否リストに基づいて、注目アクセス元から前記対象サーバへのアクセスの可否を判定するアクセス可否判定部と、
前記注目アクセス元が前記対象サーバへアクセスできないと判定された場合に、前記注目アクセス元を前記対象サーバへアクセスさせず、前記対象サーバを模したダミーサーバへ前記注目アクセス元をアクセスさせるアクセス制御部と、
を備えるＤｏＳ攻撃対処装置であって、
前記対象サーバへのアクセスを禁止するアクセス元が示された前記アクセス可否リストとしてのブラックリストに基づいて、前記アクセス可否判定部が前記注目アクセス元から前記対象サーバへのアクセスの可否を判定する通常モード、又は、前記対象サーバへのアクセスを許可するアクセス元が示された前記アクセス可否リストとしてのホワイトリストに基づいて、前記アクセス可否判定部が前記注目アクセス元から前記対象サーバへのアクセスの可否を判定する緊急モードで動作可能であり、
前記対象サーバのアクセス負荷が第１閾値量未満である場合に前記通常モードで前記ＤｏＳ攻撃対処装置を動作させ、前記対象サーバのアクセス負荷が前記第１閾値量以上である場合に前記緊急モードで前記ＤｏＳ攻撃対処装置を動作させるモード切替部をさらに備える、
ことを特徴とするＤｏＳ攻撃対処装置。

【請求項2】

前記アクセス制御部は、前記Ｄｏｓ攻撃対処装置が前記緊急モードで動作しているときに前記対象サーバへＤｏＳ攻撃をしているアクセス元を検出した場合、前記ホワイトリストに基づいて、前記対象サーバのアクセス負荷に応じて、前記ダミーサーバへアクセスさせるアクセス元の範囲を、前記対象サーバへのＤｏＳ攻撃をしているアクセス元から段階的に拡大していく、
ことを特徴とする請求項１に記載のＤｏＳ攻撃対処装置。

【請求項3】

コンピュータを、
対象サーバへのアクセスを許可又は禁止するアクセス元が示されたアクセス可否リストに基づいて、注目アクセス元から前記対象サーバへのアクセスの可否を判定するアクセス可否判定部と、
前記注目アクセス元が前記対象サーバへアクセスできないと判定された場合に、前記注目アクセス元を前記対象サーバへアクセスさせず、前記対象サーバを模したダミーサーバへ前記注目アクセス元をアクセスさせるアクセス制御部と、
として機能させ、
前記対象サーバへのアクセスを禁止するアクセス元が示された前記アクセス可否リストとしてのブラックリストに基づいて、前記アクセス可否判定部が前記注目アクセス元から前記対象サーバへのアクセスの可否を判定する通常モード、又は、前記対象サーバへのアクセスを許可するアクセス元が示された前記アクセス可否リストとしてのホワイトリストに基づいて、前記アクセス可否判定部が前記注目アクセス元から前記対象サーバへのアクセスの可否を判定する緊急モードで動作可能とさせ、
前記対象サーバのアクセス負荷が第１閾値量未満である場合に前記通常モードで前記コンピュータを動作させ、前記対象サーバのアクセス負荷が前記第１閾値量以上である場合に前記緊急モードで前記コンピュータを動作させるモード切替部としてさらに機能させる、
ことを特徴とするＤｏＳ攻撃対処プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、ＤｏＳ攻撃対処装置及びＤｏＳ攻撃対処プログラムに関する。

【背景技術】

【0002】

コンピューター情報システム、コンピューターネットワーク、インフラストラクチャ、又はパーソナルコンピューターデバイスなどを標的として、ネットワークを経由して攻撃的な操作が行われる場合がある。このような攻撃的な操作はサイバー攻撃と呼ばれている。

【0003】

サイバー攻撃には様々な種類があるが、その中に、ＤｏＳ（Denial of Service）攻撃がある。ＤｏＳ攻撃とは、サービスを提供しているサーバに対するアクセス量を増大させ、当該サーバに意図的に過剰な負荷をかける攻撃である。また、ＤｏＳ攻撃の中にも、複数のマシンから分散して１つのサーバに一斉に攻撃を仕掛けるＤＤｏＳ（Distributed DoS）攻撃、被害者に経済的ダメージを負わせる事を目的として行われるＥＤｏＳ攻撃(Economic DoS)など、様々な種類がある。

【0004】

従来、ＤｏＳ攻撃を検出する技術が提案されている。例えば、特許文献１には、通信経路においてルータとＤＤｏＳ攻撃防御対象ホストとの間に設けられた侵入検出防御装置であって、ＤＤｏＳ攻撃防御対象ホストへのトラヒック流量に基づいてＤＤｏＳ攻撃の被疑を検出する侵入検出防御装置が開示されている。また、特許文献２には、同一の要求元から短時間に多数のアクセス要求が発信されている場合、ＤｏＳ攻撃である可能性があるため、その要求元をアクセス拒否リストに登録し、その要求元からのパケットを要求先に送らずに遮断するサーバが開示されている。

