Akamai Diversity

Akamai Japan ブログ

署名バージョン4による認証ヘッダーを付ける

Akamai Edge Server上で、エンドユーザーから受け取ったHTTPリクエストに、AWSのアクセスキー(Access Key IDとSecret Access Key)を使用して生成した署名(署名バージョン4)を付けS3に送信する事が可能です。以前は Advanced実装扱いでしたが、現在は Property の Behavior を使用してユーザーが設定する事が可能です。

署名されていない一般ユーザーによるS3へのアクセスを防ぐ事ができますので、Akamai を通さない S3へのアクセスを許可したくない場合等に使用できます。また、AWSのアクセスキーを使うため、S3バケットに対する細かなアクセス制御を行う事も可能になります。

※ このBlog 記事は2018.3.2に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

先週、memcachedを利用したリフレクション攻撃が、DDoSシーンを席巻しました。Akamaiのお客様に対する史上最大の 1.3Tbps の攻撃をはじめとするいくつかの攻撃が様々な業種を襲っています。アカマイでは、メッセージをmemcachedの ペイロードにいれて脅迫を試みるという新しい傾向を観測しました。

※ このBlog 記事は2018.3.1に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

アカマイは2018年2月28日17:28 (グリニッジ標準時)に、ソフトウェア開発関連会社の顧客に対する、memcachedリフレクションを利用した1.3TbpsのDDoS攻撃を緩和しました。この攻撃は、アカマイが2016年9月にMiraiボットネットによるDDoSを発表した際の攻撃規模の2倍以上、おそらく本原稿執筆時点で一般に公開されている中でも、史上最大規模のDDoS攻撃となりました。しかし、memcached リフレクションのしくみ上、この記録を上回る規模の攻撃の出現は想像に難くありません。

ECサイトやチケットサイトを運用されている方は、期間限定セールや特定商品の発売、限定チケット販売等のピーク時に、どのように大量トラフィックを処理していけばいいかお悩みの方がいらっしゃるかと思います。
フロントのウェブサイトは問題無く閲覧できるのにバックエンドの購入処理システムのキャパシティが上限に達してしまったり、そもそもウェブサイト自体が閲覧できない状態になってしまったりすると、せっかくの商機を逃してしまう結果となります。
本稿では、そういった課題を解決するソリューション、Cloudlets Visitor Prioritization (VP)をご紹介します。
VP_1.png

※ このBlog 記事は2018.2.27に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

アカマイは、UDPベースのmemcachedトラフィックを利用する、新たなDDoS攻撃攻撃ベクトルについて注意喚起します。

memcachedは、汎用の分散型メモリキャッシュシステムで、データをメモリにキャッシュし、ディスクやデータベースなどの重めのデータストアの負荷を軽減するために利用されています。このシステムが利用するプロトコルにより、サーバーはKey-valueストアに関する情報の問い合わせ対象となってしまうため、インターネットに露出していないシステムでのみ使用されるべきプロトコルです。memcachedの利用には認証が必要ありません。IPアドレスがスプーフィング(偽装)されたUDPトラフィックを、インターネットに不適切な設定のままで露出している、memchacuedが受け取った場合、DDoS攻撃のリフレクタとして容易に悪用されてしまいます。Akamaiは、本原稿の元原稿執筆時点で、この種のDDoSを複数観測しており、190 Gbpsを超えるものも含まれます。さらに大きな攻撃の可能性もあります。(2018年3月1日時点で、ソフトウェア開発関連企業への1.3Tbpsに及ぶ超大規模DDoSを確認して緩和に成功しました。こちらについては、後報のBlogで改めて報告いたします)

Broadcast Operation Control Center (BOCC)のご紹介

本ブログではアカマイの新しいマネージドサービスの一つである、Broadcast Operation Control Center (BOCC)のご紹介をいたします。
BOCCとは、インターネットでブロードキャスト(動画配信)をした場合に直面する様々な問題を解決する、専門家、ファシリティ、ツール、プロセスの総称となります。
アカマイがそのようなサービスを提供する背景として、ネット動画視聴者の期待値の高まり、それに対するネット動画サービス提供者側の配信クオリティへの要望の高まりがあります。

近年、標的型攻撃はますます増大し、巧妙化し続けている状況です。

標的型攻撃の例としてはメールに添付されたファイルを開く、本文に記載されたURLにアクセスする、改ざんされたウェブサイトにアクセスする、USBメモリを利用するなどをきっかけとして、マルウェアに感染します。

