Akamai Japan ブログ購読
memcachedを利用した1.3TbpsのDDoS攻撃
※ このBlog 記事は2018.3.1に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。 アカマイは2018年2月28日17:28 (グリニッジ標準時)に、ソフトウェア開発関連会社の顧客に対する、memcachedリフレクションを利用した1.3TbpsのDDoS攻撃を緩和しました。この攻撃は、アカマイが2016年9月にMiraiボットネットによるDDoSを発表した際の攻撃規模の2倍以上、おそらく本原稿執筆時点で一般に公開されている中でも、史上最大規模のDDoS攻撃となりました。しかし、memcached リフレクションのしくみ上、この記録を上回る規模の攻撃の出現は想像に難くありません。
セール時などにおけるピークトラフィックへの対応 - Visitor Prioritization
ECサイトやチケットサイトを運用されている方は、期間限定セールや特定商品の発売、限定チケット販売等のピーク時に、どのように大量トラフィックを処理していけばいいかお悩みの方がいらっしゃるかと思います。 フロントのウェブサイトは問題無く閲覧できるのにバックエンドの購入処理システムのキャパシティが上限に達してしまったり、そもそもウェブサイト自体が閲覧できない状態になってしまったりすると、せっかくの商機を逃してしまう結果となります。 本稿では、そういった課題を解決するソリューション、Cloudlets Visitor Prioritization (VP)をご紹介します。
memcachedを利用したUDPリフレクションDDoS
※ このBlog 記事は2018.2.27に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。 アカマイは、UDPベースのmemcachedトラフィックを利用する、新たなDDoS攻撃攻撃ベクトルについて注意喚起します。 memcachedは、汎用の分散型メモリキャッシュシステムで、データをメモリにキャッシュし、ディスクやデータベースなどの重めのデータストアの負荷を軽減するために利用されています。このシステムが利用するプロトコルにより、サーバーはKey-valueストアに関する情報の問い合わせ対象となってしまうため、インターネットに露出していないシステムでのみ使用されるべきプロトコルです。memcachedの利用には認証が必要ありません。IPアドレスがスプーフィング(偽装)されたUDPトラフィックを、インターネットに不適切な設定のままで露出している、memchacuedが受け取った場合、DDoS攻撃のリフレクタとして容易に悪用されてしまいます。Akamaiは、本原稿の元原稿執筆時点で、この種のDDoSを複数観測しており、190 Gbpsを超えるものも含まれます。さらに大きな攻撃の可能性もあります。(2018年3月1日時点で、ソフトウェア開発関連企業への1.3Tbpsに及ぶ超大規模DDoSを確認して緩和に成功しました。こちらについては、後報のBlogで改めて報告いたします)
Broadcast Operation Control Center (BOCC)のご紹介
本ブログではアカマイの新しいマネージドサービスの一つである、Broadcast Operation Control Center (BOCC)のご紹介をいたします。 BOCCとは、インターネットでブロードキャスト(動画配信)をした場合に直面する様々な問題を解決する、専門家、ファシリティ、ツール、プロセスの総称となります。 アカマイがそのようなサービスを提供する背景として、ネット動画視聴者の期待値の高まり、それに対するネット動画サービス提供者側の配信クオリティへの要望の高まりがあります。
Akamaiの標的型攻撃対策ソリューション Enterprise Threat Protector (E ...
