研究の目的はDistributed-Denial-of-Service(DDoS)攻撃への対策です。他の関連研究に比較し、私の研究は、実世界に展開可能性が高く短期(1-2年内)で応用可能です。 現在までの関連研究は、最先端であっても実世界に展開する可能性は低いです。なぜなら3つの問題点に直面しているからです:(1)セキュリティに無関心なインターネットの利用者に依存していること(2)研究技術を応用する為、現在のインフラを変更するのは面倒であること(3)研究技術の実現のロケーションは多く,又、幅広いことです。

Burrowsというフレームワークで、ゲートウエイとして変更し易いエッジノードを採用し、オーバレイネットワークを作ることにより無関心な利用者に依存せずにサーバを守ることができるので、(1)と(2)の問題が解決できるようになります。KUMOというフレームワークでDDoS防御リソースを集合する為にどんなインターネットシステムのリソースでも使えるので、(3)の問題に対策できるようになります。この二つのフレームワークに基づいて3種類のDDoS(スプーフ/ネットワークレイヤ、フィルター不可、経済的なDDoS)に対策できる技術の研究(Overfort,AI-RON-E, sPoW)を立てます。この3つの研究によりmulti-prongアップロチのDDoS防御(detect, prevent, react)を作成します。Overfortという研究ではアタッカーシステムをtraceback-and-punishでき、AI-RON-Eという研究ではクライアントが自身でDDoSによる混雑経路を回避し、sPoWという研究では世界で初めてpay-as-use-youのDDoS防御サービスが構造できます。

本論文は,「実世界に展開可能なDDoS攻撃防御メカニズム(Deployable Mechanisms for Distributed Denial-of-Service (DDoS) Attack Mitigation)」と題し,現在のインターネット上で大きな社会的問題となっていながら,防御方法が未だに確立されていないDDoS攻撃に対する,容易に実装可能な防御メカニズムを提案するものである.DDoS攻撃とは,インターネット上に散在する複数の攻撃者,多くの場合は多数のボット(Bots)(ある攻撃者が何らかの方法で侵入し自由に操ることが可能な多数のコンピュータ)から,サーバやその手前に存在するルータ・スイッチなどに故意に一斉にパケットを集中的に送ることで,他のユーザからのアクセスを遮断してしまう攻撃の一つである.近年,クラウドプロバイダ(クラウドコンピューティングのインフラを提供する業者)から,動画配信などネットワークサービスを運用するための資源の使用権を購入し,サービス提供を行うビジネスモデルが一般的となりつつある.しかし,一方で,ネットワークアクセスに応じた従量制の課金モデルでは,DDoS攻撃により課金が膨大になるeDDoS(Economic DDoS)攻撃の発生が予測されている.

本論文では,ネットワーク層のDDoS攻撃,通常トラフィックに見せかけてあるためフィルタできないDDoS攻撃,および,eDDoS攻撃など,現在頻発している,或いは,近未来に重大な社会問題と成り得るDDoS攻撃に対し,実際にインターネット上に容易に構築できる可能性を主眼に置く5つの防御手法(Burrows, Overfort, AI-RON-E, Kumo, SPoW)を提案している.これらの5つの手法は,以下に示すように,本論文の第3章から第7章に相当する.

第3章では,Burrowsの手法が提案されている.従来提案されてきたDDoS攻撃の防御は,攻撃とは無関係な他者に依存する解法であったり,多くのコンピュータ資源を必要としたり,また,送信先へ至る複数のルータを改変しパケット認証が必要であるなど,実装・展開の際の敷居が高い方法が多く見られる.それに対し,Burrowsでは,データ通信において送信先へのトラフィックが必ず複数の中継地点を通過することを義務付けることを基本アーキテクチャとして定義する.このため,防御は中継地点でのみ実装すれば良く,攻撃とは無関係な他者に依存せず,少ない資源で実現可能,また,ルータ・スイッチなどのインフラ変更が不必要であるなど,実装・展開の敷居を低くすることが可能となる.

