オーストラリア ACSC DoS攻撃への準備と対応 (2025.03.17)

こんにちは、丸山満彦です。

オーストラリアのサイバーセキュリティセンター（Australia Cyber Security Centre: ACSC）がDoS攻撃への準備と対応に関するガイドを改訂して公表していますね...

昨年年末に日本でも大規模なDDoS攻撃があり、話題になりました。DoS攻撃を受けてからできることは限られているので、何よりも事前の準備が重要となりますね...

それと自分たちがDoS攻撃用に乗っ取られないようにすることも併せて重要ですね...

 

● Australia Cyber Security Centre: ACSC

・2025.03.17 Preparing for and responding to denial-of-service attacks

・[PDF] 

 

Preparing for and responding to denial-of-service attacks	DoS攻撃への準備と対応
Introduction	序文
This publication was developed by the Australian Signals Directorate (ASD) in cooperation with New Zealand’s National Cyber Security Centre (NCSC-NZ), Akamai Technologies Ltd and Cloudflare Pty Ltd, in response to an increased trend in denial-of-service (DoS) attacks in our region. It offers guidance to organisations on best practice mitigations based on contemporary threat tradecraft, to prepare for and respond to DoS attacks.	本書は、ニュージーランドの 国家サイバーセキュリティセンター(NCSC-NZ) 、 アカマイ、クラウドフレア の協力のもと、当地域で増加傾向にあるサービス妨害 (DoS) 攻撃に対応するため、オーストラリア信号総局 (ASD) が作成したものである。本書は、DoS 攻撃に備え、対応するために、最新の脅威対策に基づくベストプラクティスの緩和策について、組織へのガイダンスを提供するものである。
We recommend reading this advice in conjunction with ASD’s Internet of Things devices and Secure your Wi-Fi and router publications. These publications help individuals to avoid unintentionally contributing to DoS attacks that could impact others.	ASDのIoTデバイスやSecure your Wi-Fi and routerの出版物と合わせてこのアドバイスを読むことをお勧めする。これらの出版物は、他者に影響を与える可能性のあるDoS攻撃に個人が意図せず加担することを避けるのに役立つ。
DoS attacks are cyberattacks designed to disrupt or degrade online services such as websites, email and Domain Name System (DNS) services, to deny access to legitimate users. This is typically achieved by flooding an online service with data, connections or requests to overwhelm the service and degrade its functionality.	DoS攻撃とは、ウェブサイト、Eメール、ドメインネームシステム（DNS）サービスなどのオンラインサービスを妨害したり、劣化させたりして、正当なユーザーからのアクセスを拒否することを目的としたサイバー攻撃である。これは通常、オンライン・サービスにデータ、接続、またはリクエストを殺到させてサービスを圧倒し、その機能を低下させることで達成される。
DoS attacks typically require a large amount of network traffic to be successful. They are becoming increasingly common, in part due to an increase in the number of easily compromised Internet of Things (IoT) devices. As IoT manufacturers often prioritise user experience over cybersecurity, vulnerable devices can include regular household items that connect to the internet such as smart TVs, kettles, vacuum cleaners and security systems. These devices can often be remotely compromised by malicious actors to create a ‘botnet’ of devices from which to generate this network traffic, which can result in households and organisations unintentionally contributing to the infrastructure that allows DoS attacks to occur.	DoS攻撃は通常、大量のネットワーク・トラフィックを必要とする。DoS攻撃は、侵害されやすいモノのインターネット（IoT）デバイスの増加もあり、ますます一般的になりつつある。IoT製造事業者はサイバーセキュリティよりもユーザーエクスペリエンスを優先することが多いため、脆弱性デバイスには、スマートテレビ、ポット、掃除機、セキュリティシステムなど、インターネットに接続する一般家庭用品が含まれる。これらのデバイスは、悪意のある行為者によって遠隔操作で侵入され、ネットワーク・トラフィックを生成するデバイスの「ボットネット」を作成される可能性がある。