さらにC&C(コマンドアンドコントロール)サーバとの通信が確立されるとC&Cサーバからコマンドが発行され、マルウェア感染デバイス(ボットネット)の拡大、情報収集、情報漏えい、といったより深刻な被害につながります。

C&Cサーバとボットネット間の通信は、HTTP(TCP 80 番)、HTTPS(443 番)が利用されていることが一般的に知られています。

 

 [動作イメージ]

ETP⑧.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

DNSを用いた新たなサイバー攻撃傾向の高まり(DNSを用いた指令サーバとの通信)

2016年ごろからサイバー攻撃により遠隔操作ウイルスが仕込まれたクライアントコンピュータから、攻撃者が用意したと見られる権威DNSサーバ(C&Cサーバ)に対して、不正に収集した企業情報を埋め込んだDNSクエリを送信する新しいサイバー攻撃が確認されています。

この攻撃は、DNS Bind (IPアドレスとドメインのマッピングテーブル)を持つ権威DNSサーバに必ず、DNSクエリが到達する、といったDNSの仕組みを悪用し、C&Cサーバとボットネット間の通信を確立、企業情報を盗み出す攻撃手法になります。この攻撃をDNS Tunnelingと呼びます。

 この攻撃は下記にように、企業にとっては深刻な問題となります。

・使用されているDNS通信単体では、特に異常があるわけではない。

・遠隔操作ウイルスは攻撃対象に対してカスタマイズされているため、ウイルス対策ソフトでは検知が難しい。

・NGFW(次世代型ファイアーウォール)、Sandbox、Web Security Gateway、IPS/IDSといった従来のセキュリティソリューションは、HTTP/S、ダウンロードファイルに特化しており、DNSを利用した攻撃(DNS Tunneling)を対応しているものは少なく、検知することが難しい。

DNSリクエストがシステムに及ぼす負荷を懸念して、多くのDNSではログを収集しておらず、不正なリクエストが行われたか否かを確認することが難しい。

 

 [動作イメージ]

 ETP①.png

2017年8月にGoogleはQUICに関する論文をコンピュータ科学分野の国際学会(ACM: Association for Computing Machineryにて発表しました。

 

QUICによる通信のTrafficはインターネットの7%を占めていると推測され、Googleがユーザに配信する
Trafficの3割はQUICが用いられています。

        "The QUIC Transport Protocol:Design and Internet-Scale Deployment"より翻訳して転記

 

※論文はACMのホームページより閲覧できます

 

QUICについてはAkamaiも取り組んでおり、本Blogにおいて以前にも取り上げております。

「UDP/QUICを使用した高速化 - Akamai Media Acceleration」

 

今回はQUICの有用性を確認するためサーバ⇔クライアント間の通信に負荷(レイテンシ、パケットロス)を発生させ、TCPとAkamai Media Acceleration(以降QUIC)における違いを比較し、通信品質が悪い環境におけるQUICの有用性を確認してゆきます。

低遅延ライブ動画配信の実現

近年さまざまな動画コンテンツがインターネット上でライブ配信されていますが、映像の時間が実際の時間より遅れていたり、誰かがSNSに投稿したコメントを見て、結果を先に知ってしまったりして、配信に遅延が発生していることを感じたことはありませんでしょうか?

今回はインターネットのライブ動画配信で遅延が起こる理由と、遅延を短くするためのアカマイの取り組みを紹介します。

アカマイのオンラインリテールに関する調査(2017年春)からは、このような知見が得られます。

 ・49% ものユーザーが2秒未満のページロードを期待している
 ・モバイルでは100ミリ秒の遅延で、コンバージョン率が 最大7% も下がった
 ・モバイルでは2秒の遅延で、直帰率に 最大103% の影響があった
 ・デスクトップでは2秒の遅延で、滞在時間は 最大47% 短くなった

WEBアプリケーションのパフォーマンスの問題は企業の収益やブランドに
大きな影響を及ぼす可能性があります。

「サイトパフォーマンス分析」はサイト内のユーザーの行動を分析する「アクセス解析」と
同様に重要視されています。サイトのパフォーマンスを測定する(次のステップである
相関分析とモニタリングが可能な)最善のツールは訪問する全てのユーザーのデータを収集可能にする
「リアルユーザーモニタリング(RUM)」になります。

アカマイは今春の SOASTA 社の買収によって、デジタルパフォーマンス管理の製品ラインナップを
揃えることになり、この RUM のソリューションとして mPulse が加わりました。

このブログではWEBアプリケーションのパフォーマンスの課題に対して、
アカマイの mPulse がどのような価値を提供できるかについてご紹介させて頂きます。

1 2 3 4 5 6 7 8 9