第4章では,Burrowsの基本アーキテクチャに基づき,Overfortと呼ばれるDDoS攻撃者の追跡(トレースバック)が提案されている.従来のDDoS攻撃のトレースバックでは,送信元のアドレスを偽る(Source Address Spoofing)の問題,および,トレースバックしたあとに攻撃者にペナルティを与える仕組みが欠如していた.Overfortでは,送信先にデータを通信するためにはDNS(Domain Name System)によりホスト名からIPアドレスを解決するサービスを経なくてはならない事実に着目し,攻撃者がいるネットワーク領域(同じDNSサーバを利用しているユーザ群)を検出し,自動的にペナルティを与えるメカニズムを提案している.OverfortはBurrowsに基づき,ユーザは必ずOFG(Overfort Gateway)と呼ばれる中継地点を介してのみ送信先のサーバと通信が可能になっており,攻撃者が存在するネットワーク領域からのアクセスは対応するOFGにより通信制限を受ける.シミュレーションによると,インターネット全体1割のPCがサーバを攻撃すると仮定した場合,必要なOFGは12,000台程度に抑えられるため,Overfortの提案手法は少ない資源で実装が可能である.

第5章では,Burrowsに基づき,DDoS攻撃によって生じるネットワークの輻輳(混雑状態)をユーザ自らが回避するAI-RON-Eと呼ばれる手法が提案されている.AI-RON-Eではインターネットのルータ・スイッチや経路制御などのインフラを変更することなく,ユーザ自らが,あるルータ(OSR)を中継地点として経由して送信先にデータ通信を行う.実際に,世界中に散在した100台の送信元PCから25台の送信先PCに対し,途中の経路がDDoS攻撃により輻輳したと仮定した場合,69%の確率で輻輳を回避可能であることが示されている.AI-RON-Eの手法はインターネットのインフラの変更を必要としないため実装が容易である.

第6章では,Burrowsに基づき,インターネット上に存在する中継地点に成り得るあらゆるネットワークサービス(掲示板,IRC,Webサービスなど)を利用して,輻輳状態やリンク障害を回避する,KUMOと呼ばれるミドルウェアが提案されている.KUMOは,クライアント,サーバ,そして,中継地点となるネットワークサービスのソフトウェアには手を加えず,中継するための送信,受信,再送信,パケット分割・再構築などの基本的なネットワークスタックをミドルウェアとして提供する.KUMOのプロトタイプ実装を用いることで,実際に世界中に散在するPC間で,Flickr, Amazon S3, Forum, IRC, i3などを用いて通信が可能となることが示されている.

第7章では,KUMOを発展させ,中継地点のネットワークサービスをクラウドに実装するsPowというメカニズムが提案されている.sPoWでは,中継地点をクラウド上に非常に多数用意した上で,どの中継地点を通過すれば目的のサーバに到達できるかという情報をパズルにより暗号化し,クライアントに解読するための計算資源を課す.クラウドで中継地点を実装する方式では,前述のようにeDDoS攻撃を受ける可能性があるが,クライアントが自らの計算資源で中継地点を検出すること,および,多数の中継地点のうち到達可能な中継地点が秘匿されていることにより,eDDoS攻撃を最小限にとどめることが可能となる.sPoWのプロトタイプによると,アタッカーがクライアントの3倍存在するDDoS攻撃の状況下でも接続時間は遅延するものの,クライアントはサーバに接続可能であることが示されている.

本論文は,実装可能性の観点から,インターネット上で大きな社会問題となっている多種多様なDDoS/eDDoS攻撃の防御として中継地点経由のアクセスを基本概念とする5つの防御メカニズムを提案し,その有用性をシミュレーションとプロトタイプ実装により評価したものである.また,特に,防御が困難とされる通常トラフィックを用いたフィルタ不可のDDoS攻撃やeDDoS攻撃に対し,これら5つを組合せた防御手法を考案し評価したことは,DDoS/eDDoS攻撃防御の研究分野の発展に大きく寄与するものである.よって,本審査委員会は,本論文が博士(学際情報学)の学位に相当するものと判断する.