配信サイトなどでゲームの配信を見ていると、たまにDoS攻撃というワードが出てきます。見る配信がFPS(Apex Legends)くらいなので、他ゲームについては知りませんが妨害が行われます。
攻撃の動機としては以下のようなものが想像できます。
- 負けた腹いせ
- 他プレイヤーを脱落させ勝つため
- ゲーム、メーカーに対するイメージダウンを狙う
実際、勝利はしているでしょうし、ゲームのイメージは下がっています。メーカに対して「対応しろ」と配信者も声を荒らげます。
ゲームを対象とした時、ゲームサーバを狙った攻撃と、プレイヤーを狙った攻撃があるようなので、調べたいと思います。
ゲームサーバを狙った攻撃
いわゆる「サーバ落ち」を狙う攻撃です。送信元を偽装したフラッド攻撃や増幅攻撃をゲームサーバに対して行います。ゲーム側で対策は行われているはずで、通常のゲームに偽造したリクエストなど判断の難しいリクエストが行われているのだと考えられます。
サーバを落とせば自分たちも影響を受けるので、ゲームマッチに複数台のサーバが当てられているのであれば、自分に関係のないサーバを標的にするものだと想像します。
FPSゲームという性質上、普通のユーザでも通信量は多くなると考えられます。そのためしきい値で接続を拒否しようとした場合、設定値を決めるのは難しくなるでしょう。
また、IPは偽装されている可能性が高く、その偽装を見破ることは非常に困難です。そのため、攻撃をしているIPが分かったとしても、誤BANに繋がる危険性も高くなります。
プレイヤーを狙った攻撃
プレイヤーを狙った攻撃、特定の個人を狙った攻撃の可能性も示唆されています。ゲーム中、攻撃を受けたプレイヤーのみ遅延や停止の影響を受け、攻撃者は通常の動作で勝ちを得ます。
この攻撃では、攻撃者は他プレイヤーのIPを取得し、増幅攻撃の返却先にそのIPとゲームが使用するポートを指定しているのだと予想されます。この場合はゲーム無関係に攻撃を受けることになりますし、ゲーム側ではプレイヤーが攻撃を受けていると検知できません。
疑問としては、他プレイヤーのIPをどこから持ってくるのか?ということです。
ゲーム内VC
P2Pでプレイヤー同士を接続するタイプだと相手にIPが渡ることになります。この場合、自分がOFFにしていても相手の音声が通るのであれば、IPの受け渡しをしていることになります。
ゲームサーバから取得
基本的に取得はできない作りになっています。
チートツールなどによるクラッキングにより取得できるのではないかと想像します。
配信環境から取得
配信中で使用するYoutube,Twitch,Discordなどの通信からIPを取得できるらしい?
その他、人物の特定班のように、配信から地域や使用しているISPなどを取得するなどして、住居を特定。その後、配線から通信を傍受するなどしてできないことはないようです。
マルチベクターDDoS攻撃(Multi-vector DDoS attack)
このようなDoS攻撃では複数の攻撃の組み合わせで行われることがあります。図に示したインターネットにはDNS、NTP、Portmapなど複数含みます。このように攻撃を組み合わせた攻撃をマルチベクターDDoS攻撃と呼びます。
公開するサービスはさまざまな攻撃を考慮する必要があるとわかります。
最後に
このアドベントカレンダーは準備なく始めたため、並びやレベル、表現などばらばらで見づらくなってしまい反省します。もう少し検知と対策のボリュームがあって、いい感じにまとまるはずだったのですが。DoS攻撃の検知対策はどれも似たようなものになりますよね。
今後、少し時間をかけて修正して行ければと考えていますので、また後で見に来ていただければうれしく思います。