DDos攻撃の新手法「リフレクション型」の何が危険なのか？：イベントレポートアーカイブ（1/3 ページ）

　日進月歩で成長するサイバー攻撃と巧妙化する手口。コンテンツデリバリーネットワーク（CDN）サービスを提供するアカマイ・テクノロジーズが発表した2017年第4四半期「インターネットの現状／セキュリティ」レポートによると、「DDoS（分散型サービス拒否）攻撃」が依然として脅威であることに加えて、botによる不正ログインが急増しているという。

　また、IoT端末を狙うマルウェア「Mirai」がこれから急激に勢いを増す可能性もあるようだ。最近ではMiraiの亜種も発見されるなど、種類も複雑化している。このように日々進化するサイバー攻撃に対して、何から対策を講じるべきか悩む企業も多い。今、サイバー攻撃の手口はどうなっているのだろうか。実態を聞いた。

memcachedを利用した増幅攻撃により簡単に大規模DDoS攻撃が可能に

　アカマイ・テクノロジーズが発表した2017年第4四半期のセキュリティレポートによると、前年同期と比較してDDoS攻撃の総数が14％増加しているという。特に最近は「memcached（分散型メモリキャッシュシステム）」を悪用したDDoS攻撃が問題視されている。

　memcachedとは、データベースへの読み込み回数を減らすために、Webからデータベースへの問い合わせ結果を一時的にメモリに溜めておくキャッシュシステムである。Webサイトのレスポンス速度の向上にもつながり、現在、多くのWebサイトやサービスで利用されているシステムだ。このmemcachedの特性を利用することで、増大なトラフィックを生成でき、その増幅効果によって簡単に大規模なDDoS攻撃を行える。Webサイトへの直接攻撃よりも効率的に大規模な攻撃を仕掛けられるのだ。これを「リフレクションDDoS攻撃」と呼ばれている。

　最近では、インターネット上に公開されているmemcachedサーバがトラフィック増幅のための踏み台として悪用されるケースが多発している。この攻撃の怖いところが、知らず知らずのうちに関係のないユーザーのmemcachedサーバがDDoS攻撃のために利用される可能性があるということだ。そのため、memcachedサーバをインターネットへ露出した状態にしないこと、またはmemcachedで使われるTCP/UDPポート番号11211へのアクセスを制御するなどの対策が必要だ。本レポートによると「約5〜10万台のmemcachedサーバがインターネット上に露出した状態」だという。

第三者のmemcachedサーバを踏み台にするリフレクションDDoS攻撃の仕組み

　昨今のDDoS攻撃の大規模化に伴い、アカマイ・テクノロジーズでは同社クライアント向けDDoS対策のために、悪質なトラフィックをブロックし、正常なトラフィックのみを転送する「スクラビングセンター（緩和拠点）」を世界7拠点に設置している。2018年2月には、同社クライアントに対して大規模なDDoS攻撃が発生したが、攻撃先への全トラフィックをスクラビングセンターへ誘導することで、被害の緩和に成功したという。2018年度中には18拠点にまで拡大する方針だ。

悪質なトラフィックをブロックするアカマイのスクラビングセンター。2018年度中には7拠点から18拠点に（資料提供：アカマイ・テクノロジーズ）

Copyright © ITmedia, Inc. All Rights Reserved.