Akamai Diversity
Home > Security

Recently in Security Category

※ このBlog 記事は2018.3.2に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

先週、memcachedを利用したリフレクション攻撃が、DDoSシーンを席巻しました。Akamaiのお客様に対する史上最大の 1.3Tbps の攻撃をはじめとするいくつかの攻撃が様々な業種を襲っています。アカマイでは、メッセージをmemcachedの ペイロードにいれて脅迫を試みるという新しい傾向を観測しました。

※ このBlog 記事は2018.3.1に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

アカマイは2018年2月28日17:28 (グリニッジ標準時)に、ソフトウェア開発関連会社の顧客に対する、memcachedリフレクションを利用した1.3TbpsのDDoS攻撃を緩和しました。この攻撃は、アカマイが2016年9月にMiraiボットネットによるDDoSを発表した際の攻撃規模の2倍以上、おそらく本原稿執筆時点で一般に公開されている中でも、史上最大規模のDDoS攻撃となりました。しかし、memcached リフレクションのしくみ上、この記録を上回る規模の攻撃の出現は想像に難くありません。

※ このBlog 記事は2018.2.27に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

アカマイは、UDPベースのmemcachedトラフィックを利用する、新たなDDoS攻撃攻撃ベクトルについて注意喚起します。

memcachedは、汎用の分散型メモリキャッシュシステムで、データをメモリにキャッシュし、ディスクやデータベースなどの重めのデータストアの負荷を軽減するために利用されています。このシステムが利用するプロトコルにより、サーバーはKey-valueストアに関する情報の問い合わせ対象となってしまうため、インターネットに露出していないシステムでのみ使用されるべきプロトコルです。memcachedの利用には認証が必要ありません。IPアドレスがスプーフィング(偽装)されたUDPトラフィックを、インターネットに不適切な設定のままで露出している、memchacuedが受け取った場合、DDoS攻撃のリフレクタとして容易に悪用されてしまいます。Akamaiは、本原稿の元原稿執筆時点で、この種のDDoSを複数観測しており、190 Gbpsを超えるものも含まれます。さらに大きな攻撃の可能性もあります。(2018年3月1日時点で、ソフトウェア開発関連企業への1.3Tbpsに及ぶ超大規模DDoSを確認して緩和に成功しました。こちらについては、後報のBlogで改めて報告いたします)

近年、標的型攻撃はますます増大し、巧妙化し続けている状況です。

標的型攻撃の例としてはメールに添付されたファイルを開く、本文に記載されたURLにアクセスする、改ざんされたウェブサイトにアクセスする、USBメモリを利用するなどをきっかけとして、マルウェアに感染します。

さらにC&C(コマンドアンドコントロール)サーバとの通信が確立されるとC&Cサーバからコマンドが発行され、マルウェア感染デバイス(ボットネット)の拡大、情報収集、情報漏えい、といったより深刻な被害につながります。

C&Cサーバとボットネット間の通信は、HTTP(TCP 80 番)、HTTPS(443 番)が利用されていることが一般的に知られています。

 

 [動作イメージ]

ETP⑧.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

DNSを用いた新たなサイバー攻撃傾向の高まり(DNSを用いた指令サーバとの通信)

2016年ごろからサイバー攻撃により遠隔操作ウイルスが仕込まれたクライアントコンピュータから、攻撃者が用意したと見られる権威DNSサーバ(C&Cサーバ)に対して、不正に収集した企業情報を埋め込んだDNSクエリを送信する新しいサイバー攻撃が確認されています。

この攻撃は、DNS Bind (IPアドレスとドメインのマッピングテーブル)を持つ権威DNSサーバに必ず、DNSクエリが到達する、といったDNSの仕組みを悪用し、C&Cサーバとボットネット間の通信を確立、企業情報を盗み出す攻撃手法になります。この攻撃をDNS Tunnelingと呼びます。

