Akamai Diversity

Akamai Japan ブログ

Mio Tsuchihashi

Mio Tsuchihashi

October 16, 2018 5:10 PM

API Rate Limitingの解説

前回の記事、前々回の記事ではキャッシングを使用してAPIのパフォーマンスを向上させる方法とアカマイのCDN配信、ルーティング、およびレスポンスキャッシュ機能を使用してアプリケーションキャッシングの結果を向上させる方法についてご説明しました。 今回はAPI Rate Limitingの2つの方法とアカマイソリューションの適用範囲についてご紹介します。 ※ この記事は2018.5.31に執筆されたDeveloper Blogの記事を翻訳した内容を元に作成しています。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

August 29, 2018 11:13 AM

イープラスがチケット買い占めボットを撃退!導入事例と読み解きポイント

会員数1100万人を超える業界最大級のチケット販売サイト「e+(イープラス)」を運営するイープラスは、以前からチケット転売目的の買い占めと疑われるボット(自動実行プログラム)の高頻度のアクセスに悩まれ、これまでも様々な対策に取り組まれてきましたが、CAPTCHA(難読文字によるボット判定)を突破するなど高度になったボットを上回る、最新の対策を求めていました。 そこで「ふるまい検知」と「機械学習」を駆使する、Akamai Bot Manager Premier (以下BMP)を導入し、直後の先着チケット販売開始後、30分間の分析を試みたところ、全アクセスの9割超がボットによるアクセスと判明。これをブロックすることで、悪質なボットによるアクセスをブロックし、転売目的のチケット買占め問題が改善しました。 イープラスはどのような経緯でBot Manager Premier を導入し、どのような効果を得たのか?また、導入後どのような点を高く評価したのか? 詳しくご覧頂ける、事例をPDFとビデオでご用意しました。いますぐダウンロードしてご確認ください。 また、本ブログではこの事例を読み解くいくつかのポイントについて解説します。

佐々木 貴志

佐々木 貴志

August 23, 2018 8:55 AM

Akamai による API セキュリティの最大化

昨今注目が集まっているAPI(Application Programming Interface)、そのアクセス方式自体は以前から利用されているテクノロジーですが、近年の IoT、デジタライゼーション、デジタルトランスフォーメーションという市場の波を受けて、Open API という新たな取り組みが急速に発展・利用されるようになり、企業のビジネス・IT双方の担当者の中でも非常に重要なトピックとなっております。 Open API は企業に対して新しい革新的なビジネスモデルを創造する力を提供しますが、同時にインターネット上にAPIを広く公開することに伴い、脅威に対して新たな脆弱性のポイントを提供し、攻撃を増加させる可能性があります。APIに対しての適切な保護を怠ると「正当なユーザーによる意図しない誤用」、「ダウンタイムや悪意のある攻撃にさらされる可能性」が生じると言えます。よって、これらの悪意のある攻撃や悪用シナリオに対する備えが、APIセキュリティアーキテクチャの一部として備わっている必要があります。 Akamai では Open API を適切に保護する目的として、大きく2つの強力なソリューションを提供しております。 Akamai API Gateway: 正当なAPIコンシューマの検証とAPIへのガバナンスの追加 Akamai Kona Site Defender(API Protection 等) / Bot Manager: 悪意のあるトラフィックから APIエンドポイントを保護 これらのソリューションは連携して API 用の包括的なセキュリティーアーキテクチャ構築に役立てることが可能です。以降、5つのユースケースを通して各ソリューションによるAPI保護方法を説明させていただきます。

Yuhki Hanada

Yuhki Hanada

March 30, 2018 8:54 AM

S3バケットへの認証ヘッダー使ったアクセス

署名バージョン4による認証ヘッダーを付ける Akamai Edge Server上で、エンドユーザーから受け取ったHTTPリクエストに、AWSのアクセスキー(Access Key IDとSecret Access Key)を使用して生成した署名(署名バージョン4)を付けS3に送信する事が可能です。以前は Advanced実装扱いでしたが、現在は Property の Behavior を使用してユーザーが設定する事が可能です。 署名されていない一般ユーザーによるS3へのアクセスを防ぐ事ができますので、Akamai を通さない S3へのアクセスを許可したくない場合等に使用できます。また、AWSのアクセスキーを使うため、S3バケットに対する細かなアクセス制御を行う事も可能になります。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

March 6, 2018 12:30 PM

memcachedでついに脅迫が!

