2018年2月28日にmemcachedが利用されたDRDoS攻撃の被害が報告されました。

memcachedはWebアプリケーション高速化のための分散型メモリキャッシュシステムです。

攻撃はまだ完全に収束しておらず、今後もmemcachedサーバが反射攻撃に利用される恐れがあります。

今回はmemcachedを利用したDRDoS攻撃について詳細情報と対策をご紹介いたします。

本記事はこちらよりPDFにてご覧頂けます。

注意喚起：memcachedを利用したDRDoS攻撃について

 1.　概要

　2018年２月28日、GitHub.comがDRDoS攻撃（Distributed Reflection Denial of Service、分散反射型サービス不能攻撃）を受けて一時的にサービス不能となりました。memcachedが稼働するサーバが反射攻撃を担うリフレクタとして利用され、ピーク時のトラフィックは1.35Tbpsに達したと報告されています。この攻撃はCVE-2018-1000115として公開されているmemcachedの脆弱性を利用したものです。

　セキュアソフトのグループ会社で24時間365日のセキュリティインシデント監視サービスを提供するサービス＆セキュリティ株式会社(以下、SSK)のe-Gateセンターにおいても、同じ時期にリフレクタとして反射攻撃に加担させようとする通信を検知しています。下図はe-Gateセンターが監視するシステムにおける当該通信のイベント数のグラフです。2月20日頃からイベントが検知され始め、3月3日にピークとなり徐々に減少していますが、依然として平常時よりも多くのイベントが検知されています。

　攻撃の対象とされて被害を受けないようにするだけでなく、知らないうちに攻撃に加担させられ加害者とならないよう、対策を実施しなければなりません。正しい情報を把握して早期に対応することが必要です。

 2.　memcachedを利用したDRDoS攻撃と被害例

 ⑴memcachedとは

　memcachedはWebアプリケーションの高速化を目的に開発された分散型メモリキャッシュシステムです。memcachedはデータをメモリ内に効率的にキャッシュする仕組みを提供します。その結果、データベースからデータを読み出す回数が減少し、Webアプリケーションの動作が高速になります。

⑵memcachedを利用したDRDoS攻撃

　下の図において、攻撃者はインターネット上のmemcachedサーバに対して、送信元IPアドレスを攻撃対象のIPアドレスに偽装して、11211/UDP宛ての要求パケットを送信します。これを受けたサーバは、攻撃対象の（偽装された）IPアドレスに応答パケットを送信します。

　攻撃者が送信する要求が1パケットあたり数十バイトであるのに対して、memcachedサーバの応答は1パケットあたり数百キロバイト程度にもなります。結果として、1つのmemcachedサーバにつき、攻撃者が要求パケットを送信する通信帯域幅の10,000～50,000倍に増幅された応答パケットの攻撃を仕掛けることができます。更にDRDoS攻撃（分散反射型サービス不能攻撃）においては、リフレクタ（反射攻撃を担うサーバ）の数だけ攻撃対象が受けるデータが増大します。

　2018年2月28日、GitHub.comはmemcachedを利用したDRDoS攻撃を受け、17:21から17:30（いずれもUTC）まで全く利用できない、または一時的に利用できない状態に陥り、ピーク時においては1.35Tbpsのトラフィックを受けたと報告されています。

⑶対策

　対策としては、memcachedサーバの対策とネットワークの対策が考えられます。

 ①memcachedサーバの対策：11211/UDPの利用制限・変更

　memcachedバージョン1.5.5以前では、既定で11211/UDPが有効になっており、攻撃者に利用されました。11211/UDPのサービスが使用されていなければ、memcachedの設定を変更して11211/UDPを無効にしてください。2018年2月27日にリリースされたmemcachedバージョン1.5.6ではUDPを使ったアクセスが既定で無効となっています。

②ネットワークの対策：memcachedサーバへのアクセス制限

memcachedサーバからインターネットへの経路上にファイアウォールが設置されていることを確認してください。インターネットからmemcachedサーバへのアクセスは、特定IPアドレスからの通信だけをファイアウォールで許可する、または必要がない場合は完全に遮断するなどして、memcachedサーバへのアクセスを制限してください。

⑷    参考情報

 JPCERT/CC　memcachedのアクセス制御に関する注意喚起

CVE-2018-1000115

memcachedバージョン1.5.6リリースノート

GitHub　Engineering DDoSインシデントレポート

 3. 　SSK、SecureSoft製品・サービスの対応について

　今回の攻撃はDDoS攻撃の1種ですので、ターゲットとなるサーバの攻撃を緩和する為には、SSKのグループ会社であるセキュアソフトの次世代型IPS製品Sniper ONEのDDoS対策機能を活用することが有効な対策の１つとなります。また、攻撃を早期に発見する為に日々の運用監視が重要です。SSKの総合セキュリティサービス 「e-Gate」監視サービスを活用頂くことで精度の高い検知、早期発見による迅速な事後対応が可能となります。

 ■SecureSoft Sniper ONE
　ネットワークを通過するパケットに対して、様々な角度から詳細な分析を行い、攻撃を検知・遮断する事ができる「防御」のための不正侵入検知・防御システム（IPS：Intrusion Prevention System）です。Sniper ONEではDDoS対策、RateLimit機能などのオプションを用意しており、システムや想定する攻撃に合わせてDDoS対策をおこなうことが可能です。

■総合セキュリティサービス「e-Gate」

　SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。

※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

2月28日付の日経産業新聞朝刊の5面にて、グループ会社のSSKのSOCが掲載されました。

詳しくは下記よりご確認頂けます。

SSKニュース：https://www.ssk-kan.co.jp/topics/?p=8912

ご来場者様各位

拝啓 貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚く御礼申し上げます。

この度はセキュアソフト並びにサービス＆セキュリティの
合同主催による｢Security Fair 2018 TOKYO｣にご参加頂き、誠にありがとうございました。

今回はグループ会社として初となる共同開催となり、大勢の皆様にご参加賜りまして、
盛況の中、本セミナーを終了することができました。
基調講演では、ICT技術と日本経済について、政府の政策動向の最新状況について等
ご紹介していただき、セキュアソフトよりサイバーセキュリティ対策製品、
サービス＆セキュリティからは新たな総合セキュリティサービスである「e-Gate」を
ご紹介させて頂きました。
また、セミナー後に開催されました懇親会では、情報セキュリティについて会話が弾み、
大変賑やかな会となりました。

会場におきましては、何かと行き届かない点などあったかと思いますが、
何卒ご容赦頂けますようお願い申し上げます。

今後ともインターネット社会の「安心」と「安全」に貢献し、
皆様のご期待にお応えできるよう努める所存でございます。
引き続き、ご指導ご鞭撻を賜りますようお願い申し上げます。
略儀ながら書中をもってお礼申し上げます。

　　　　　　　　　　　 　　　　　　　　　　　　　　　　　　　　　　　　敬具

2018 年 3 月 2 日

　　　　　　　　　　　　　　　　　　　　　　　　　　 株式会社セキュアソフト
　　　　　　　　　　　　　　　　　　　　　　　　　　 代表取締役社長　姜　昇旭

グループ会社であるサービス＆セキュリティ株式会社(東京都渋谷区、代表取締役社長：姜 昇旭

以下、SSK)は、人材とサイバーセキュリティを融合したハイレベルな総合セキュリティサービス

「e-Gate」を発表し、本日(2018年3月1日)より、サービスの提供を開始します。

詳しくは、SSKのホームページよりご確認いただけます。

・ニュースリリース

・e-Gate

https://www.ssk-kan.co.jp/e-gate