 この攻撃は下記にように、企業にとっては深刻な問題となります。

・使用されているDNS通信単体では、特に異常があるわけではない。

・遠隔操作ウイルスは攻撃対象に対してカスタマイズされているため、ウイルス対策ソフトでは検知が難しい。

・NGFW(次世代型ファイアーウォール)、Sandbox、Web Security Gateway、IPS/IDSといった従来のセキュリティソリューションは、HTTP/S、ダウンロードファイルに特化しており、DNSを利用した攻撃(DNS Tunneling)を対応しているものは少なく、検知することが難しい。

DNSリクエストがシステムに及ぼす負荷を懸念して、多くのDNSではログを収集しておらず、不正なリクエストが行われたか否かを確認することが難しい。

 

 [動作イメージ]

 ETP①.png

常時SSL化に役立つアカマイの機能

「常時SSL」(Webサイトへのアクセスを全面的にHTTPS経由にする)という言葉が聞かれるようになってから既に数年が経過していますが、いよいよ本格的にWebサイトのHTTPS化が進んできました。特にここ最近弊社への問い合わせが増えておりますが、背景としては主要ブラウザのセキュリティ強化が主な要因と考えられます。2017年初頭にリリースされたFirefox51やChrome 56からは、パスワードを送信するHTTPサイト(非HTTPSのサイト)で警告が表示されるようになっており、今後リリース予定のChrome 62からは、HTTPサイトのフォームに何らかデータを入力するとアドレスバーに警告が表示されるようなセキュリティ強化が予定されております。

HTTP Archiveによると、HTTPS経由のリクエスト数は日々増加しており、2017年6月時点で約46%(ソース: http://httparchive.org/trends.php)となっています。今後予定されているブラウザのセキュリティ強化により、これからもさらなる伸びが予想されます。
 
HTTPSへの移行はセキュリティの強化だけでなく、Webサイトの表示速度を改善できる可能性もあります。
http/2登場以前は、HTTPSへ移行することは暗号化のオーバーヘッドや通信回数の増加により応答速度が遅延する懸念がありましたが、現状ではhttp/2による応答速度の向上はもとより、更なる高速化を実現する機能であるAdvanced Accelerationや今後リリース予定のResource Optimizer(Beta)の利用も可能となります。(Ionに含まれる予定の機能です)
そこで今回は、サイト全体をHTTPS化するために役立つアカマイの機能やTipsをご紹介致します。

 

Akamai API Protection

APIマネジメント、APIエコノミーなどAPIに関連した言葉をニュースや記事として目にする機会が増えています。Akamaiでも日々Webサイト、動画等々いろいろな種類のトラフィックを配信していますが、APIを利用したトラフィックは非常に大きな割合を占めるようになってきています。現在、Akamai経由で配信しているFQDNのうち約4%でAPIを取り扱っているのですが、実トラフィック量に占める割合は約20%程度となっております。

APIは多くの場合JSONなどのテキストデータになりますので、1リクエストあたりのデータ量は画像等と比べた場合は小さくなりますので、非常に多くのデータが流れていることが想像いただけると思います。

このような中でAkamaiでは重要度を増すAPIのトラフィックに対するユーザ体験を向上させるために大きく以下の5つの機能を提供しています。

  • API Acceleration - 従来から持っているWebの高速化機能をAPIにも適用することにより、APIトラフィックデータをより高速に運ぶ機能の提供
  • API Caching - こちらも従来から持っているWebのキャッシュ機能をAPIにも適用することにより、サーバの負荷低減と高速化を実現
  • API Compression - APIのデータを圧縮しデータサイズを60-90%削減することでAPIトラフィックデータをより高速に運ぶ機能の提供
  • API Prioritization Cloudlet - サーバが高負荷になった場合などに優先度の高いAPIトラフィックをサーバに透過させたり、優先度の低いAPIトラフィックに対して代替レスポンスの実施など行う機能の提供(こちらはCloudletというコンポーネントで提供しています。CloudletについてはBlogサイトをご参照下さい
  • API Protection - JSONやXMLデータのインスペクトやHTTPメソッドの確認、APIリクエストに対するDDoS/流量過多を防ぐためのRate Controlの提供