【先行技術文献】

【特許文献】

【0005】

【文献】特開２００６－５００８１号公報

【文献】国際公開第２００９／０６６３４４号

【発明の概要】

【発明が解決しようとする課題】

【0006】

上述のように、従来、ＤｏＳ攻撃を検出する技術あるいはＤｏＳ攻撃を遮断する技術が提案されているものの、このような技術の発達に応じてＤｏＳ攻撃の巧妙さも増しており、従来の技術ではＤｏＳ攻撃の対策として不十分な場合があった。

【0007】

ＤｏＳ攻撃を行う攻撃者がＤｏＳ攻撃の対象とするサーバは、サービスを提供中のサーバなど、正常に稼働しているサーバである。既にサービスが提供できなくなっているサーバ（例えばダウンしているサーバ）に対してＤｏＳ攻撃を仕掛けようとする攻撃者は少ないと考えられる。そこで、ＤｏＳ攻撃を行う攻撃者に対して、ＤｏＳ攻撃の対象となったサーバがダウンしたと誤認させることができれば、当該攻撃者からのＤｏＳ攻撃を停止させることができると考えられる。

【0008】

本明細書で開示されるＤｏＳ攻撃対処装置の目的は、対象サーバに対してＤｏＳ攻撃を行う攻撃者に、当該対象サーバがダウンしたと誤認させることで、対象サーバに対するＤｏＳ攻撃を停止させることにある。

【課題を解決するための手段】

【0009】

本明細書で開示されるＤｏＳ攻撃対処装置は、対象サーバへのアクセスを許可又は禁止するアクセス元が示されたアクセス可否リストに基づいて、注目アクセス元から前記対象サーバへのアクセスの可否を判定するアクセス可否判定部と、前記注目アクセス元が前記対象サーバへアクセスできないと判定された場合に、前記注目アクセス元を前記対象サーバへアクセスさせず、前記対象サーバを模したダミーサーバへ前記注目アクセス元をアクセスさせるアクセス制御部と、を備えるＤｏＳ攻撃対処装置であって、前記対象サーバへのアクセスを禁止するアクセス元が示された前記アクセス可否リストとしてのブラックリストに基づいて、前記アクセス可否判定部が前記注目アクセス元から前記対象サーバへのアクセスの可否を判定する通常モード、又は、前記対象サーバへのアクセスを許可するアクセス元が示された前記アクセス可否リストとしてのホワイトリストに基づいて、前記アクセス可否判定部が前記注目アクセス元から前記対象サーバへのアクセスの可否を判定する緊急モードで動作可能であり、前記対象サーバのアクセス負荷が第１閾値量未満である場合に前記通常モードで前記ＤｏＳ攻撃対処装置を動作させ、前記対象サーバのアクセス負荷が前記第１閾値量以上である場合に前記緊急モードで前記ＤｏＳ攻撃対処装置を動作させるモード切替部をさらに備える、ことを特徴とする。

【0011】

前記アクセス制御部は、前記ＤｏＳ攻撃対処装置が前記緊急モードで動作しているときに前記対象サーバへＤｏＳ攻撃をしているアクセス元を検出した場合、前記ホワイトリストに基づいて、前記対象サーバのアクセス負荷に応じて、前記ダミーサーバへアクセスさせるアクセス元の範囲を、前記対象サーバへのＤｏＳ攻撃をしているアクセス元から段階的に拡大していくとよい。

【0013】

また、本明細書で開示されるＤｏＳ攻撃対処プログラムは、コンピュータを、対象サーバへのアクセスを許可又は禁止するアクセス元が示されたアクセス可否リストに基づいて、注目アクセス元から前記対象サーバへのアクセスの可否を判定するアクセス可否判定部と、前記注目アクセス元が前記対象サーバへアクセスできないと判定された場合に、前記注目アクセス元を前記対象サーバへアクセスさせず、前記対象サーバを模したダミーサーバへ前記注目アクセス元をアクセスさせるアクセス制御部と、として機能させ、前記対象サーバへのアクセスを禁止するアクセス元が示された前記アクセス可否リストとしてのブラックリストに基づいて、前記アクセス可否判定部が前記注目アクセス元から前記対象サーバへのアクセスの可否を判定する通常モード、又は、前記対象サーバへのアクセスを許可するアクセス元が示された前記アクセス可否リストとしてのホワイトリストに基づいて、前記アクセス可否判定部が前記注目アクセス元から前記対象サーバへのアクセスの可否を判定する緊急モードで動作可能とさせ、前記対象サーバのアクセス負荷が第１閾値量未満である場合に前記通常モードで前記コンピュータを動作させ、前記対象サーバのアクセス負荷が前記第１閾値量以上である場合に前記緊急モードで前記コンピュータを動作させるモード切替部としてさらに機能させる、ことを特徴とする。

