DoS攻撃

commited date: 2026-01-11

Denial of Service

#Security

リソース（サイト、アプリケーション、サーバー）を本来の目的で利用不可にすることを目的とした攻撃。C-I-Aの可用性を侵害する

ネットワークパケット操作、プログラム脆弱性の悪用、リソース枯渇など多様な手段で実行される

主な攻撃手法

メモリ枯渇（ユーザー指定オブジェクト割り当て、セッションデータ過剰蓄積）
CPU負荷増加（ループカウンター制御、バッファオーバーフロー）
リソース解放失敗（ファイルロック、DB接続の未解放）
アカウントロックアウト機構の悪用
ネットワーク帯域幅の飽和

対策としてレートリミット、入力検証、冗長性確保、グレースフルデグラデーションなどがある

STRIDE

#Security セキュリティ脆弱性をカテゴライズするような脅威モデリングでの方法論 Microsoft Threat Modeling ToolではSTRIDEを利用していくつかの自動分析を行うことができる STRIDEは以下の頭文字を取ったもの Spoofing（なりすまし）ブルートフォース攻撃 Tampering（改ざん）インジェクション攻撃マスアサインメント攻撃 Repudiation（否認）ログ・監査証跡の不足デジタル署名の欠如タイムスタンプの不備 Information Disclosure（情報漏洩）過剰なデータ露出不適切なインベントリ管理 Denial of Service（サービス拒否） DoS攻撃 Elevation of privilege（権限昇格） https://learn.microsoft.com/ja-jp/azure/security/develop/threat-modeling-tool-threats#stride-model
レートリミット

#Security #API Architecture 以下のような目的でAPIの使用回数を制限する、制限を超過した時はHTTPの場合一般に429エラーを返す処理 STRIDEにあるようなDenial of Service（サービス拒否）からアプリケーションを保護するカスケード障害の可能性を制限するリソースの使用量を測定し従量課金に利用できるレートリミットの実装アルゴリズムには以下のようなものがある固定ウインドウ（Fixed window）固定期間内の制限スライディングウインドウ（Sliding window）直近の期間内の制限トークンバケット方式（Token bucket）総リクエスト数（トークンのバケツ）を定義しリクエストごとにトークンが利用される。バケツは定期的に充填されるリーキーバケット方式（Leaky bucket）リクエストが処理される速度は固定で、バケツから溢れ出るリクエストを漏れ（リーキー）として扱う APIゲートウェイを利用している場合、ゲートウェイに配置するとよい
アカウントロックアウト

#Security #Authentication 一定回数の不正なパスワード入力後にアカウントを一時的または永続的にロックするブルートフォース攻撃対策主な問題点 DoS攻撃の標的になりやすい（攻撃者が大量のアカウントをロック可能）ユーザー名の列挙が可能（存在するアカウントのみがロックされる）ヘルプデスクへの負担増加低速攻撃や複数ユーザー対象の攻撃に無効
Device Cookies

#Security #Authentication ブルートフォース攻撃を軽減するための認証ロック機構。ユーザーが正常に認証された後、そのブラウザに発行される特別なCookie 従来のアカウントロックアウトと比較して以下の利点がある DoS攻撃に対して耐性がある IPアドレスではなくブラウザCookieを基準とするため予測可能で実装しやすいボットネットや代理経由の攻撃に対応しやすい認証リクエスト時に有効なDevice Cookieの有無を確認し、未信頼クライアント（Device Cookieなし）からの認証試行回数を記録してロックアウトを実施する実装にはJWT、Redis/Memcachedによるロックリスト管理、HMAC署名による改ざん防止などが用いられる https://owasp.org/www-community/Slow_Down_Online_Guessing_Attacks_with_Device_Cookies
Blocking Brute Force Attacks

#Security #Authentication #Blog ブルートフォース攻撃を防ぐための対策をまとめたOWASP Communityの記事主な対策方法アカウントロックアウト機能（DoS攻撃に悪用されるリスクに注意） Device Cookies（デバイスごとの認証ロック機構、DoS攻撃に対して耐性がある）パスワード検証時の遅延追加 IPアドレスベースのレートリミット CAPTCHAの導入複数の秘密の質問による認証強化単一の技術では回避されやすいため、複数の対策を組み合わせることが重要 https://owasp.org/www-community/controls/Blocking_Brute_Force_Attacks
デジタルアイデンティティのすべて
OWASP Cheat Sheet Series/

Denial of Service

#Security #OWASP DoS攻撃の防御戦略をまとめたOWASP Cheat Sheet Series OSIモデルに基づくCERT-EU分類を採用し、3つの攻撃層に分類している Application層：サーバリソースの枯渇またはアプリケーション機能の無効化（Slow HTTP攻撃など） Session/Protocol層：サーバやファイアウォール、ロードバランサーなどのリソース消費 Network/Volumetric層：ネットワーク帯域幅の飽和主な防御戦略単一障害点（SPOF）の排除と冗長性確保グレースフルデグラデーション（部分的機能継続）の実装入力検証（ファイルサイズ、リクエストサイズの上限設定）セッションタイムアウトの適切な設定レートリミット（最小入信データレート、接続タイムアウト、帯域幅上限） ISPレベルでのIP偽装フィルタリング CPU集約的操作の回避例外処理の適切な実装静的リソースの別ドメイン配置 https://cheatsheetseries.owasp.org/cheatsheets/Denial_of_Service_Cheat_Sheet.html