いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ
Webエンジニア向けプログラミング解説動画をYouTubeで配信中!
▶ チャンネル登録はこちら

Pingフラッド攻撃(ピンフラッドコウゲキ)とは | 意味や読み方など丁寧でわかりやすい用語解説

Pingフラッド攻撃(ピンフラッドコウゲキ)の意味や読み方など、初心者にもわかりやすいように丁寧に解説しています。

作成日: 更新日:

読み方

日本語表記

ピングフラッド攻撃 (ピングフラッドコウゲキ)

英語表記

Ping flood attack (ピンフラッドアタック)

用語解説

Pingフラッド攻撃は、サービス拒否攻撃(DoS攻撃)の一種であり、特定のサーバーやネットワークに対して、診断用プロトコルであるICMP(Internet Control Message Protocol)のEcho Request(一般に「Ping」として知られるコマンド)を大量に送りつけることで、対象システムのリソースを枯渇させ、正当なサービス提供を妨害する行為を指す。この攻撃は、ネットワークの帯域を占有し、対象サーバーの処理能力を圧倒することで、ウェブサイトやオンラインサービスを利用不能にする目的で行われる。

Pingは本来、ネットワーク上の機器が正常に接続されているか、通信が可能かを診断するために使用される非常に有用なツールである。具体的には、Pingコマンドを実行すると、送信元から宛先へICMP Echo Requestパケットが送られ、宛先はそれに対しICMP Echo Replyパケットを返す。この一連のやり取りによって、通信経路の確認や遅延時間の測定が行われる。しかし、この仕組みを悪用し、大量かつ高速にPingパケットを送りつけることがPingフラッド攻撃の本質である。

詳細な仕組みとしては、攻撃者はまず、標的とするサーバーのIPアドレスを特定する。その後、特別なツールやスクリプトを用いて、非常に短い間隔で多数のICMP Echo Requestパケットを生成し、ターゲットサーバーに向けて送信し続ける。これらのパケットは、多くの場合、送信元IPアドレスを偽装(IPスプーフィング)して行われることがあるため、攻撃元の特定を困難にする場合があるが、Pingフラッド攻撃自体は送信元IPを偽装しなくても実行可能である。

ターゲットサーバーは、受信した全てのICMP Echo Requestに対して、ルールに基づきICMP Echo Replyを生成して返そうとする。この「受け取る」「処理する」「返信する」という一連の動作が、サーバーのCPU、メモリ、ネットワークインターフェースといったシステムリソースを大量に消費する。具体的には、サーバーのネットワーク帯域が、膨大な数のICMPパケットの送受信処理によって飽和状態になる。同時に、ICMP Echo Replyを生成するためのCPUサイクルや、そのパケットを一時的に保持するためのメモリも消費され続ける。その結果、サーバーは正当なユーザーからのHTTPリクエスト(ウェブサイトへのアクセス)や、メールの送受信、データベースへの問い合わせといった本来のサービスを提供するためのリソースが不足し、処理が遅延したり、最終的には応答不能に陥る。これがサービス拒否の状態であり、サーバーがダウンしたように見えることもある。

Pingフラッド攻撃は、比較的シンプルなDoS攻撃の一種であり、複雑なプロトコルやアプリケーションの脆弱性を突くものではないため、古典的ながらも未だに有効な攻撃手法として認識されている。攻撃の規模によっては、単一の攻撃者から実行されることもあるが、複数の感染したコンピュータ(ボットネット)が連携して攻撃を行う分散型サービス拒否攻撃(DDoS攻撃)の一環として、Pingフラッドが利用されることも少なくない。DDoS攻撃の場合、大量の攻撃元から同時にPingパケットが送られるため、さらに大規模な帯域の飽和やリソースの枯渇を引き起こし、防御が困難になる傾向がある。

この攻撃への対策としては、いくつかの方法が考えられる。まず、ネットワークの境界に設置されたファイアウォールやルーターで、ICMPパケットのレート制限を設定することが有効である。これは、特定の期間内に受信するICMPパケットの数を制限し、過剰なPingパケットを破棄する設定である。これにより、ネットワーク帯域の飽和をある程度防ぐことができる。また、特定の送信元IPアドレスからのICMPトラフィックが異常に多い場合は、そのIPアドレスからの通信を一時的にブロックする設定も有効な場合がある。しかし、攻撃元IPアドレスが頻繁に変わる場合や、IPスプーフィングが行われている場合は、この対策だけでは不十分である。

次に、侵入検知システム(IDS)や侵入防御システム(IPS)の導入も重要である。これらは、ネットワークトラフィックを監視し、異常なパターンのICMPパケットを検出した場合に警告を発したり、自動的に遮断したりする機能を持つ。より高度なDDoS対策サービスを利用することも一般的である。これらサービスは、攻撃トラフィックを自社のネットワークで吸収・フィルタリングし、正規のトラフィックのみをターゲットサーバーに転送する仕組みを提供することで、大規模な攻撃からシステムを保護する。

サーバー側の設定としては、緊急時に限り、OSレベルでICMP Echo Requestへの応答を完全に無効化することも可能であるが、これはネットワーク診断ツールとしてのPingの機能も失われるため、慎重な検討が必要である。通常は、外部からの不必要なICMP通信をブロックするよう、サーバーのファイアウォールを設定することが推奨される。

システムエンジニアを目指す者としては、Pingフラッド攻撃がネットワークとサーバーのリソースに与える影響を理解し、適切な対策を講じる能力を身につけることが重要である。これは、システムが安定してサービスを提供し続けるための基本的なセキュリティ対策の一つである。

関連コンテンツ

関連IT用語