※ このBlog 記事は2018.3.2に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。 先週、memcachedを利用したリフレクション攻撃が、DDoSシーンを席巻しました。Akamaiのお客様に対する史上最大の 1.3Tbps の攻撃をはじめとするいくつかの攻撃が様々な業種を襲っています。アカマイでは、メッセージをmemcachedの ペイロードにいれて脅迫を試みるという新しい傾向を観測しました。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

March 2, 2018 5:30 PM

memcachedを利用した1.3TbpsのDDoS攻撃

※ このBlog 記事は2018.3.1に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。 アカマイは2018年2月28日17:28 (グリニッジ標準時)に、ソフトウェア開発関連会社の顧客に対する、memcachedリフレクションを利用した1.3TbpsのDDoS攻撃を緩和しました。この攻撃は、アカマイが2016年9月にMiraiボットネットによるDDoSを発表した際の攻撃規模の2倍以上、おそらく本原稿執筆時点で一般に公開されている中でも、史上最大規模のDDoS攻撃となりました。しかし、memcached リフレクションのしくみ上、この記録を上回る規模の攻撃の出現は想像に難くありません。

高橋 雅仁

高橋 雅仁

March 2, 2018 1:11 PM

セール時などにおけるピークトラフィックへの対応 - Visitor Prioritization

ECサイトやチケットサイトを運用されている方は、期間限定セールや特定商品の発売、限定チケット販売等のピーク時に、どのように大量トラフィックを処理していけばいいかお悩みの方がいらっしゃるかと思います。 フロントのウェブサイトは問題無く閲覧できるのにバックエンドの購入処理システムのキャパシティが上限に達してしまったり、そもそもウェブサイト自体が閲覧できない状態になってしまったりすると、せっかくの商機を逃してしまう結果となります。 本稿では、そういった課題を解決するソリューション、Cloudlets Visitor Prioritization (VP)をご紹介します。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

March 2, 2018 1:07 PM

memcachedを利用したUDPリフレクションDDoS

※ このBlog 記事は2018.2.27に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。 アカマイは、UDPベースのmemcachedトラフィックを利用する、新たなDDoS攻撃攻撃ベクトルについて注意喚起します。 memcachedは、汎用の分散型メモリキャッシュシステムで、データをメモリにキャッシュし、ディスクやデータベースなどの重めのデータストアの負荷を軽減するために利用されています。このシステムが利用するプロトコルにより、サーバーはKey-valueストアに関する情報の問い合わせ対象となってしまうため、インターネットに露出していないシステムでのみ使用されるべきプロトコルです。memcachedの利用には認証が必要ありません。IPアドレスがスプーフィング(偽装)されたUDPトラフィックを、インターネットに不適切な設定のままで露出している、memchacuedが受け取った場合、DDoS攻撃のリフレクタとして容易に悪用されてしまいます。Akamaiは、本原稿の元原稿執筆時点で、この種のDDoSを複数観測しており、190 Gbpsを超えるものも含まれます。さらに大きな攻撃の可能性もあります。(2018年3月1日時点で、ソフトウェア開発関連企業への1.3Tbpsに及ぶ超大規模DDoSを確認して緩和に成功しました。こちらについては、後報のBlogで改めて報告いたします)

Junichi Sugii

Junichi Sugii

November 13, 2017 9:00 AM

低遅延ライブ動画配信の実現

近年さまざまな動画コンテンツがインターネット上でライブ配信されていますが、映像の時間が実際の時間より遅れていたり、誰かがSNSに投稿したコメントを見て、結果を先に知ってしまったりして、配信に遅延が発生していることを感じたことはありませんでしょうか? 今回はインターネットのライブ動画配信で遅延が起こる理由と、遅延を短くするためのアカマイの取り組みを紹介します。