「PhoneHome」DDoS 攻撃 — 知っておくべきこと
[攻撃を受けていませんか?緊急の DDoS 保護が必要な場合は、 こちら をクリックしてください。]
電気通信企業 Mitel によるエンタープライズ・コラボレーション・スイートの MiCollab の脆弱性は、記録的な分散型サービス妨害(DDoS)攻撃のために悪用されてきました。
何が起きたのか
2022 年 2 月中旬、セキュリティ研究者、ネットワーク事業者、セキュリティベンダーは、インターネット・サービス・プロバイダー、金融機関、物流企業、およびその他の市場のさまざまな組織を標的とした DDoS 攻撃 の急増を確認しました。
Akamai は、InfoSec コミュニティの他のメンバーと協力して攻撃を調査し、3 月 8 日に 詳細な分析を公開 しました。この攻撃を追跡したところ、Mitel の MiCollab および高度なビジネス電話システムの MiVoice Business Express 製品の一部であるハードウェアコンポーネント(TP-240 VoIP インターフェースカード)にまで遡ることができました。
調査委員会は、これらのシステムのうち約 2,600 が、DDoS 攻撃を仕掛けるために悪用できるよう構成されていると判断しました。つまり、攻撃者がインターネットを介し、他のネットワークに対して DDoS 攻撃を仕掛けられるのです。この脆弱性は、「TP240PhoneHome」と名付けられ、 CVE-2022-26143として追跡されていますが、現在、頻繁に悪用されています。
TP240PhoneHome DDoS 攻撃の重大性
TP240PhoneHome は、その増幅の潜在力が顕著です。これは、これまでに知られているあらゆる DDoS 攻撃よりもはるかに大きなものです。攻撃者は通常、攻撃を維持するために、悪用されているサーバーへのネットワークトラフィックの流れを維持する必要があります。しかしこの攻撃では、少量のネットワークトラフィックを一度送信するだけで攻撃を開始することができます。次に、ターゲットとなるシステムを制圧し、サービスを拒否させ、実質的に停止を引き起こすために、悪用されたサーバーは増幅された大量のトラフィックをターゲットとなるシステムに継続的に送信します。
これまで、既知の最大の増幅器では、攻撃トラフィックを 5 万 1,000 倍に増やすことができました。TP240PhoneHome は、その記録を 40 億以上に引き上げます。すなわち、悪用されたサーバーに送信される 1 度の攻撃パケットにつき、42 億 9,496 万 7,296 ネットワークパケットもの驚異的な攻撃トラフィックが生成され、ターゲットネットワークに送信されます。これらのパケットのサイズも大きくなるため、トラフィックは 2,200 億パーセント以上増幅されます。
TP240PhoneHome DDoS 攻撃の危険度
簡単な答え:この攻撃によるリスクは、その記録的な増幅効率にもかかわらず、確実な DDoS 保護 対策を講じている企業にとっては低くなります。そのような保護レイヤーがない場合、この攻撃(および他の多くの DDoS 攻撃)は、システムやアプリケーションを長期間到達不能にし、使用できなくすることにより、深刻な損害やビジネスの中断を引き起こす可能性があります。
TP240PhoneHome 攻撃は、誤って構成された Mitel MiCollab システムに依存しており、調査結果によると、調査時点では約 2,600 台しかありませんでした。これにより全体の量が制限されます。また、攻撃は連続的にのみ実行でき、並行的には実行できないため、さらに制限が生じます。
Mitel はこの問題についての情報を得たため、脆弱性を排除するための セキュリティに関する報告 と手順をリリースしました。システムが悪用されている Mitel のお客様は、音声通信の部分的または完全な中断、パフォーマンスと機能の低下などの付随的な影響を受ける可能性があります。
Akamai による支援方法
Akamai Prolexic(当社の DDoS 保護ソリューション)を使用しているお客様はすでに安全な状態です。Prolexic は TP240PhoneHome のような増幅攻撃に対処し、攻撃トラフィックをネットワークやサーバーから遠ざけることができるからです。Prolexic は、予想される量を簡単に処理でき、TP240PhoneHome 専用の緩和ルールが更新されています。Prolexic は、ゼロ秒のサービスレベル契約(SLA)により、システムのサービスの目立った中断やパフォーマンスの低下なしに、潜在的な攻撃を即座に緩和します。
Akamai Intelligent Edge プラットフォーム上のお客様のウェブアプリケーション、つまり Akamai App & API Protector を使用するアプリケーションや、 コンテンツ配信ネットワーク(CDN)ソリューションを介して提供されるトラフィックなどは、プラットフォームの性質上、このような種類の DDoS 攻撃から保護されます。Akamai のプラットフォームはリバースプロキシとして設計されており、適切に形成された HTTP(S)トラフィックのみを受け入れます。ネットワークレイヤーのすべての DDoS 攻撃は自動的にドロップされます。Prolexic は、オリジンサーバーを直接ターゲットにすることで、Akamai プラットフォームをバイパスする攻撃から防御します。
Akamai が DDoS 攻撃を検知して緩和する方法
Akamai には、世界で最も大きく、複雑で、新しい DDoS ベクトルを緩和するためのさまざまな機能があります。Akamai は、世界で最も信頼されている世界最大のクラウド・デリバリー・プラットフォームを運用しており、135 か国に約 365,000 台のサーバーがあり、他のどの組織よりも多くのネットワークトラフィックを確認、分析しています。Akamai Security Intelligence Response Team(SIRT)は、お客様、InfoSec コミュニティの他のメンバー、製品開発、ネットワーク運用、およびセキュリティ・オペレーション・センターと協力して、脅威ベクトルを特定および緩和し、ビジネスクリティカルなサービスに最適な保護を提供します。
DDoS 防御の推奨されるベストプラクティス
Akamai では、DDoS に関するリスクを管理するためのさまざまなベストプラクティスを推奨しています。最初にして最も重要なのは、Edge DNS や Prolexic など、DDoS 修正のためのクラウドベースソリューションを実装することです。これは、攻撃を吸収、緩和し、優れた結果を得るための最善の機会となります。
次に、専門知識と技術的能力を備えたマネージド・セキュリティ・サービス(MSS)プロバイダーと提携して、脅威を特定し、推奨する緩和計画を策定し、その計画を実行して、ビジネスを中断することなく攻撃を阻止することを強くお勧めします。定期的な脅威の検証、リスク評価、運用および攻撃に対する準備は、社内チームに負担がかるため、サイバー・セキュリティ・サービスの提供を専門とし、さまざまなクライアントからの脅威インテリジェンスを集約および活用できる強力なパートナーと協力して行うのが最適です。
詳細
当社の Web サイトでは Akamai Managed Security Serviceの詳細をご覧ください。ご質問がある場合は、 こちらからお問い合わせください 。
