「memcached」がDDoS攻撃の踏み台にされる前に、ゴールデンウィークに向けたセキュリティ対策を

　分散メモリキャッシュシステム「memcached」を悪用した複数の攻撃が確認されているなどとして、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）では、長期休暇におけるセキュリティ対策のまとめと注意喚起を行った。

　memcachedに適切な設定が施されていない場合、リモートの攻撃者からmemcachedがDDoS攻撃の踏み台にされたり、memcachedが保持する情報へアクセスされる可能性がある。バージョン1.2.7以降のmemcachedを標準設定で利用している場合、11211/TCPポートおよび11211/UDPポートが意図せず外部からアクセス可能な状態になっているケースが考えられるとしている。

「memcached」を悪用したDDoS攻撃のイメージ図

　実際、警察庁のインターネット定点観測システムにおいて、これらのポートに対するアクセスの増加が2月下旬以降に確認されている。観測したアクセスの中には、memcachedの状態を問い合わせるコマンドが含まれていたことから、memcachedに対応したサーバーの探索が目的と考えられるという。

宛先ポート11211/TCPおよび11211/UDPに対するアクセス件数の推移

宛先ポート11211/TCPおよび11211/UDPに対するアクセスの観測例

　また、宛先ポート11211/UDPに対するアクセスの発信元について、他の宛先ポート（UDP）へのアクセス状況を調査したところ、リフレクター攻撃に悪用され得るプロトコルが利用するポートに対するアクセスが多いことが分かった。

宛先ポート11211/UDPに対するアクセスと同一発信元からの他の宛先ポート（UDP）へのアクセスの割合（3月1日～4月18日）

　JPCERT/CCでは、攻撃の踏み台やリモートからの意図しないアクセスを防ぐために、memcachedへのアクセスに用いる必要最小限のIPアドレスに対してのみ公開を制限することや、アプリやサーバーを最新バージョンにアップデートするよう注意を促している。

　また、DDoS攻撃の踏み台として悪用される可能性のあるソフトは、memcachedに限らないため、システム管理者は、自身が管理するシステムについて、サーバなどで使用しているソフトの設定やネットワークのアクセス制御の設定を確認し、見直すことを推奨している。