アカマイ、3種類の新たなリフレクションDDoS攻撃ベクトルについて警告

■脅威に関するアドバイザリ（Threat Advisory）では、アカマイのDDoS対策専門家によって観測された3種類の新たなDDoSリフレクション攻撃の詳細を伝えています。

■攻撃者はインターネットに露出しているUDPサービスを従来と違う方法で執拗に攻撃しています。

■新たなDDoS攻撃はNetBIOSネームサーバ、RPCポートマップ、およびSentinelライセンスサーバを悪用し、サービス妨害によって機能を停止させます。

コンテンツ・デリバリー・ネットワーク（CDN）サービスのグローバルリーダーであるアカマイ・テクノロジーズ・インク（NASDAQ：AKAM、以下アカマイ）は本日、新たなサイバーセキュリティの脅威に関するアドバイザリ（Threat Advisory）を発行しました。アカマイはここ数カ月間に3種類の新たなリフレクション分散型サービス妨害（DDoS）攻撃を観測しました。本アドバイザリは、NetBIOSネームサーバ、RPCポートマップ、およびSentinelを利用したリフレクションによるDDoS攻撃の脅威について詳細に解説し、ペイロードの解析、Snortルール、およびシステム強化のためのベストプラクティスを含んでいます。このアドバイザリは、www.stateoftheinternet.com/3-ddos-reflectionからダウンロードできます。

▼DDoSリフレクションについて：
リフレクションDDoS攻撃はDrDoS攻撃とも呼ばれ、3種類の要素（攻撃者、意図せずに共犯者に仕立て上げられたVictim (生贄) サーバ、および攻撃対象）が関係しています。攻撃者はVictimホストのサービスに簡単なクエリを送信します。攻撃者はクエリが攻撃対象から発信されたように見せかけるために偽装（スプーフィング）します。Victimはスプーフィングされたアドレスにレスポンスを返し、不要なネットワークトラフィックを攻撃対象に送信します。攻撃者はVictimの応答量が攻撃者のクエリをはるかに上回るリフレクションDDoS攻撃を選んで、攻撃者の能力を増幅します。攻撃者は広範なVictimのリストに対して攻撃ツールを用いた自動化プロセスで何百または何千ものクエリを高レートで送信することで、Victimから多量の不要なトラフィックを攻撃対象に送りつけ、サービス妨害によって攻撃対象の機能を停止させます。

「リフレクションDDoS攻撃は頻繁に発生していますが、これらの3種類の攻撃ベクトルは私たちがこれまで見てきたものとは異なるサービスを悪用しており、攻撃者が利用できる新たなリソースを発見するためにインターネットを執拗に調べていることを示しています」と、アカマイのセキュリティ・ビジネス部門シニア・バイス・プレジデント兼ゼネラルマネージャーのスチュアート・スコリー（Stuart Scholly）は述べています。「UDPサービスはすべてDDoS攻撃者に悪用される恐れがあると思われるため、サーバ管理者は不要なサービスをシャットダウンするか、悪意あるリフレクションから保護する必要があります。リフレクションDDoS攻撃に対してインターネットに開放されているUDPサービスは想像を絶するほど膨大な量になります」。

新たな各リフレクション攻撃の攻撃ツールには関連性があり、すべて同一のCコードを修正したものです。各攻撃ベクトルには同一の基本レシピ、つまり、スプーフィングされたリクエスト要求をVictimリフレクタのリストに送信するスクリプトが必要ですが、そのコマンドラインのオプションも類似しています。

▼NetBIOSネームサーバを利用した DDoSリフレクション攻撃：
NetBIOSを利用したDDoSリフレクション攻撃、特にNetBIOSネームサービス（NBNS）を利用したリフレクションが2015年3月から7月にかけて散発的に発生したことが、アカマイによって観測されました。NetBIOSの主目的は、共有リソースにアクセスしたり、ローカルエリアネットワークで相互に探索するために別々のコンピュータ上のアプリケーションが通信し、セッションを確立できるようにすることです。

