Akamai Diversity
Home > Security

Recently in Security Category

ウェブに関連する脆弱性公開直後からの「ゼロデイ攻撃」がセキュリティ上の大きな課題となっています。パッチなどの対策が間に合わないサーバーがその標的となります。2017年3月以降のApache Struts2の脆弱性を狙った攻撃で国内のサイトからも大規模な情報漏えいが多発したことは記憶に新しいところです。

これらのゼロデイ攻撃に対し、アカマイの「Client Reputation (以下CR)」が、先日公開されたApache Struts 2の新たな脆弱性(CVE-2018-11776)を狙った攻撃を、本脆弱性の公開前からブロックしていたことが明らかになりました。CRは、アカマイの有する攻撃情報に関するビッグデータをほぼリアルタイムに解析し、ウェブの防御に反映する最先端のしくみです。

CRを含むアカマイWAFのゼロデイ攻撃への対応能力については、Forrester社がまとめた最新のWAFベンダー10社比較調査「Forrester Wave™:Web Application Firewalls, Q2 2018」で最高評点を得るなど高い評価を得ていますが、今回行った分析により、ゼロデイ攻撃に対する有効性が改めて実証されました。その詳細を実際のデータを用いてご説明します。

※ このBlog 記事は2018.6.21に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

Webアプリケーション攻撃でも変化は続く

2018年夏「インターネットの現状/セキュリティレポート(SOTI/Security Report )」関するブログの第2弾をご覧いただき有難うございます。前回のDDoSの動向に引き続き、今回は2017年11月から2018年4月までの半年間におけるWebアプリケーション攻撃の動向について解説します。 

※ このBlog 記事は2018.6.19に公開されたMartin McKeayのBlog記事を翻訳した内容を元に作成しています。

変化のとき

「インターネットの現状/セキュリティレポート (SOTI/Secyurity Report)」は、3年以上にわたり、AkamaiのDDoS、攻撃トラフィック、インターネット脅威に関する調査の根幹となっています。時の経過とともにレポートも進化し、その対象範囲も大幅に拡大した半面、内容の提示のしかたはあまり変わっていませんでした。しかし、今回の 2018 年夏季 SOTI/Security Report Web Attaks から、コンテンツの提示形態が大きく変わったことにお気づきかと思います。

会員数1100万人を超える業界最大級のチケット販売サイト「e+(イープラス)」を運営するイープラスは、以前からチケット転売目的の買い占めと疑われるボット(自動実行プログラム)の高頻度のアクセスに悩まれ、これまでも様々な対策に取り組まれてきましたが、CAPTCHA(難読文字によるボット判定)を突破するなど高度になったボットを上回る、最新の対策を求めていました。

そこで「ふるまい検知」と「機械学習」を駆使する、Akamai Bot Manager Premier (以下BMP)を導入し、直後の先着チケット販売開始後、30分間の分析を試みたところ、全アクセスの9割超がボットによるアクセスと判明。これをブロックすることで、悪質なボットによるアクセスをブロックし、転売目的のチケット買占め問題が改善しました。

イープラスはどのような経緯でBot Manager Premier を導入し、どのような効果を得たのか?また、導入後どのような点を高く評価したのか?

詳しくご覧頂ける、事例をPDFとビデオでご用意しました。いますぐダウンロードしてご確認ください。

また、本ブログではこの事例を読み解くいくつかのポイントについて解説します。

※ この文書は、CVE-2018-11776 に関するAkamai Blogの抄訳です。最新の情報については元ドキュメントをご参照ください。

8月22日水曜日、ApacheチームはApache Struts2フレームワークの新たな脆弱性を修正しました。 Apache Strutsは、Java Webアプリケーションを開発するためのオープンソースのWebアプリケーションフレームワークです。次の条件の両方を満たす場合にリモートで任意のコードが実行される脆弱性(CVE-2018-11776)が存在します。

  1. Strutsの設定で alwaysSelectFullNamespaceをtrueに設定している場合
  2. Struts設定ファイルにオプションのnamespace属性を指定しないか、ワイルドカードネームスペースを指定する"action"タグ、(または"url"タグ)が含まれている場合

影響を受けるバージョンは、 Apache Strutsフレームワークの Struts 2.3~Struts 2.3.34、および Struts 2.5~Struts 2.5.16です。影響を受けるバージョンを現在実行している場合、悪意のあるユーザーが、HTTP要求を介してカスタムネームスペースパラメータを注入することにより、システム上でコードをリモート実行できます。

はじめに

2017年10月11日にアカマイはBot Manager Premier という製品を発表しました。

この製品には、既存の製品であるBot Manager StandardによるWebサイト全体に対する多種多様なボット管理ソリューションに加え、ログインページへのボットによる不正アクセス検知・遮断に特化したソリューションが追加されております。