【発明の効果】

【0015】

本明細書で開示されるＤｏＳ攻撃対処装置によれば、対象サーバに対してＤｏＳ攻撃を行う攻撃者に、当該対象サーバがダウンしたと誤認させることで、対象サーバに対するＤｏＳ攻撃を停止させることができる。

【図面の簡単な説明】

【0016】

【図1】本実施形態に係るＤｏＳ攻撃対処システムの構成概略図である。

【図2】ゲートウェイの構成概略図である。

【図3】ホワイトリストの例を示す図である。

【図4】ゲートウェイの処理の流れを示すフローチャートである。

【発明を実施するための形態】

【0017】

図１は、本実施形態に係るＤｏＳ攻撃対処システム１０の構成概略図である。ＤｏＳ攻撃対処システム１０は、対象サーバ１２、ダミーサーバ１４、及び、ＤｏＳ攻撃対処装置としてのゲートウェイ１６を含んで構成される。

【0018】

対象サーバ１２はコンピュータにより構成される。対象サーバ１２は、ゲートウェイ１６を介してインターネット１８に接続されており、インターネット１８を経由して対象サーバ１２にアクセスしてきたユーザに対してサービスを提供するサーバである。対象サーバ１２は、ＤｏＳ攻撃の対象となり得るサーバであり、ＤｏＳ攻撃対処システム１０及びゲートウェイ１６によるＤｏＳ攻撃対処処理の対象となるサーバである。

【0019】

ダミーサーバ１４もコンピュータにより構成される。ダミーサーバ１４は、対象サーバ１２同様、ゲートウェイ１６を介してインターネット１８に接続されている。ダミーサーバ１４は、対象サーバ１２を模したサーバである。対象サーバ１２を模したとは、インターネット１８を経由してアクセスしてくるユーザに対して公開される情報が対象サーバ１２と同一であり、インターネット１８を経由してアクセスしてくるユーザからみて、対象サーバ１２にアクセスした場合とダミーサーバ１４にアクセスした場合とで区別がつかないことを意味する。ダミーサーバ１４は、対象サーバ１２のクローンサーバであると言ってもよい。

【0020】

ゲートウェイ１６は、通信経路において、対象サーバ１２とインターネット１８との間、及び、ダミーサーバ１４とインターネット１８との間に設けられるコンピュータである。したがって、アクセス元がインターネット１８を経由して対象サーバ１２にアクセスしようとする場合、必ずゲートウェイ１６を経由しなければならない。詳細は後述するが、ゲートウェイ１６は、インターネット１８を経由した対象サーバ１２へのアクセスの可否判定や、アクセス元を対象サーバ１２又はダミーサーバ１４へアクセスさせる（誘導する）処理などを行う。なお、アクセス元とは、対象サーバ１２にアクセスしようとするユーザが使用するユーザ端末である。

【0021】

図２は、ゲートウェイ１６の構成概略図である。

【0022】

通信インターフェース３０は、例えばネットワークアダプタなどを含んで構成される。通信インターフェース３０は、対象サーバ１２、ダミーサーバ１４、及びインターネット１８と接続されており、これにより、ゲートウェイ１６は、対象サーバ１２及びダミーサーバ１４と通信可能に接続され、また、ゲートウェイ１６は、インターネット１８を介してアクセス元と通信可能に接続される。

【0023】

メモリ３２は、例えば、ｅＭＭＣ（embedded Multi Media Card）、ＲＯＭ（Read Only Memory）あるいはＲＡＭ（Random Access Memory）などを含んで構成される。メモリ３２には、ゲートウェイ１６の各部を動作させるためのＤｏＳ攻撃対処プログラムが記憶される。なお、ＤｏＳ攻撃対処プログラムは、例えば、ＵＳＢ（Universal Serial Bus）メモリ又はＣＤ－ＲＯＭなどのコンピュータ読み取り可能な非一時的な記憶媒体に格納することができる。ゲートウェイ１６は、ＤｏＳ攻撃対処プログラムが記憶された記憶媒体を読み取ることで、ＤｏＳ攻撃対処プログラムを実行することができる。

【0024】

また、図２に示す通り、メモリ３２には、アクセス可否リストとしてのブラックリスト３４、及び、同じくアクセス可否リストとしてのホワイトリスト３６が記憶される。

【0025】

ブラックリスト３４は、対象サーバ１２へのアクセスを禁止するアクセス元が示されたリストである。これに限られるものではないが、ブラックリスト３４は、例えば、過去にＤｏＳ攻撃を行っているとゲートウェイ１６が判定したアクセス元のリストであってよい。また、悪意のユーザが使用していると判明しているアクセス元があるならば、当該アクセス元もブラックリスト３４に含めてもよい。

