Memcached サーバーの保護に加えて、Akamai Prolexic などの DDoS 緩和サービスが、DDoS 攻撃から Web サイトを守るのに役立ちます。
Memcached DDoS の説明
近年、分散型サービス妨害(DDoS)攻撃の件数が増加し、その手法が高度化する傾向にあります。攻撃者が攻撃の拡大に利用する方法の一つが、Memcached サーバーの脆弱性の悪用です。この記事では、Memcached DDoS の仕組みとその影響、攻撃を防ぐ方法について説明します。
Memcached とは?
Memcached は、オープンソースの高性能分散型のメモリー/データベースキャッシュシステムです。多くの場合にキー値を使用し、アクセスの多いデータをメモリーにキャッシュすることで、動的な Web サイトや Web アプリケーションを高速化します。Memcached は、Facebook、Twitter、YouTube などの企業で広く使用されています。UDP もサポートされ、 攻撃ベクトルに利用される大きな要因となっています。
DDoS 攻撃とは?
分散型サービス妨害(DDoS)攻撃は、侵害された多数のデバイス(ボットネット)が一斉に、ターゲットの Web サイトやサーバーのトラフィックを攻撃するタイプのサイバー攻撃です。標的の処理能力を超える大量のトラフィックを仕向けることで、正規のユーザーによるアクセスを不能にし、認証などの機能を停止させます。
Memcached DDoS 攻撃とは?
Memcached 攻撃は増幅攻撃の一種で、攻撃者は HTTP GET 要求を脆弱な Memcached サーバーに送信します。これらの脆弱なサーバーから目的のターゲットに UDP パケットが送られ、増幅係数が拡大します。サイバーセキュリティ専門家の推計では、Memcached による増幅は当初の「GET」要求の 51,000 倍に達し、大量の UDP データが要求されることがあるとのことです。この要求はソース IP アドレスになりすまし、被害を受けた IP アドレスから送られたように見えます。応答側の Memcached サーバーは、被害者の IP アドレスにデータを送り、トラフィックが増大してサーバーの処理能力を超えてしまいます。
Memcached DDoS 攻撃の仕組み
Memcached DDoS 攻撃は、次の手順で進行します。
- 攻撃者がインターネットで脆弱な Memcached サーバーをスキャンします。
- 攻撃者は小サイズの HTTP GET 要求を公開 Memcached サーバーに送り、大量の UDP Memcached ペイロードを返すように要求します。この要求はソース IP アドレスになりすまし、被害を受けた IP アドレスから送られたように見えます。
- Memcached サーバーは要求に応え、大量のデータを被害者の IP アドレスに送信します。
- この悪質なリフレクション攻撃のトラフィックは、被害を受けたデータセンターサーバーの処理能力を超え、正規のユーザーからのアクセスが不能になります。
Memcached DDoS 攻撃の効果
Memcached DDoS 攻撃が効果的なのは、攻撃トラフィックのペイロードが増幅されるからで、増幅係数は最大 50,000 倍に達します。つまり、小サイズの要求により、大量のトラフィックを標的のサーバーやデータセンターに送ることができます。さらに、Memcached サーバーは高速ネットワークに接続されていることが少なくなく、トラフィックを短時間で送信できることから、防御がより難しくなります。その他の一般的な理由として、DDoS 攻撃を仕掛けるためのインフラを攻撃者が自前で準備する必要がないこともあげられます。オープンなインターネットリソースを利用して、IP スプーフィングや UDP ポート攻撃、その他目的のエンドポイントへの攻撃ができます。Akamai が記録した最大の DDoS 攻撃では、1 Tbps を超える、Memcached プロトコルの攻撃トラフィックが発生しています。
Memcached DDoS 攻撃を防ぐ方法
Memcached DDoS 攻撃から身を守るための方法をいくつか紹介します。
- UDP を無効にします: Memcached サーバーはデフォルトで UDP プロトコルを使用しますが、これは容易に偽装されてしまいます。UDP を無効にし、TCP のみを許可することで、なりすましの要求が Memcached サーバーに到達できなくなります。
- ファイアウォール: ファイアウォールを使用して、既知の悪性 IP アドレスから Memcached サーバーへの着信トラフィックをブロックすることもできます。
- レート制限:着信トラフィックにレート制限を設けることで、Memcached サーバーに到達するトラフィックの急激な増加を抑えることもできます。
- Memcached の更新: 実行する Memcached は、セキュリティパッチを含め、必ず最新バージョンを使用することが重要です。
- Memcached DDoS の直接のターゲット: この種の攻撃には、クラウド型の DDoS 対策を活用します。増幅係数が高く、オープンな Memcached サーバーが多いことから、データセンターのローカルな対策では、キャパシティの問題が生じる可能性があります。
よくあるご質問(FAQ)
いいえ。増幅攻撃に利用されるのは Memcached に限らず、DNS、NTP、CLDAP などのサービスも同様の攻撃に利用されています。
脆弱性スキャナーを使用すれば、Memcached サーバーの脆弱性をテストできます。脆弱性が見つかったら、できるだけすぐに安全対策をとるようにしてください。
Memcached/その他 DDoS 攻撃を防ぐ
Memcached DDoS 攻撃は深刻な脅威で、Web サイトやサーバーを停止させるために使用されます。攻撃者は Memcached サーバーの脆弱性を悪用して攻撃を増幅させ、ターゲットの機能を停止させます。しかし、UDP の無効化やレート制限の導入、Memcached サーバーの更新などの対策をとることで、こうした攻撃を防止できます。常に警戒をして最新の防御対策をとることが、絶えず変化するサイバー攻撃から身を守るために重要です。
Akamai が選ばれる理由
Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。