大規模なDDoS攻撃が増えているようです

大規模なDDoS攻撃が増えている

先日のGitHubに対しての大規模なDDoS攻撃(3月1日)で、GitHubのアクセス不能になったことがありましたが、3月5日にはアメリカのサービスプロバイダーに対してのDDos攻撃があったそうです。GitHubに対する攻撃は 1.3Tbpsと、これまでのDDoS攻撃の倍近いトラフィックが集中する攻撃だったと言われています。今回の攻撃は、さらに多くて1.7Tbpsということで、大規模な攻撃が行われるようになってきたようです。

DDoS攻撃

DDoS攻撃は、DoS攻撃が攻撃元が1つなのに対して複数の攻撃元からサーバに対して負荷やトラフィックを増加させることでサーバのサービスのパフォマンスを低下させたり、サービス自体を停止させることを狙った攻撃です。
脆弱性を持つサイトに不正アクセスなどでツールを置いたり、メールや不正サイトを訪れた際にPCをウィルス感染させることで踏み台を作り、攻撃元を特定させずに攻撃を行います。最近だとIoT機器も出荷時のパスワードを変えていないなどで簡単に不正アクセスされて踏み台にされることもあります。

DDoS対策

一般的なDDoS攻撃対策は、FirewallやIDS呼ばれるシステム監視ツールやIPSと呼ばれる攻撃を検知して遮断するようなシステムを導入して対策することと思います。これらは自社サイトでも必要かと思いますが、使用しているネットワークサービスプロバイダーがどのような対策をしているか?ということにも注意が必要です。

DoS/DDoS対策システムを販売しているF5ネットワークスに漫画形式のサイトがあったので紹介します。特になにかの思入れがあったり、F5ネットワークスさんを勧める訳ではありません。単に漫画形式というのが面白かったので。

F5ネットワークス DDoS攻撃からサービスを守るために
https://interact.f5.com/jp-solutions-ddos-service.html

踏み台にされないために

DDoS攻撃は踏み台になるサーバやPC、IoT機器の存在が必要になります。自宅で使用しているPCやIoT機器もしっかりと対策しておくべきです。
昨年、騒がれたマルウェアでDDoS攻撃に利用された Mirai などもWifiルータやWebカメラがターゲットになったと言われています。このMiraiは感染した機器の周囲に存在するデバイスに対してtelnet接続を行い、感染を広げていくものでした。telnetで接続できてしまうのは、デバイスのIDとパスワードが出荷時のもので、情報も出回っていますし、簡単なIDとパスワードであることが要因です。管理が面倒なのですが、購入したデバイスは出荷時のIDとパスワード(最低パスワードだけでも)変更することで知らないうちに攻撃者に利用されるリスクを減らすことができます。
PCに関して言えば、必要なウィルス対策をして怪しいサイトにはアクセスしないということが最低限のこととなります。

今回騒がれているDDoS攻撃

今回のDDoS攻撃ではMemcachedというWebアプリケーションの脆弱性が利用されているそうです。Memcachedはデータをキャッシュして、ディスクやデータベースのような高負荷データストアの負担を軽減するためのWebアプリケーションでMemcachedの get 要求を受信すると、システムは要求された値をメモリから取得した後、それらの値を連続ストリームで返信することで応答を作成するという動作をするそうで、この仕組みを使用することで、トラフィック量を増加させた攻撃だったようです。(Memcachedリフレクション攻撃と呼ばれている)

JPCERTは、次のように注意喚起を行なっています。

III. 対策
攻撃の踏み台にされたり、memcached が保持する情報への意図しないアクセス
を防いだりするために、適切なアクセス制御を実施することを強く推奨します。

– アクセスに用いる IP アドレスやポートを制限する
memcached へのアクセスに用いる必要最小限の IP アドレスに対してのみ
公開を制限することや、使用するポートの制限を行うことを検討して下さ
い。

** 更新: 2018年 2月28日追記*******************************************
なお、memcached 1.5.6 では、11211/udp のポートがデフォルトの設定では無
効となる変更がなされています。ポートの制限に対する設定変更と併せて、
アップデートの検討も行ってください。
**********************************************************************

また、DDoS 攻撃の踏み台として悪用される可能性のあるソフトウエアは、
memcached に限りませんので、ntpd や DNS など、サーバなどで使用している
ソフトウエアの設定を確認し、適切なアクセス制限や設定を施して使用するよ
うにしてください。

出典: JPCERT memcached のアクセス制御に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180009.html