【0026】

本実施形態では、アクセス元を示す情報として当該アクセス元のドメイン名がブラックリスト３４にリストされている。ブラックリスト３４においては、対象サーバ１２へのアクセスを禁止する複数のドメイン名を含む包括的な示し方をすることができる。例えばトップレベルドメイン（例えば「．ｊｐ」）や、トップレベルドメイン及びセカンドレベルドメイン（例えば「．ｃｏ．ｊｐ」）をブラックリスト３４に含めることができる。例えば、ブラックリスト３４に、あるトップレベルドメインがリストされている場合には、当該トップレベルドメインを含む全てのドメイン名がブラックリスト３４に含まれる、ということになる。なお、ブラックリスト３４におけるアクセス元を示す情報としては、これには限られず、例えばアクセス元のＩＰアドレスなどであってもよい。

【0027】

ホワイトリスト３６は、対象サーバ１２へのアクセスを許可するアクセス元が示されたリストである。これに限られるものではないが、ホワイトリスト３６は、過去に正規に対象サーバ１２へアクセスしたアクセス元が示されたリストであってよい。ここで、正規に対象サーバ１２へアクセスした、とは、当該アクセス元が、対象サーバ１２にアクセスし、対象サーバ１２に対してＤｏＳ攻撃を含むサイバー攻撃を仕掛けずに、対象サーバ１２が提供するサービスを受けたことを意味する。また、正規に対象サーバ１２にアクセスすると判明しているアクセス元があるならば、当該アクセス元もホワイトリスト３６に含めてもよい。

【0028】

本実施形態では、ブラックリスト３４同様、アクセス元を示す情報として当該アクセス元のドメイン名がホワイトリスト３６にリストされている。また、ホワイトリスト３６においても、対象サーバ１２へのアクセスを許可する複数のドメイン名を含む包括的な示し方をすることができる。また、ホワイトリスト３６におけるアクセス元を示す情報としては、アクセス元のＩＰアドレスなどであってもよい。

【0029】

図３に、ホワイトリスト３６の例が示されている。図３において、「ｘｘｘ」で示される部分は任意であるとする。例えば、「ｘｘｘ．ｓａｍｐｌｅ．ｃｏ．ｊｐ」には、トップレベルドメインとして「．ｊｐ」、セカンドレベルドメインとして「．ｃｏ」、サードレベルドメインとして「．ｓａｍｐｌｅ」を有する全てのドメインを含むことを意味する。

【0030】

なお、本実施形態では、ブラックリスト３４及びホワイトリスト３６は、ゲートウェイ１６のメモリ３２に記憶されているが、これらは、ゲートウェイ１６からアクセス可能な他の装置に記憶されていてもよい。

【0031】

プロセッサ３８は、例えば、ＣＰＵ（Central Processing Unit）、ＡＳＩＣ（Application Specific Integrated Circuit）、あるいはＦＰＧＡ（Field-Programmable Gate Array）などを含んで構成される。プロセッサ３８としては、１つの処理装置によるものではなく、物理的に離れた位置に存在する複数の処理装置の協働により構成されるものであってもよい。図２に示す通り、プロセッサ３８は、メモリ３２に記憶されたＤｏＳ攻撃対処プログラムに従って、アクセス可否判定部４０、モード切替部４２、アクセス制御部４４、及びリスト更新部４６としての機能を発揮する。

【0032】

アクセス可否判定部４０は、アクセス元から対象サーバ１２へのアクセス要求を受けた際に、アクセス可否リストとしてのブラックリスト３４又はホワイトリスト３６に基づいて、当該アクセス元から対象サーバ１２へのアクセスの可否を判定する。本明細書においては、アクセス可否判定部４０が、対象サーバ１２のアクセスの可否を判定する対象となるアクセス元（換言すれば対象サーバ１２へのアクセス要求を送ってきたアクセス元）を注目アクセス元と呼ぶ。アクセス可否判定部４０の処理の詳細は、モード切替部４２の処理と共に後述する。

【0033】

モード切替部４２は、ゲートウェイ１６の動作モードを切り替える処理を行う。本実施形態では、ゲートウェイ１６は、通常モード及び緊急モードの２つの動作モードを有している。したがって、モード切替部４２は、通常モードと緊急モードとの間で、ゲートウェイ１６の動作モードを切り替える。