Recent activity indicates that once malicious actors have compromised a large number of IoT devices, they may rent or sell this infrastructure to cybercriminals and hacktivists, who are increasingly interested in performing DoS attacks against targets of their choosing. In most cases, DoS attacks are performed to cause an organisation productivity and financial loss, or to gain public attention for a cause. An example of this activity is described in ASD’s People’s Republic of China-linked actors compromise routers and IoT devices for botnet operations advisory.	最近の活動から、悪意のある行為者が多数のIoTデバイスを侵害すると、このインフラをサイバー犯罪者やハクティビストに貸与または売却する可能性があることがわかる。ほとんどの場合、DoS攻撃は、組織の生産性や経済的損失を引き起こしたり、ある目的のために世間の注目を集めたりするために実行される。この活動の例は、ASDの「中華人民共和国とつながりのあるアクターがボットネット運用のためにルーターやIoTデバイスを危険にさらす」という勧告に記載されている。
As our economy further digitises and the number of poorly secured IoT devices connected to the internet grows, DoS attacks are likely to continue to increase.	経済がさらにデジタル化され、インターネットに接続されるセキュリティが不十分なIoTデバイスの数が増えるにつれ、DoS攻撃は増加の一途をたどるだろう。
To disrupt or degrade an organisation’s online services, malicious actors use a number of approaches, including:	組織のオンライン・サービスを混乱させたり低下させたりするために、悪意のある行為者は以下を含む多くのアプローチを用いる：
・directing a large volume of unwanted network traffic at online services in an attempt to consume all available network bandwidth	・利用可能なネットワーク帯域幅をすべて消費しようとして、大量の不要なネットワーク・トラフィックをオンライン・サービスに向ける
・directing tailored network traffic at online services in an attempt to consume their computer processing resources	・オンライン・サービスのコンピュータ処理リソースを消費しようとして、カスタマイズされたネットワーク・トラフィックをオンライン・サービスに向ける
・using multiple computers, IoT devices or other internet-connected devices to direct network traffic at online services, from multiple directions and on a much larger scale, a common type of DoS attack referred to as a distributed DoS (DDoS) attack	・複数のコンピュータ、IoTデバイス、またはその他のインターネット接続デバイスを使用して、ネットワーク・トラフィックをオンライン・サービスに向け、多方向から、はるかに大規模に、分散型DoS（DDoS）攻撃と呼ばれる一般的なタイプのDoS攻撃を行う
・hijacking an organisation’s domain registration or DNS servers in an attempt to redirect legitimate users away from the organisation’s online services.	・組織のオンライン・サービスから正規ユーザーをリダイレクトしようとして、組織のドメイン登録またはDNSサーバーをハイジャックする。
Organisations cannot avoid being targeted by DoS attacks, but there are a number of measures that organisations can implement to prepare for and potentially reduce their impact. Preparing for DoS attacks before they occur is the best strategy, because without preparation, it is difficult and less effective to respond during a DoS attack.	組織がDoS攻撃の標的になることを避けることはできないが、組織がDoS攻撃に備え、その影響を軽減できる可能性のある対策はいくつかある。DoS攻撃は、発生する前に準備することが最善の戦略である。なぜなら、準備なしには、DoS攻撃中に対応することは困難であり、効果的ではないからである。
Although organisations primarily focus on protecting themselves from DoS attacks, they should also take steps to prevent their online services and internet-connected devices from being abused by malicious actors to target others.	組織は、主にDoS攻撃から自らを守ることに重点を置くが、オンラインサービスやインターネットに接続されたデバイスが、悪意のある行為者によって悪用され、他者を標的にすることを防ぐための対策も講じるべきである。
Preparing for DoS attacks	DoS攻撃への備え
In the context of an increasing volume of DoS attacks across our region, before implementing any measures to prepare for DoS attacks, your organisation should first assess its business requirements to determine if each of your online services must remain operational during DoS attacks, or if temporary service interruptions are acceptable.	当地域でDoS攻撃の件数が増加している中、DoS攻撃への備えを実施する前に、まず組織のビジネス要件を評価し、DoS攻撃中も各オンラインサービスを稼動させ続けなければならないのか、それとも一時的なサービス中断は許容できるのかを判断する必要がある。
