Akamai Diversity

Akamai Japan ブログ

Satoshi Okamoto

Satoshi Okamoto

April 9, 2018 11:30 AM

ゼロ・トラストの概念と「ゆでカエル」

ゼロ・トラスト・ネットワーキングとは? ゼロ・トラスト・セキュリティモデルは、2010年にForrester ResearchのJohn Kindervag氏によって提唱されました。その概念は、従来の信頼モデルである「信ぜよ、されど確認せよ」はもはや有効ではないため、「決して信頼せず必ず確認」すべきである、というものです。 これは煮詰めていく(つまり要約する)と、ネットワークは、いかなるユーザーもデバイスも、その所在位置に基づいて信頼されていると仮定してはならない、という意味です。ネットワークの内部か外部かに関わらず、ユーザーとデバイスは、リソースにアクセスしようとするたびに必ず確認する必要があります。「煮詰める」といえば、いわゆる「茹でガエルの法則」におけるカエルはどうなったのでしょうか? やや残酷な例えで恐縮ですが・・・もし冷たい水の入った鍋にカエルを入れて火をつけると、そのカエルは手遅れになるまで水温の上昇に気がつきません。 これを、ゆっくりと複雑かつ非効率になっていきつつあるネットワーク境界の管理状況に例えることができます。幸い、私達はカエルよりも賢明ですから、熱湯の中にいたらすぐ分かるし鍋から飛び上がって脱出することができますよね!

Yuhki Hanada

Yuhki Hanada

April 5, 2018 5:31 PM

CMAF と CMAFを使用した低遅延 Live 配信の実現

こんにちは。Akamai Solutions Engineer の Yuhki です。今回は、最近だんだんと耳にするようになってきた HTTPストリーンミングの規格である CMAF (Common Media Application Format) について、簡単ではありますが、ご説明させて頂きます。 CMAF(Common Media Application Format)とは 2018年時点の HTTP Streaming の世界では、2017年に IETFでRFCとして承認されたApple が主導するHLS (HTTP Live Streaming) と、ISO国際標準規格である MPEG-DASH(Dynamic Adaptive Streaming over HTTP)という2つのメディアコンテナファイルのフォーマットが主に使われるようになっています。 より多くのユーザーにリーチしたいコンテンツの提供者は、それぞれの規格用にエンコードを行い、それぞれをストレージに保管する必要があります。複数のフォーマットに対応しなければいけないという事は、ファイルの変換コストと変換をしたメディアコンテナファイルを保管するコストを必要とするため、ストリーミング配信の複雑さと高コスト化の大きな要因となっています。 これらのメディアコンテナファイルのフォーマットの複雑さを解決するために、Apple と Microsoft は、CMAF(Common Media Application Format) と呼ばれる共通の規格の策定をMPEGに提出し、2018年1月にISO/IEC 23000-19:2018として正式に発行されました[1]。 CMAF では、マニフェストファイル自体は定義しておらず、普段目にしている mpd (MPEG-DASH) や m3u8 (HLS)と言ったマニフェストファイルが無くなるわけではありません。CMAF では、暗号化や、複数 Bitrate配信のためのリファレンスモデルが定義されており、ISO BMFF(ISO Base Media File Format) をメディアコンテナファイルのフォーマットとして使用する事が定義されています。ISO BMFFの現実の実装としては fragmented MP4 (fMP4)が広く使われています。

Yuhki Hanada

Yuhki Hanada

March 30, 2018 8:54 AM

S3バケットへの認証ヘッダー使ったアクセス

署名バージョン4による認証ヘッダーを付ける Akamai Solutions Engineer の Yuhki です。 Akamai Edge Server上で、エンドユーザーから受け取ったHTTPリクエストに、AWSのアクセスキー(Access Key IDとSecret Access Key)を使用して生成した署名(署名バージョン4)を付けS3に送信する事が可能です。以前は Advanced実装 (Akamaiのサービスに依頼して頂く必用のある実装) 扱いでしたが、現在は Property の Behavior を使用してユーザーが設定する事が可能です。(この機能が標準のBehaviorとして提供されているのは、この記事作製時点で Download Delivery 等の Media系製品のみになります) 署名されていない一般ユーザーによるS3へのアクセスを防ぐ事ができますので、Akamai を通さない S3へのアクセスを許可したくない場合等に使用できます。また、AWSのアクセスキーを使うため、S3バケットに対する細かなアクセス制御を行う事も可能になります。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

March 6, 2018 12:30 PM

memcachedでついに脅迫が!

※ このBlog 記事は2018.3.2に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。 先週、memcachedを利用したリフレクション攻撃が、DDoSシーンを席巻しました。Akamaiのお客様に対する史上最大の 1.3Tbps の攻撃をはじめとするいくつかの攻撃が様々な業種を襲っています。アカマイでは、メッセージをmemcachedの ペイロードにいれて脅迫を試みるという新しい傾向を観測しました。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

March 2, 2018 5:30 PM

memcachedを利用した1.3TbpsのDDoS攻撃

※ このBlog 記事は2018.3.1に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。 アカマイは2018年2月28日17:28 (グリニッジ標準時)に、ソフトウェア開発関連会社の顧客に対する、memcachedリフレクションを利用した1.3TbpsのDDoS攻撃を緩和しました。この攻撃は、アカマイが2016年9月にMiraiボットネットによるDDoSを発表した際の攻撃規模の2倍以上、おそらく本原稿執筆時点で一般に公開されている中でも、史上最大規模のDDoS攻撃となりました。しかし、memcached リフレクションのしくみ上、この記録を上回る規模の攻撃の出現は想像に難くありません。