【0034】

通常モードとは、アクセス可否判定部４０が、ブラックリスト３４に基づいて、注目アクセス元から対象サーバ１２へのアクセスの可否を判定する動作モードである。

【0035】

具体的には、通常モードにおいては、アクセス可否判定部４０は、ゲートウェイ１６が注目アクセス元から対象サーバ１２へのアクセス要求を受けると、当該注目アクセス元のＩＰアドレスを取得する。そして、アクセス可否判定部４０は、ＤＮＳ（Domain Name System）サーバ（不図示）に当該ＩＰアドレスをクエリとして送信し、当該ＩＰアドレスに対応する（すなわち当該注目アクセス元の）ドメイン名を取得する。その上で、アクセス可否判定部４０は、取得したドメイン名がブラックリスト３４に含まれているか否かを判定し、当該ドメイン名がブラックリスト３４に含まれていた場合は、当該注目アクセス元が対象サーバ１２へアクセスできないと判定し、取得したドメイン名がブラックリスト３４に含まれていない場合は、当該注目アクセス元が対象サーバ１２へアクセスできると判定する。

【0036】

緊急モードとは、アクセス可否判定部４０が、ホワイトリスト３６に基づいて、注目アクセス元から対象サーバ１２へのアクセスの可否を判定する動作モードである。

【0037】

具体的には、緊急モードにおいて、アクセス可否判定部４０は、通常モードと同様に、ゲートウェイ１６が注目アクセス元から対象サーバ１２へのアクセス要求を受けると、当該注目アクセス元のドメイン名を取得する。その上で、アクセス可否判定部４０は、取得したドメイン名がホワイトリスト３６に含まれているか否かを判定し、取得したドメインがホワイトリスト３６に含まれていた場合は、当該注目アクセス元が対象サーバ１２へアクセスできると判定し、取得したドメインがホワイトリスト３６に含まれていない場合は、当該注目アクセス元が対象サーバ１２へアクセスできないと判定する。

【0038】

通常モードにおいては、ブラックリスト３４に含まれていないアクセス元全てからの対象サーバ１２へのアクセスが許可されるため、未知の（すなわちブラックリスト３４及びホワイトリスト３６に含まれない）アクセス元からの対象サーバ１２へのアクセスが許可される。一方、緊急モードにおいては、ホワイトリスト３６に含まれているアクセス元のみからの対象サーバ１２へのアクセスが許可されるため、未知のアクセス元からの対象サーバ１２へのアクセスが許可されない。したがって、緊急モードは、通常モードに比して、対象サーバ１２へのアクセス条件がより厳しいと言え、ＤｏＳ攻撃から対象サーバ１２をより確実に守れると言える。一方、緊急モードは、通常モードに比して、悪意のないユーザが使用するアクセス元であっても、ホワイトリスト３６に含まれていないアクセス元からの対象サーバ１２へのアクセスが禁止されてしまうということが生じる。

【0039】

そこで、モード切替部４２は、対象サーバ１２のアクセス負荷に応じて、ゲートウェイ１６の動作モードを切り替える。具体的には、モード切替部４２は、対象サーバ１２のアクセス負荷が、ＤｏＳ攻撃対処システム１０の管理者などによって予め定められた第１閾値量未満である場合は、通常モードでゲートウェイ１６を動作させ、対象サーバ１２のアクセス負荷が第１閾値量以上である場合は、緊急モードでゲートウェイ１６を動作させる。ここで、アクセス負荷とは、対象サーバ１２のトラヒック量（単位時間当たりに対象サーバ１２に送信されるデータ量）、ＣＰＵ負荷、メモリ使用量などを考慮して算出される値である。また、通信第１閾値量は、対象サーバ１２がＤｏＳ攻撃を受けていると疑われる場合のアクセス負荷程度に定められる。

【0040】

通常モードにおいては、対象サーバ１２がＤｏＳ攻撃を受けている可能性が低いため、アクセス可否判定部４０がブラックリスト３４に基づく対象サーバ１２へのアクセス可否を判定することで、悪意のないユーザが使用するアクセス元からの対象サーバ１２へのアクセスを誤って禁止してしまう可能性が低減される。

【0041】

一方、緊急モードにおいては、対象サーバ１２がＤｏＳ攻撃を受けている可能性が高いため、アクセス可否判定部４０がホワイトリスト３６に基づく対象サーバ１２へのアクセス可否を判定することで、少なくとも通常モードよりは、悪意のユーザが使用するアクセス元が対象サーバ１２へアクセスしてＤｏＳ攻撃を行う可能性を低減させることができる。また、緊急モードでは、未知のアクセス元からの対象サーバ１２へのアクセスは拒否されるため、緊急モードは、複数のアクセス元から分散してＤｏＳ攻撃を行うＤＤｏＳ攻撃に対しても効果的である。

【0042】

アクセス制御部４４は、アクセス可否判定部４０によって、注目アクセス元が対象サーバ１２へアクセスできると判定された場合に、注目アクセス元を対象サーバ１２へアクセスさせる。一方、アクセス制御部４４は、アクセス可否判定部４０によって、注目アクセス元が対象サーバ１２へアクセスできないと判定された場合は、注目アクセス元を対象サーバ１２へアクセスさせずに注目アクセス元からの対象サーバ１２へのアクセス要求を拒否するか、あるいは、注目アクセス元を対象サーバ１２へアクセスさせずにダミーサーバ１４へとアクセスさせる。