今回の記事ではKona Site Defenderの新機能であるAPI Protectionについてご紹介いたします。

AkamaiではSIRT(Security Intelligence Response Team)という独立してサイバー脅威の監視、調査、分析を行うグループが存在します。
SIRTは調査を通じて非常に高いレベルのTTPs(Tactics、Techniques and Procedures/戦術、技術および手順)を構築し、これをさらに向上すべく様々な活動をしております。

この活動の一環として得られた知見などについては英語ベースにはなりますがBlogなどで公開させていただいております。ここではAkamai Security Intelligence Response Teamが活動を公開している4つのサイトについて紹介します。

 Akamaiの研究チームは、「IoT(モノのインターネット)」デバイスを悪用した攻撃の増大についてモニタリングを行っています。これらの攻撃は、乗っ取られた様々な種類のデバイスから行われます。Akamaiは、お客様とユーザー様をこれらの攻撃から守るために日夜取り組んでいます。

その他の(汎用的なコンピュータなどの)IoTタイプではないデバイスの場合、デバイスの所有者はシステムをパッチで修正するか再設定するなどを行って、脆弱性をなくすことができます。対して IoT の所有者は ボットネットのメンバーリストから自分のデバイスを取り除く手段が、ベンダーのアップデートだけが頼りであることが少なくありません。場合によってはIoTデバイスのパッチ修正が自体ができず、デバイスを取り除く以外に手段がないこともあります。

このシリーズ記事では、Akamaiの脅威リサーチ(Threat Research)チームとセキュリティ・インテリジェンス・レスポンス(Security Intelligence Response)チームがこれらの課題についての認識を高めるための情報を提供し、IoTデバイスにとってのインターネットの安全性を高めるためにデバイスの所有者とベンダーが行えるアクションについてのご提案をします。

※ この記事は、Akamai Technologies InfoSec DirectorであるEric Kobrinの記事の翻訳を元にしています。

昨年末に起きたDyn DNSサービスに対するDDoS攻撃は、世界の金融サービス業界全体に多大な影響を及ぼしました。そして、この攻撃から学んだ技術上のリスクと教訓をより深く理解する事例となりました。

2部構成のこのブログの第1部では、この攻撃が銀行、保険会社、そして業界内の他の企業に与えた影響を分析したいと思います。第2部では、金融サービスウェブサイトの技術リスクをよりよく理解するために詳細について掘り下げ、この業界における教訓を引き出す予定です。

※ この記事はAkamai Technologiesの金融サービス担当最高戦略責任者であるRich Bolstridge が執筆したBlog記事の翻訳をもとにしています。

 Akamaiでは、四半期ごとに自社のサービスで得られた大量のデータを詳細に分析しています。毎回、新たなことがらを発見するのですが、2016年第3四半期も例外ではなく、驚くべきことが起きました。Miraiと呼ばれるボットネットが10月にインターネットで話題を集めたのをご存知の方もいらっしゃるでしょう。

 このMiraiボットネットが、インターネットに星の数ほど存在する攻撃プラットフォームと異なるのは、これが乗っ取られたIoT(Internet of Things)」機器」上に構築されている点です。以前、家にあるコーヒーメーカーや冷蔵庫が攻撃を開始する可能性を、冗談でよく話したものですが、これほどにすぐに現実のものとなるとは誰もが考えていませんでした。

 2016年10月に、この世の中の認識をひっくり返す事象を世界は目の当たりにしました。攻撃者は世界中に配置されていた監視カメラなどのIoT機器を強力なロボット兵団にしてしまったのです。Miraiボットネットは、DNSサービスを提供する米Dyn社に対する大規模攻撃の一部にも利用され、この攻撃の結果、SNSや動画配信、その他の多くの企業のビジネスを支えていたDNSサービスを中断に追い込んだと報じられています。

 では、なぜ、IoTを利用した攻撃が拡大したのでしょうか?

<< 1 2