高橋 雅仁

高橋 雅仁

March 2, 2018 1:11 PM

セール時などにおけるピークトラフィックへの対応 - Visitor Prioritization

ECサイトやチケットサイトを運用されている方は、期間限定セールや特定商品の発売、限定チケット販売等のピーク時に、どのように大量トラフィックを処理していけばいいかお悩みの方がいらっしゃるかと思います。 フロントのウェブサイトは問題無く閲覧できるのにバックエンドの購入処理システムのキャパシティが上限に達してしまったり、そもそもウェブサイト自体が閲覧できない状態になってしまったりすると、せっかくの商機を逃してしまう結果となります。 本稿では、そういった課題を解決するソリューション、Cloudlets Visitor Prioritization (VP)をご紹介します。

Kazuhiro Nakanishi

Kazuhiro Nakanishi

March 2, 2018 1:07 PM

memcachedを利用したUDPリフレクションDDoS

※ このBlog 記事は2018.2.27に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。 アカマイは、UDPベースのmemcachedトラフィックを利用する、新たなDDoS攻撃攻撃ベクトルについて注意喚起します。 memcachedは、汎用の分散型メモリキャッシュシステムで、データをメモリにキャッシュし、ディスクやデータベースなどの重めのデータストアの負荷を軽減するために利用されています。このシステムが利用するプロトコルにより、サーバーはKey-valueストアに関する情報の問い合わせ対象となってしまうため、インターネットに露出していないシステムでのみ使用されるべきプロトコルです。memcachedの利用には認証が必要ありません。IPアドレスがスプーフィング(偽装)されたUDPトラフィックを、インターネットに不適切な設定のままで露出している、memchacuedが受け取った場合、DDoS攻撃のリフレクタとして容易に悪用されてしまいます。Akamaiは、本原稿の元原稿執筆時点で、この種のDDoSを複数観測しており、190 Gbpsを超えるものも含まれます。さらに大きな攻撃の可能性もあります。(2018年3月1日時点で、ソフトウェア開発関連企業への1.3Tbpsに及ぶ超大規模DDoSを確認して緩和に成功しました。こちらについては、後報のBlogで改めて報告いたします)

Norihiko Matsuno

Norihiko Matsuno

December 25, 2017 9:37 AM

Broadcast Operation Control Center (BOCC)のご紹介

本ブログではアカマイの新しいマネージドサービスの一つである、Broadcast Operation Control Center (BOCC)のご紹介をいたします。 BOCCとは、インターネットでブロードキャスト(動画配信)をした場合に直面する様々な問題を解決する、専門家、ファシリティ、ツール、プロセスの総称となります。 アカマイがそのようなサービスを提供する背景として、ネット動画視聴者の期待値の高まり、それに対するネット動画サービス提供者側の配信クオリティへの要望の高まりがあります。

Tomoaki Suzuki

Tomoaki Suzuki

December 24, 2017 12:00 AM

Akamaiの標的型攻撃対策ソリューション Enterprise Threat Protector (E ...

近年、標的型攻撃はますます増大し、巧妙化し続けている状況です。 標的型攻撃の例としてはメールに添付されたファイルを開く、本文に記載されたURLにアクセスする、改ざんされたウェブサイトにアクセスする、USBメモリを利用するなどをきっかけとして、マルウェアに感染します。 さらにC&C(コマンドアンドコントロール)サーバとの通信が確立されるとC&Cサーバからコマンドが発行され、マルウェア感染デバイス(ボットネット)の拡大、情報収集、情報漏えい、といったより深刻な被害につながります。 C&Cサーバとボットネット間の通信は、HTTP(TCP 80 番)、HTTPS(443 番)が利用されていることが一般的に知られています。 [動作イメージ] DNSを用いた新たなサイバー攻撃傾向の高まり(DNSを用いた指令サーバとの通信) 2016年ごろからサイバー攻撃により遠隔操作ウイルスが仕込まれたクライアントコンピュータから、攻撃者が用意したと見られる権威DNSサーバ(C&Cサーバ)に対して、不正に収集した企業情報を埋め込んだDNSクエリを送信する新しいサイバー攻撃が確認されています。 この攻撃は、DNS Bind (IPアドレスとドメインのマッピングテーブル)を持つ権威DNSサーバに必ず、DNSクエリが到達する、といったDNSの仕組みを悪用し、C&Cサーバとボットネット間の通信を確立、企業情報を盗み出す攻撃手法になります。この攻撃をDNS Tunnelingと呼びます。 この攻撃は下記にように、企業にとっては深刻な問題となります。 ・使用されているDNS通信単体では、特に異常があるわけではない。 ・遠隔操作ウイルスは攻撃対象に対してカスタマイズされているため、ウイルス対策ソフトでは検知が難しい。 ・NGFW(次世代型ファイアーウォール)、Sandbox、Web Security Gateway、IPS/IDSといった従来のセキュリティソリューションは、HTTP/S、ダウンロードファイルに特化しており、DNSを利用した攻撃(DNS Tunneling)を対応しているものは少なく、検知することが難しい。 ・DNSリクエストがシステムに及ぼす負荷を懸念して、多くのDNSではログを収集しておらず、不正なリクエストが行われたか否かを確認することが難しい。 [動作イメージ]