【0043】

対象サーバ１２へアクセスできないと判定された注目アクセス元は、対象サーバ１２にＤｏＳ攻撃を仕掛けようとする悪意のユーザ（攻撃者）が使用するアクセス元であると考えられる。上述のように、ダミーサーバ１４は対象サーバ１２を模したものであるから、注目アクセス元をダミーサーバ１４にアクセスさせても、注目アクセス元を使用している悪意のユーザは、実際にはダミーサーバ１４にアクセスしていることに気付かず、対象サーバ１２にアクセスしていると錯覚する。そして、当該悪意のユーザは、対象サーバ１２にＤｏＳ攻撃をしているつもりで、実際にはダミーサーバ１４に対してＤｏＳ攻撃をすることになる。

【0044】

やがて、ＤｏＳ攻撃によってダミーサーバ１４がダウンすると、当該悪意のユーザは、対象サーバ１２をＤｏＳ攻撃によってダウンさせる、という目的を達したと錯覚し、ＤｏＳ攻撃を止めると考えられる。言うまでもなく、このとき、対象サーバ１２には何の影響もない。このように、本実施形態によれば、ダミーサーバ１４を囮とすることで、ＤｏＳ攻撃によって対象サーバ１２をダウンさせたと悪意のユーザに誤認させることで、対象サーバ１２をＤｏＳ攻撃から守ることができる。

【0045】

なお、アクセス制御部４４は、ダミーサーバ１４へ誘導した注目アクセス元から、ダミーサーバ１４のコード書き換えなどのハッキング攻撃の兆候を検出した場合、即、当該注目アクセス元からダミーサーバ１４へのアクセスを遮断するようにするとよい。

【0046】

本実施形態では、アクセス制御部４４は、対象サーバ１２がＤｏＳ攻撃を受けている可能性が高い緊急モードの場合のみ、対象サーバ１２へアクセスできないと判定された注目アクセス元をダミーサーバ１４へ誘導している。本実施形態では、通常モードの場合は、アクセス制御部４４は、対象サーバ１２へアクセスできないと判定された注目アクセス元からの対象サーバ１２へのアクセス要求を拒否するのみである。しかしながら、アクセス制御部４４は、通常モードの場合においても、対象サーバ１２へアクセスできないと判定された注目アクセス元をダミーサーバ１４へ誘導するようにしてもよい。

【0047】

また、アクセス制御部４４は、対象サーバ１２へアクセスさせたアクセス元から対象サーバ１２へ送信されるデータ、及び、対象サーバ１２のアクセス負荷に基づいて、対象サーバ１２にＤｏＳ攻撃をしているアクセス元を検出した場合、直ちに、当該アクセス元から対象サーバ１２へのアクセスを遮断させるか、あるいは、当該アクセス元から対象サーバ１２へのアクセスを遮断した上で当該アクセス元をダミーサーバ１４へアクセスさせる。

【0048】

通常モードにおいては、ブラックリスト３４に含まれないアクセス元は全て対象サーバ１２へのアクセスが許可されるから、その中には、悪意のユーザが使用するアクセス元が含まれ得、アクセス可否判定部４０が対象サーバ１２へのアクセスを許可したアクセス元から対象サーバ１２がＤｏＳ攻撃を受ける場合もあり得る。また、緊急モードにおいては、ホワイトリスト３６に含まれるアクセス元は、例えば過去に正規に対象サーバ１２へアクセスしたアクセス元など、本来信頼のおけるアクセス元である。しかしながら、信頼できるアクセス元であっても、当該アクセス元が悪意のユーザに利用される場合がある。例えば、当該アクセス元が悪意のユーザに乗っ取られてしまい、ゾンビコンピュータと化す場合がある。したがって、一旦ホワイトリスト３６に含められたアクセス元であっても、当該アクセス元から対象サーバ１２がＤｏＳ攻撃を受ける場合も有り得る。

【0049】

したがって、本実施形態では、アクセス制御部４４は、対象サーバ１２へアクセスさせたアクセス元が対象サーバ１２に対してＤｏＳ攻撃をしないか否かを監視しておき、当該アクセス元からのＤｏＳ攻撃が検出されたならば、通常モードの場合は当該アクセス元から対象サーバ１２へのアクセスを遮断し、緊急モードの場合は当該アクセス元をダミーサーバ１４へアクセスさせる。なお、ここでも、通常モードの場合に当該アクセス元をダミーサーバ１４へアクセスさせるようにしてもよい。

