Project Shield はいかにして米国中間選挙を DDoS 攻撃から保護したのか

※この投稿は米国時間 2023 年 3 月 23 日に、Google Cloud blog に投稿されたものの抄訳です。

現代の選挙は、選挙候補者の政策、選挙監視、投票所への行き方など、一般に公開された膨大な量のオンライン情報に支えられています。しかし、公開されているウェブサイトは、特別なアクセス権を持たない攻撃者からの、分散型サービス拒否（DDoS）攻撃によってオフラインにされることがあります。このような DDoS 攻撃は、多くの場合、情報を抑圧したり、組織や個人に損害を与えたり、地政学的なイベントの結果を揺るがしたりするために使用されます。

Project Shield は、Google が無料で提供するサービスであり、Google Cloud の力を活用して、ニュース、人権、選挙組織のウェブサイトを DDoS 攻撃から安全に保護します。2022 年上半期、Project Shield は保護対象のサイトにおいて 25,000 件以上の攻撃を防御しました。

Project Shield は、これらのウェブサイトをオンラインに保つことで、米国中間選挙期間中、選挙関連情報や選挙候補者のウェブサイトへのアクセスが妨害されないようにしました。また、Google の分析により、対象のお客様が攻撃を受けたときのウェブサイトの稼働時間を測定したところ、Project Shield が一貫してこれらのお客様のウェブサイト（および Project Shield を使用するお客様のすべてのウェブサイト）を 99.99% 以上の有効性でオンラインに保っていたことがデータによって明らかになりました。

米中間選挙期間中の DDoS 攻撃の増加

先だって行われた 2022 年下半期の米国中間選挙期間中、Project Shield では、そのすべてのお客様に対する 1 週間あたりの攻撃数が 4 倍に増加したことを確認しました。この期間中、確認された攻撃の多くがターゲットとしたのは、Project Shield の申請時に「選挙の監視と情報」と申告されたウェブサイトでした。

攻撃が成功すると、ユーザーは、どのような選挙が実施されるかという情報、投票方法の説明、投票結果の最新情報などにアクセスできなくなり、最終的には選挙結果に影響が及ぶことになります。Project Shield は、米国中間選挙の総選挙が発表され、準備が開始された 2022 年 8 月から、これらのウェブサイトに対する攻撃が急増したことを確認しています。こうした攻撃は、ほぼすべての選挙結果の発表と確認が終了した 2022 年 12 月中旬まで絶えず続きました。

また、Project Shield は、選挙候補者のウェブサイトに対する攻撃が 2022 年 10 月から急増し、選挙日の 2022 年 11 月 8 日を境に急速に減少したことも確認しています。これらのウェブサイトは、有権者に、候補者に関する情報を提供するためのものでした。

このように攻撃活動のレベルが高まっていたにもかかわらず、Project Shield は 2022 年下半期、一貫してお客様のウェブサイトとサーバーを 99.99% 以上の稼働時間でオンラインに保ち、DDoS 攻撃者からのレイヤ 7 のリクエスト量を 99.9% 以上ブロックすると同時に、Google ネットワークのエッジでレイヤ 3 および 4 の攻撃をブロックしました。

仕組み: Google Cloud を活用した保護

DDoS 攻撃を防御するということは、ウェブサイトをオンラインに保つことを意味します。Project Shield はこのために、多層防御戦略を採用し、攻撃を検出して軽減するための事前および事後の対策を展開し、お客様のウェブサイトと配信元サーバーの負荷を最小限に抑えます。Google Cloud Armor、Cloud CDN、Cloud Load Balancing を構成し、ユーザーとウェブサイト サーバー間のキャッシュ保存、レート制限、脅威の検出および軽減を組み合わせてサイトを保護します。Project Shield は、リバース プロキシ サービスとして機能するため、お客様は Project Shield が提供する IP アドレスにトラフィックを送信するよう DNS 設定を変更し、ホスティング サーバーに関する情報を使用して Project Shield を構成します。お客様は DNS 設定とホスティング サーバーの両方を引き続き管理することができ、シンプルな DNS スイッチでいつでも Project Shield を簡単に有効または無効にすることができます。

Project Shield ではリクエストを処理する際、Google Cloud Load Balancer でリクエストを受け取り、この時点で Cloud Armor と Load Balancer によりレイヤ 3 およびレイヤ 4 のボリューム型の DDoS 攻撃が自動的にブロックされます。その後、まず、ウェブサイト リソースのコピーを保存している Cloud CDN キャッシュから、すべての正当なトラフィックにサービスを提供します。こうすることで、ホスティング サーバーがダウンした場合でも、ユーザーにコンテンツを配信し続けることができます。また、通常の運用時のホスティング サーバーの負荷も軽減し、Google のグローバル エッジ ネットワークの力を借りて、サイトの配信にかかる時間を短縮します。

キャッシュをバイパスしたトラフィックは、Cloud Armor を活用した複数の保護レイヤによりフィルタされます。Project Shield は Cloud Armor 適応型保護を使用します。この保護では、リアルタイムの機械学習を使用して攻撃シグネチャを識別するとともに、個々のウェブサイトのニーズに応じて動的に調整されたレート制限を使用して、攻撃トラフィックをブロックしながら、ウェブサイトの正当な使用を許可します。これらのレート制限は継続的に調整されアクティブであるため、Project Shield は数秒以内にほとんどの DDoS 攻撃のトラフィックをスロットリングおよびブロックできます。Project Shield の防御は自動化されているため、お客様による防御の構成は必要ありません。

使ってみる

Project Shield は、世界中の対象となるウェブサイトで無料でご利用いただけます。ご希望のお客様は、g.co/shield からお申し込みください。Cloud Armor の詳細については、g.co/cloud/armor をご覧ください。