If your organisation wants to increase its ability to withstand DoS attacks, you should proactively implement the following measures, where appropriate and practical, prior to DoS attacks occurring.	DoS攻撃への耐性を高めたい場合は、DoS攻撃が発生する前に、適切かつ実用的であれば、以下の対策を積極的に実施する。
・If your organisation is using a content delivery network (CDN), you should implement the following additional measures, where appropriate and practical.	コンテンツ・デリバリー・ネットワーク（CDN）を利用している場合は、適切かつ現実的な範囲で、以下の追加対策を実施する。
・・Consider using a CDN that includes functionality to protect your origin web server from a variety of application and network layer attacks – some CDNs might include these features as part of a web application firewall at the edge.	オリジンのウェブサーバをアプリケーション層やネットワーク層のさまざまな攻撃から防御する機能を備えたCDNの利用を検討する。CDNによっては、エッジのウェブアプリケーションファイアウォールの一部としてこれらの機能を備えている場合もある。
・・Avoid unnecessary public disclosure of your origin web server’s Internet Protocol (IP) address, and ensure that any public exposures are protected from DoS attacks.	オリジンウェブサーバーのインターネットプロトコル（IP）アドレスの不必要な公開を避け、公開されたエクスポージャーがDoS攻撃から保護されるようにする。
・・Avoid using an IP address for your origin web server which malicious actors could predict, for example, an IP address in the same network subnet of publicly disclosed IP addresses of your online services.	オリジンウェブサーバーに悪意のあるアクターが予測できるIPアドレス（例えば、オンラインサービスの公開IPアドレスと同じネットワークサブネット内のIPアドレスなど）を使用しないようにする。
・・Use network access controls (such as a firewall) to ensure that only the CDN and your organisation’s authorised management networks can access your origin web server.	ネットワークアクセス管理（ファイアウォールなど）を使用して、CDNと組織の管理ネットワークのみがオリジンウェブサーバーにアクセスできるようにする。
・・Consider using resilient diverse network connectivity, which might include private network connectivity, between your origin web server and your CDN provider, if you require a higher level of protection for your origin web server.	オリジンウェブサーバーに対してより高いレベルの保護が必要な場合は、オリジンウェブサーバーとCDNプロバイダの間で、プライベートネットワーク接続を含むレジリエンス多様なネットワーク接続を使用することを検討する。
・・Configure the CDN, origin web server and client HTTP headers to optimise the amount of caching performed.	CDN、オリジンウェブサーバー、クライアントのHTTPヘッダーを設定し、キャッシュの量を最適化する。
・・Consider partitioning origin web servers so that requests from lower risk IP addresses are handled separately to requests from higher risk IP addresses, if you require a higher level of availability.	より高いレベルの可用性が必要な場合は、オリジンウェブサーバーのパーティショニングを検討し、リスクの低いIPアドレスからのリクエストとリスクの高いIPアドレスからのリクエストを別々に処理する。
・Determine what functionality and quality of service is acceptable for legitimate users of your online services, how to maintain that functionality, and what functionality is not required during DoS attacks.	オンラインサービスの正当なユーザーにとって許容できる機能とサービス品質、その機能の維持方法、DoS攻撃時に不要な機能を決定する。
・Procure and use a cloud based DoS attack mitigation service.	クラウドベースのDoS攻撃緩和サービスを調達し、利用する。
・Consider reducing your organisation’s attack surface by:	組織のアタック・サーフェスを減らすには、次のような方法がある：
・・outsourcing foundational online services (such as DNS) to reputable service providers who are able to withstand DoS attacks.	基本的なオンラインサービス（DNS など）を、DoS 攻撃に耐える信頼できるサービスプロバイダにアウトソーシングする。
・・partitioning critical online services (such as email) from other online services that are more likely to be targeted (such as websites)	重要なオンラインサービス（電子メールなど）を、標的にされやすい他のオンラインサービス（ウェブサイトなど）から分離する。