【0050】

特に、緊急モードの場合において、アクセス制御部４４は、ホワイトリスト３６に基づいて、対象サーバ１２のアクセス負荷に応じて、ダミーサーバ１４へアクセスさせるアクセス元の範囲を、ＤｏＳ攻撃を検出したアクセス元から段階的に拡大していくとよい。対象サーバ１２のアクセス負荷が比較的小さい場合には、対象サーバ１２が単一あるいは少数のアクセス元からのＤｏＳ攻撃を受けている場合が多いが、対象サーバ１２のアクセス負荷が比較的大きい場合には、対象サーバ１２が多数のアクセス元からのＤＤｏＳ攻撃を受けている可能性がある。したがって、複数のアクセス元からのＤＤｏＳ攻撃を防ぐべく、アクセス制御部４４は、対象サーバ１２のアクセス負荷に応じて、ダミーサーバ１４へアクセスさせるアクセス元の範囲を段階的に拡大していく。

【0051】

本実施形態では、対象サーバ１２のアクセス負荷が、ＤｏＳ攻撃対処システム１０の管理者などによって予め定められた第２閾値量未満である場合は、アクセス制御部４４は、対象サーバ１２にＤｏＳ攻撃を行っていると判断されたアクセス元のみをダミーサーバ１４へアクセスさせる。第２閾値量は、上述の第１閾値量と異なっていてもよいし、同じであってもよい。

【0052】

例えば、ゲートウェイ１６が緊急モードで動作しており、ホワイトリスト３６に「ｘｘｘ．Ａｃｏｍｐａｎｙ．ｃｏ．ｊｐ」という包括ドメインが登録されている場合において、悪意のユーザによる乗っ取りにより、「ｕｓｅｒ１．Ａｃｏｍｐａｎｙ．ｃｏ．ｊｐ」というドメインから対象サーバ１２へのＤｏＳ攻撃が検出された場合を考える。なお、当該ドメインはＡ社のユーザ１が使用しているドメインであるとする。このとき、当該対象サーバ１２のアクセス負荷が第２閾値量未満であれば、アクセス制御部４４は、ＤｏＳ攻撃を行っている「ｕｓｅｒ１．Ａｃｏｍｐａｎｙ．ｃｏ．ｊｐ」というドメインのアクセス元のみをダミーサーバ１４へアクセスさせる。このとき、アクセス制御部４４は、当該ドメイン以外の「ｘｘｘ．Ａｃｏｍｐａｎｙ．ｃｏ．ｊｐ」に含まれるドメインのアクセス元からの対象サーバ１２へのアクセスは許容する。

【0053】

対象サーバ１２のアクセス負荷が第２閾値量以上である場合は、アクセス制御部４４は、ダミーサーバ１４へアクセスさせるドメインを拡大する。例えば、上記の例において、対象サーバ１２のアクセス負荷が第２閾値量以上のとき、Ａ社のユーザ１以外のドメインも乗っ取られており、対象サーバ１２が、複数のＡ社のドメインのアクセス元からＤＤｏＳ攻撃を受けている可能性がある。したがって、対象サーバ１２のアクセス負荷が第２閾値量以上であれば、アクセス制御部４４は、ホワイトリスト３６において、ＤｏＳ攻撃を行っている「ｕｓｅｒ１．Ａｃｏｍｐａｎｙ．ｃｏ．ｊｐ」というドメインを含む「ｘｘｘ．Ａｃｏｍｐａｎｙ．ｃｏ．ｊｐ」で示される包括ドメインの複数のアクセス元をダミーサーバ１４へアクセスさせる。これにより、Ａ社の複数のドメインからのＤＤｏＳ攻撃を防ぐことができる。

【0054】

なお、ＤＮＳサーバによって対象サーバ１２にＤｏＳ攻撃を行っていると判断されたアクセス元のドメイン名が取得できない場合、アクセス制御部４４は、ＪＰＮＩＣ（日本ネットワークインフォメーションセンター）などのＩＰアドレス管理団体から規制対象となるアドレス領域を抽出して、抽出したアドレス領域に含まれるＩＰアドレスのアクセス元をダミーサーバ１４へアクセスさせるとよい。

【0055】

リスト更新部４６は、ブラックリスト３４又はホワイトリスト３６を更新する処理を行う。例えば、リスト更新部４６は、ゲートウェイ１６が通常モードで動作中に、アクセス制御部４４が対象サーバ１２へＤｏＳ攻撃をしていると判断したアクセス元をブラックリスト３４に追加する。また、リスト更新部４６は、ゲートウェイ１６が緊急モードで動作中に、アクセス制御部４４がダミーサーバ１４へアクセスさせたアクセス元をホワイトリスト３６から削除した上で、当該アクセス元をブラックリスト３４に追加する。