近年、標的型攻撃はますます増大し、巧妙化し続けている状況です。 標的型攻撃の例としてはメールに添付されたファイルを開く、本文に記載されたURLにアクセスする、改ざんされたウェブサイトにアクセスする、USBメモリを利用するなどをきっかけとして、マルウェアに感染します。 さらにC&C(コマンドアンドコントロール)サーバとの通信が確立されるとC&Cサーバからコマンドが発行され、マルウェア感染デバイス(ボットネット)の拡大、情報収集、情報漏えい、といったより深刻な被害につながります。 C&Cサーバとボットネット間の通信は、HTTP(TCP 80 番)、HTTPS(443 番)が利用されていることが一般的に知られています。 [動作イメージ] DNSを用いた新たなサイバー攻撃傾向の高まり(DNSを用いた指令サーバとの通信) 2016年ごろからサイバー攻撃により遠隔操作ウイルスが仕込まれたクライアントコンピュータから、攻撃者が用意したと見られる権威DNSサーバ(C&Cサーバ)に対して、不正に収集した企業情報を埋め込んだDNSクエリを送信する新しいサイバー攻撃が確認されています。 この攻撃は、DNS Bind (IPアドレスとドメインのマッピングテーブル)を持つ権威DNSサーバに必ず、DNSクエリが到達する、といったDNSの仕組みを悪用し、C&Cサーバとボットネット間の通信を確立、企業情報を盗み出す攻撃手法になります。この攻撃をDNS Tunnelingと呼びます。 この攻撃は下記にように、企業にとっては深刻な問題となります。 ・使用されているDNS通信単体では、特に異常があるわけではない。 ・遠隔操作ウイルスは攻撃対象に対してカスタマイズされているため、ウイルス対策ソフトでは検知が難しい。 ・NGFW(次世代型ファイアーウォール)、Sandbox、Web Security Gateway、IPS/IDSといった従来のセキュリティソリューションは、HTTP/S、ダウンロードファイルに特化しており、DNSを利用した攻撃(DNS Tunneling)を対応しているものは少なく、検知することが難しい。 ・DNSリクエストがシステムに及ぼす負荷を懸念して、多くのDNSではログを収集しておらず、不正なリクエストが行われたか否かを確認することが難しい。 [動作イメージ]
通信品質が悪い環境におけるQUIC(Akamai Media Acceleration)の有用性について
--> 2017年8月にGoogleはQUICに関する論文をコンピュータ科学分野の国際学会(ACM: Association for Computing Machinery)にて発表しました。 QUICによる通信のTrafficはインターネットの7%を占めていると推測され、Googleがユーザに配信するTrafficの3割はQUICが用いられています。 "The QUIC Transport Protocol:Design and Internet-Scale Deployment"より翻訳して転記 ※論文はACMのホームページより閲覧できます QUICについてはAkamaiも取り組んでおり、本Blogにおいて以前にも取り上げております。 「UDP/QUICを使用した高速化 - Akamai Media Acceleration」 今回はQUICの有用性を確認するためサーバ⇔クライアント間の通信に負荷(レイテンシ、パケットロス)を発生させ、TCPとAkamai Media Acceleration(以降QUIC)における違いを比較し、通信品質が悪い環境におけるQUICの有用性を確認してゆきます。 <!--
低遅延ライブ動画配信の実現
近年さまざまな動画コンテンツがインターネット上でライブ配信されていますが、映像の時間が実際の時間より遅れていたり、誰かがSNSに投稿したコメントを見て、結果を先に知ってしまったりして、配信に遅延が発生していることを感じたことはありませんでしょうか? 今回はインターネットのライブ動画配信で遅延が起こる理由と、遅延を短くするためのアカマイの取り組みを紹介します。
WEBアプリケーションのリアルユーザーモニタリング
アカマイのオンラインリテールに関する調査(2017年春)からは、このような知見が得られます。 ・49% ものユーザーが2秒未満のページロードを期待している ・モバイルでは100ミリ秒の遅延で、コンバージョン率が 最大7% も下がった ・モバイルでは2秒の遅延で、直帰率に 最大103% の影響があった ・デスクトップでは2秒の遅延で、滞在時間は 最大47% 短くなった WEBアプリケーションのパフォーマンスの問題は企業の収益やブランドに大きな影響を及ぼす可能性があります。 「サイトパフォーマンス分析」はサイト内のユーザーの行動を分析する「アクセス解析」と 同様に重要視されています。サイトのパフォーマンスを測定する(次のステップである 相関分析とモニタリングが可能な)最善のツールは訪問する全てのユーザーのデータを収集可能にする 「リアルユーザーモニタリング(RUM)」になります。 アカマイは今春の SOASTA 社の買収によって、デジタルパフォーマンス管理の製品ラインナップを 揃えることになり、この RUM のソリューションとして mPulse が加わりました。 このブログではWEBアプリケーションのパフォーマンスの課題に対して、 アカマイの mPulse がどのような価値を提供できるかについてご紹介させて頂きます。
Akamai と SIEM と Cloud Security
Akamai Cloud Security ソリューションの中核ソリューションである Kona Site Defender は継続的に機能の強化・拡張を行っており ますが、API Protection のような防御の為の機能強化だけでなく、SIEMとの連携をよりシームレス且つ容易に実現することが可能な SIEM Integration という拡張機能もリリースされております。 本稿では Kona Site Defender の SIEM Integration の機能の説明を通じて、Akamai と SIEM と Cloud Security という内容について解説をさせていただきます。 (API Protection にご興味がある方はこちらで解説をさせていただいておりますので是非、ご参照ください。)