・・ensuring that the DoS attack mitigation service only permits network traffic associated with the online service’s network port(s).	DoS 攻撃緩和サービスが、オンラインサービスのネットワークポートに関連するネットワークトラフィックのみを許可するようにする。
・Discuss with your service providers the details of their DoS attack prevention and mitigation strategies, specifically their:	サービスプロバイダと、DoS 攻撃の防止および緩和戦略の詳細、特に以下の点について話し合う：
・・proven capability to withstand DoS attacks from around the world	世界中からの DoS 攻撃に耐える実証済みの能力
・・demonstrated history of handling both DoS attacks and comprehensive authorised DoS attack testing	DoS 攻撃と包括的な認定 DoS 攻撃テストの両方に対応した実証済みの履歴
・・ability to automatically mitigate most types of DoS attacks without human involvement, such as manual analysis of network traffic	ネットワークトラフィックの手動分析など、人手を介さずにほとんどのタイプの DoS 攻撃を自動的に緩和する能力
・・approach to pricing their services, such as whether the cost is fixed or it varies based on the amount of network traffic and computer processing resources used, and whether you can set a billing limit	ネットワークトラフィックやコンピュータ処理リソースの使用量に応じて料金が固定か変動するか、課金上限を設定できるかなど、サービス料金の設定方法
・・thresholds for notifying you or turning off their online services during DoS attacks	DoS 攻撃時にプロバイダに通知したりオンラインサービスを停止したりするためのしきい値
・・pre-approved actions that can be undertaken during DoS attacks	DoS 攻撃時に実行できる事前承認済みのアクション
・DoS attack prevention arrangements with upstream providers.	上流プロバイダとの DoS 攻撃防止の取り決め。
・Implement measures to detect DoS attacks, such as real-time monitoring and alerting of system availability, network traffic, computer processing resources, and associated costs.	システムの可用性、ネットワークトラフィック、コンピュータの処理リソース、関連コストをリアルタイムで監視・警告するなど、DoS攻撃を検知するための対策を実施する。
・Prepare a static version of your website that requires minimal processing and bandwidth to facilitate continuity of service during DoS attacks.	DoS攻撃時のサービス継続を容易にするため、最小限の処理と帯域幅で済むウェブサイトの静的バージョンを用意する。
・Procure and use highly resilient online services with large bandwidth, adequate computer processing resources, geographically dispersed hosting locations and cloud-based traffic scrubbing to discard undesirable network traffic – this commonly includes using a reputable CDN to cache static website content and protect your origin web server from unwanted network traffic.	大容量の帯域幅、適切なコンピュータ処理リソース、地理的に分散したホスティング・ロケーション、望ましくないネットワーク・トラフィックを破棄するクラウドベースのトラフィック・スクラビングを備えたレジリエンスの高いオンライン・サービスを調達し、使用する - これには一般的に、評判の高いCDNを使用して静的なウェブサイト・コンテンツをキャッシュし、オリジンのウェブ・サーバーを望ましくないネットワーク・トラフィックから保護することが含まれる。
・Protect your organisation’s domain names by using registrar locking, confirming domain registration contact details and other details are correct, and following additional guidance outlined in ASD’s Domain Name System security for domain owners publication.	レジストラロッキングを使用し、ドメイン登録の連絡先やその他の詳細が正しいことを確認し、ASDのドメイン所有者のためのドメインネームシステムセキュリティに記載されている追加ガイダンスに従うことで、組織のドメインネームを防御する。
・Maintain up-to-date contact details for your service providers and share your organisation’s contact details with them, ensuring all contacts are available based on your organisation’s requirements, for example, 24 hours a day, 7 days a week.	サービスプロバイダの最新の連絡先詳細を維持し、組織の連絡先詳細をプロバイダと共有する。
・Provide your organisation’s out-of-band contact details for a trustworthy communication channel to your service providers, for when normal communication channels fail.	通常のコミュニケーション・チャネルが機能しなくなったときのために、サービス・プロバイダとの信頼できるコミュニケーション・チャネルとして、組織の帯域外の連絡先詳細を提供する。