【0056】

本実施形態に係るＤｏＳ攻撃対処システム１０の構成は以上の通りである。以下、図４に示すフローチャートに従って、ゲートウェイ１６の処理の流れを説明する。

【0057】

ステップＳ１０において、モード切替部４２は、対象サーバ１２のアクセス負荷が第１閾値量以上であるか否かを判定する。対象サーバ１２のアクセス負荷が第１閾値量未満である場合はステップＳ１２に進み、ステップＳ１２において、モード切替部４２は、ゲートウェイ１６の動作モードを通常モードとする。

【0058】

通常モードにおいて、注目アクセス元から対象サーバ１２へのアクセス要求を受けると、ステップＳ１４において、アクセス可否判定部４０は、注目アクセス元がブラックリスト３４に含まれるか否かを判定する。注目アクセス元がブラックリスト３４に含まれない場合はステップＳ１６に進み、ステップＳ１６において、アクセス制御部４４は、注目アクセス元を対象サーバ１２へアクセスさせて処理を終了する。なお、ステップＳ１６の後、アクセス制御部４４が対象サーバ１２へＤｏＳ攻撃を行うアクセス元を検出した場合は、当該アクセス元から対象サーバ１２へのアクセスを遮断するか、当該アクセス元をダミーサーバ１４へアクセスさせるようにしてもよい。また、この場合、リスト更新部４６が当該アクセス元をブラックリスト３４に追加するとよい。

【0059】

注目アクセス元がブラックリスト３４に含まれる場合はステップＳ１８に進み、ステップＳ１８において、アクセス制御部４４は、注目アクセス元を対象サーバ１２へアクセスさせずに処理を終了する。なお、上述のように、ステップＳ１８において、アクセス制御部４４が注目アクセス元をダミーサーバ１４にアクセスさせるようにしてもよい。

【0060】

ステップＳ１０において、対象サーバ１２のアクセス負荷が第１閾値量以上である場合はステップＳ２０に進み、ステップＳ２０において、モード切替部４２は、ゲートウェイ１６の動作モードを緊急モードとする。

【0061】

緊急モードにおいて、注目アクセス元から対象サーバ１２へのアクセス要求を受けると、ステップＳ２２において、アクセス可否判定部４０は、注目アクセス元がホワイトリスト３６に含まれるか否かを判定する。

【0062】

注目アクセス元がホワイトリスト３６に含まれない場合はステップＳ２４に進み、ステップＳ２４において、アクセス制御部４４は、注目アクセス元をダミーサーバ１４へアクセスさせる。この後、注目アクセス元からのＤｏＳ攻撃によってダミーサーバ１４がダウンすると、当該ＤｏＳ攻撃は終了すると考えられる。ＤｏＳ攻撃が停止した後、注目アクセス元がブラックリスト３４に含まれていないならば、リスト更新部４６は、注目アクセス元をブラックリスト３４に追加する。

【0063】

注目アクセス元がホワイトリスト３６に含まれる場合はステップＳ２６に進み、ステップＳ２６において、アクセス制御部４４は、注目アクセス元を対象サーバ１２へアクセスさせる。

【0064】

ステップＳ２８において、アクセス制御部４４は、対象サーバ１２、及び、各アクセス元からの対象サーバ１２へ送信されるデータを監視し、対象サーバ１２へのＤｏＳ攻撃があったか否かを判定する。対象サーバ１２へのＤｏＳ攻撃が無いとアクセス制御部４４が判定すれば処理を終了する。一方、アクセス制御部４４により対象サーバ１２へのＤｏＳ攻撃が検出された場合には、ステップＳ３０に進む。

【0065】

ステップＳ３０において、アクセス制御部４４は、ステップＳ２８で対象サーバ１２へＤｏＳ攻撃を行ったと判定したアクセス元をダミーサーバ１４へアクセスさせる。また、上述のように、アクセス制御部４４は、ホワイトリスト３６に基づいて、対象サーバ１２のアクセス負荷に応じて、ダミーサーバ１４へアクセスさせるアクセス元の範囲を拡大するようにしてもよい。

【0066】

ステップＳ３２において、リスト更新部４６は、ステップＳ２８で対象サーバ１２にＤｏＳ攻撃を行ったアクセス元をホワイトリスト３６から削除した上でブラックリスト３４に追加する。

【0067】

以上、本開示に係るＤｏＳ攻撃対処装置を説明したが、本開示に係るＤｏＳ攻撃対処装置は上記実施形態に限られるものではなく、本発明の趣旨を逸脱しない限りにおいて種々の変更が可能である。

【符号の説明】

【0068】

１０ ＤｏＳ攻撃対処システム、１２ 対象サーバ、１４ ダミーサーバ、１６ ゲートウェイ、１８ インターネット、３０ 通信インターフェース、３２ メモリ、３４ ブラックリスト、３６ ホワイトリスト、３８ プロセッサ、４０ アクセス可否判定部、４２ モード切替部、４４ アクセス制御部、４６ リスト更新部。

【図1】

【図2】

【図3】

【図4】