このブログではログインページ、ひいてはパスワード管理が抱えるセキュリティ課題と、どのようにBot Manager Premierが人かボットかを識別し、お客様のWebサイトをよりセキュアにすることを実現するのかを解説したいと思います。

※ このBlog 記事は2018.3.2に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

先週、memcachedを利用したリフレクション攻撃が、DDoSシーンを席巻しました。Akamaiのお客様に対する史上最大の 1.3Tbps の攻撃をはじめとするいくつかの攻撃が様々な業種を襲っています。アカマイでは、メッセージをmemcachedの ペイロードにいれて脅迫を試みるという新しい傾向を観測しました。

※ このBlog 記事は2018.3.1に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

アカマイは2018年2月28日17:28 (グリニッジ標準時)に、ソフトウェア開発関連会社の顧客に対する、memcachedリフレクションを利用した1.3TbpsのDDoS攻撃を緩和しました。この攻撃は、アカマイが2016年9月にMiraiボットネットによるDDoSを発表した際の攻撃規模の2倍以上、おそらく本原稿執筆時点で一般に公開されている中でも、史上最大規模のDDoS攻撃となりました。しかし、memcached リフレクションのしくみ上、この記録を上回る規模の攻撃の出現は想像に難くありません。

※ このBlog 記事は2018.2.27に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

アカマイは、UDPベースのmemcachedトラフィックを利用する、新たなDDoS攻撃攻撃ベクトルについて注意喚起します。

memcachedは、汎用の分散型メモリキャッシュシステムで、データをメモリにキャッシュし、ディスクやデータベースなどの重めのデータストアの負荷を軽減するために利用されています。このシステムが利用するプロトコルにより、サーバーはKey-valueストアに関する情報の問い合わせ対象となってしまうため、インターネットに露出していないシステムでのみ使用されるべきプロトコルです。memcachedの利用には認証が必要ありません。IPアドレスがスプーフィング(偽装)されたUDPトラフィックを、インターネットに不適切な設定のままで露出している、memchacuedが受け取った場合、DDoS攻撃のリフレクタとして容易に悪用されてしまいます。Akamaiは、本原稿の元原稿執筆時点で、この種のDDoSを複数観測しており、190 Gbpsを超えるものも含まれます。さらに大きな攻撃の可能性もあります。(2018年3月1日時点で、ソフトウェア開発関連企業への1.3Tbpsに及ぶ超大規模DDoSを確認して緩和に成功しました。こちらについては、後報のBlogで改めて報告いたします)

近年、標的型攻撃はますます増大し、巧妙化し続けている状況です。

標的型攻撃の例としてはメールに添付されたファイルを開く、本文に記載されたURLにアクセスする、改ざんされたウェブサイトにアクセスする、USBメモリを利用するなどをきっかけとして、マルウェアに感染します。

さらにC&C(コマンドアンドコントロール)サーバとの通信が確立されるとC&Cサーバからコマンドが発行され、マルウェア感染デバイス(ボットネット)の拡大、情報収集、情報漏えい、といったより深刻な被害につながります。

C&Cサーバとボットネット間の通信は、HTTP(TCP 80 番)、HTTPS(443 番)が利用されていることが一般的に知られています。

 

 [動作イメージ]

ETP⑧.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

DNSを用いた新たなサイバー攻撃傾向の高まり(DNSを用いた指令サーバとの通信)

2016年ごろからサイバー攻撃により遠隔操作ウイルスが仕込まれたクライアントコンピュータから、攻撃者が用意したと見られる権威DNSサーバ(C&Cサーバ)に対して、不正に収集した企業情報を埋め込んだDNSクエリを送信する新しいサイバー攻撃が確認されています。

この攻撃は、DNS Bind (IPアドレスとドメインのマッピングテーブル)を持つ権威DNSサーバに必ず、DNSクエリが到達する、といったDNSの仕組みを悪用し、C&Cサーバとボットネット間の通信を確立、企業情報を盗み出す攻撃手法になります。この攻撃をDNS Tunnelingと呼びます。

 この攻撃は下記にように、企業にとっては深刻な問題となります。

・使用されているDNS通信単体では、特に異常があるわけではない。

・遠隔操作ウイルスは攻撃対象に対してカスタマイズされているため、ウイルス対策ソフトでは検知が難しい。

・NGFW(次世代型ファイアーウォール)、Sandbox、Web Security Gateway、IPS/IDSといった従来のセキュリティソリューションは、HTTP/S、ダウンロードファイルに特化しており、DNSを利用した攻撃(DNS Tunneling)を対応しているものは少なく、検知することが難しい。

DNSリクエストがシステムに及ぼす負荷を懸念して、多くのDNSではログを収集しておらず、不正なリクエストが行われたか否かを確認することが難しい。

 

 [動作イメージ]

 ETP①.png

<< 1 2