この攻撃は、攻撃者が送信した最初のクエリよりも2.56倍～3.85倍大きな応答トラフィックを攻撃対象に送信します。アカマイはNetBIOSネームサーバを利用したリフレクション攻撃を4件観測し、その中の最大記録は15.7Gbpでした。正当だが怪しいNetBIOSネームサーバのクエリは頻繁に発生していますが、2015年3月にアカマイの顧客のために緩和対策を講じたDDoS攻撃で多量の応答が初めて検出されました。

▼RPCポートマップを利用したDDoSリフレクション攻撃 ：
RPCポートマップを利用した初めてのリフレクションDDoS攻撃が2015年8月にマルチベクトルDDoS攻撃キャンペーンで発生し、アカマイはこれを観測し、緩和対策を講じました。RPCポートマップはポートマッパーとしても知られており、オープン・ネットワーク・コンピューティング・リモート・プロシージャ・コール（ONC RPC）サービスの特定バージョンを呼び出す方法をクライアントに伝えます。

最大応答の増幅率は50.53倍でした。より一般的な増幅率は9.65倍でした。アカマイが緩和した4つのRPCリフレクション攻撃キャンペーンの内1つは100Gbpを超過し、極めて強力な攻撃となりました。アカマイは、様々な対象者に対する有効な悪意あるリフレクションリクエストを2015年9月のほぼ毎日観測しました。

▼Sentinelを利用したDDoSリフレクション攻撃：
Sentinelを利用した初めてのDDoSリフレクション攻撃が2015年6月にストックホルム大学で観測され、統計ソフトウェアパッケージであるSPSS向けライセンスサーバの脆弱性として同定されました。アカマイは2015年9月に、Sentinelを利用したDDoSリフレクションキャンペーンを緩和しました。攻撃の発生源には大学のサーバなどの高帯域を使用する強力なサーバが含まれます。

この攻撃の増幅率は42.94倍ですが、同定されたこの攻撃トラフィックの発生源は重複を除くと745件のみです。巧みに接続したネットワークのサーバによって帯域幅を追加したとしても、この種類の攻撃は利用可能なリフレクタの数に制限されます。このような攻撃の1つは11.7Gbpに達しました。

▼DDoS緩和とシステム強化：
3種類の全攻撃ベクトルについて、DDoS緩和策として可能ならアップストリームフィルタリングを使用できます。これ以外の方法としては、クラウドベースのDDoS緩和プロバイダーが必要となります。本アドバイザリでは、RPCポートマップ攻撃ツールが生成する悪意あるクエリを検出するためにSnort緩和ルールを提供しています。Sentinelサービスを検出するために類似のルールを作ることもできます。

「3種類の全サービスについて、同サービスをインターネットですべての人に露出する必要があるのか管理者は問わなければなりません」と、スコリーは述べています。「NetBIOSについては、答えは恐らくノーです。残りの2種類についてはイエスでしょう。問題となるのは、それをどのように保護するのかという点です。RPCとSentinelトラフィックは侵入検知システムで監視することができます」。

DDoSリフレクション攻撃の脅威、DDoS緩和策に関するアドバイザリは、www.stateoftheinternet.com/3-ddos-reflectionから無料でダウンロードできます。

本プレスリリースは下記URLにも掲載しております。
＜http://www.akamai.co.jp/enja/html/about/press/releases/2015/releases_2015.html＞

■アカマイについて：
コンテンツ・デリバリー・ネットワーク（CDN： http://www.akamai.com/cdn/index.html ）サービスのグローバルリーダーとして、アカマイは、インターネットを高速、安全、信頼できるものとしてお客様がご利用いただけるようにします。アカマイの先進的なウェブパフォーマンス、モバイルパフォーマンス、クラウドセキュリティおよびメディア配信の各ソリューションは、デバイスと場所を問わず、コンシューマ体験、エンタープライズ体験、およびエンターテイメント体験を企業が最適化する方法を大きく変化させています。アカマイのソリューションとそのインターネット専門家チームが、企業のより速い進歩にいかに貢献しているかについて、＜www.akamai.com＞または＜blogs.akamai.com＞およびTwitterの@Akamaiで詳細をご紹介しています。