・Develop, implement and maintain a cybersecurity incident response plan, covering various types of DoS attacks against each of your online services required to withstand DoS attacks, and exercise the plan at least annually.	DoS攻撃に耐えるために必要な各オンラインサービスに対する様々なタイプのDoS攻撃を網羅したサイバーセキュリティインシデント対応計画を策定、実施、維持し、少なくとも年1回はその計画を実施する。
・Architect applications to protect commonly abused functionality that consumes increased computer processing resources or that incurs additional financial costs (such as sending SMS messages)	一般的に悪用され、コンピュータの処理リソースを消費したり、追加的な金銭的コストが発生する機能（SMS メッ セージの送信など）を防御するために、アプリケーションを設計する
・・Protections include rate limiting and verifying that requests are from a human.	防御には、レート制限や、リクエストが人間からのものであることの確認などが含まれる。
・・Perform DoS attack testing including targeting improper logic flows in application functionality.	アプリケーション機能における不適切なロジックフローをターゲットとした DoS 攻撃テストを実施する。
・・Perform broader load testing to identify and remediate DoS vectors.	より広範な負荷テストを実施し、DoS ベクターの識別と修正を行う。
Responding to DoS attacks	DoS攻撃への対応
If your organisation has not prepared for DoS attacks, you can attempt to implement some of the above measures during DoS attacks, though they might be less effective and take time to implement, reducing your organisation’s ability to respond.	組織がDoS攻撃への備えをしていない場合、DoS攻撃中に上記の対策のいくつかを実施しようと試みることはできるが、その効果は低く、実施に時間がかかり、組織の対応能力が低下する可能性がある。
Your organisation should implement the following measures during DoS attacks, where appropriate and practical.	DoS攻撃時には、適切かつ現実的であれば、以下の対策を実施すべきである。
・Enact your cybersecurity incident response plan.	サイバーセキュリティ・インシデント対応計画を実施する。
・Ask your service providers if they are able to immediately implement responsive actions – if you have not previously discussed their ability to respond, you might discover that they are unable or unwilling to respond, or charge additional fees.	サービスプロバイダに、即座に対応策を実施できるかどうかを問い合わせる。プロバイダの対応能力について事前に相談していない場合、プロバイダが対応できないか、対応する気がないことが判明したり、追加料金を請求されたりする可能性がある。
・Disable non-vital functionality or remove non-vital content from your online services that make the current DoS attack effective, for example, deploy a version of your website without search functionality, dynamic content or large files.	例えば、検索機能、動的コンテンツ、大容量ファイルのないバージョンのウェブサイトを展開する。
・Maintain communication with your customers and your service providers, including your DoS attack mitigation service provider, and continue monitoring the availability of your online services.	顧客およびDoS攻撃緩和サービスプロバイダを含むサービスプロバイダとのコミュニケーションを維持し、オンラインサービスの可用性攻撃を監視し続ける。
・Consider changing the IP address of your origin web server if it is being directly targeted, and avoid public disclosure of the new IP address without having protections in place.	オリジンウェブサーバーが直接標的にされている場合は、IPアドレスの変更を検討し、防御を講じることなく新しいIPアドレスを公開することは避ける。
・Report the DoS attack to relevant parties, including ASD and NCSC-NZ as per the ‘Contact details’ section of this publication.	本書の「連絡先の詳細」に従い、ASDやNCSC-NZを含む関係者にDoS攻撃を報告すること。
Avoiding contributing to DoS attacks	DoS攻撃への加担を避ける
Your organisation should implement the following measures to avoid unintentionally contributing to DoS attacks that could impact others.	他者に影響を与える可能性のあるDoS攻撃に意図せず加担しないよう、組織は以下の対策を実施すること。
・Avoid exposing services, IoT devices and other internet-connected devices to the internet which are unneeded, insecurely configured or inadequately maintained.	不要なサービス、IoTデバイス、その他のインターネット接続デバイスをインターネットに公開しない。
・Securely configure, maintain and monitor services, IoT devices and other internet-connected devices that are exposed to the internet.	インターネットに公開されているサービス、IoTデバイス、その他のインターネット接続デバイスを安全に設定、保守、監視する。
・・Additional guidance for small businesses is available in ASD’s Internet of Things devices and Secure your Wi-Fi and router publications.	中小企業向けの追加ガイダンスは、ASDのInternet of Things devicesとSecure your Wi-Fi and router publicationsで入手できる。
If your organisation is running online services, you should implement the following additional measures.	もしあなたの組織がオンラインサービスを運営しているのであれば、以下の追加対策を実施すべきである。
・Prioritise reviewing protocols outlined in the United States’ Cybersecurity and Infrastructure Security Agency’s (CISA) UDP-Based Amplification Attacks advice.	米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）のUDPベースの増幅攻撃に関するアドバイスに概説されているプロトコルの見直しを優先する。
・Monitor for new amplification vectors as they are identified and secure your online services against them.	新たな増幅ベクターが特定された場合はそれを監視し、オンライン・サービスをそれらから保護する。
Configure both inbound and outbound network access controls to limit access to authorised online services and organisations.	インバウンドとアウトバウンドの両方のネットワークアクセス管理を設定し、認可されたオンラインサービスと組織へのアクセスを制限する。
・Block anonymous public access for amplification-prone online services if not required.	増幅しやすいオンラインサービスの匿名公開アクセスを、必要なければブロックする。
・Consider implementing a rate-limiting mechanism to reduce the consequences of abuse, if blocking or applying access controls is not possible or appropriate.	ブロックやアクセス管理が不可能または適切でない場合は、不正利用の影響を軽減するために、レート制限メカニズムの導入を検討する。
Further information	その他の情報
ASD’s Information security manual is a cybersecurity framework that organisations can apply to protect their systems and data from cyberthreats. The advice in the Strategies to mitigate cybersecurity incidents, along with the Essential Eight, complements this framework .	ASDの情報セキュリティマニュアルは、組織がサイバー脅威からシステムやデータを保護するために適用できるサイバーセキュリティの枠組みである。サイバーセキュリティインシデントを緩和するための「戦略」のアドバイスは、「エッセンシャルエイト」とともに、この枠組みを補完するものである。
The New Zealand Information Security Manual is the New Zealand Government’s manual on information assurance and information systems security. It is a practitioner’s manual designed to meet the needs of agency information security executives as well as vendors, contractors and consultants who provide services to agencies.	ニュージーランド情報セキュリティマニュアルは、情報保証と情報システムセキュリティに関するニュージーランド政府のマニュアルである。このマニュアルは、省庁の情報セキュリティ担当幹部、および省庁にサービスを提供するベンダー、請負業者、コンサルタントのニーズに応えるように設計された実務者向けのマニュアルである。
More information on various DoS attack types is available in CISA’s DDoS Quick Guide and Understanding and Responding to Distributed Denial-Of-Service Attacks publication.	様々なDoS攻撃タイプに関する詳細は、CISAの『DDoSクイック・ガイド』および『分散型サービス拒否攻撃の理解と対応」という刊行物に掲載されている。

 

 

---

 

ちょうどオーストラリアの情報セキュリティマニュアルが改訂されているので、参考まで...（3ヶ月毎に改訂されます...）

 

・Information security manual

 

---

 

ニュージーランドの情報セキュリティマニュアル...

● Government Communications Security Bureau - New ZealandInformation Security Manual

最新のマニュアル（2025年3月現在では2024年9月に改訂されたVer.3.8が最新）

・・ISM Document