2018年2月28日にmemcachedが利用されたDRDoS攻撃の被害が報告されました。
memcachedはWebアプリケーション高速化のための分散型メモリキャッシュシステムです。
攻撃はまだ完全に収束しておらず、今後もmemcachedサーバが反射攻撃に利用される恐れがあります。
今回はmemcachedを利用したDRDoS攻撃について詳細情報と対策をご紹介いたします。
本記事はこちらよりPDFにてご覧頂けます。
注意喚起:memcachedを利用したDRDoS攻撃について
1. 概要
2018年2月28日、GitHub.comがDRDoS攻撃(Distributed Reflection Denial of Service、分散反射型サービス不能攻撃)を受けて一時的にサービス不能となりました。memcachedが稼働するサーバが反射攻撃を担うリフレクタとして利用され、ピーク時のトラフィックは1.35Tbpsに達したと報告されています。この攻撃はCVE-2018-1000115として公開されているmemcachedの脆弱性を利用したものです。
セキュアソフトのグループ会社で24時間365日のセキュリティインシデント監視サービスを提供するサービス&セキュリティ株式会社(以下、SSK)のe-Gateセンターにおいても、同じ時期にリフレクタとして反射攻撃に加担させようとする通信を検知しています。下図はe-Gateセンターが監視するシステムにおける当該通信のイベント数のグラフです。2月20日頃からイベントが検知され始め、3月3日にピークとなり徐々に減少していますが、依然として平常時よりも多くのイベントが検知されています。
攻撃の対象とされて被害を受けないようにするだけでなく、知らないうちに攻撃に加担させられ加害者とならないよう、対策を実施しなければなりません。正しい情報を把握して早期に対応することが必要です。
2. memcachedを利用したDRDoS攻撃と被害例
⑴memcachedとは
memcachedはWebアプリケーションの高速化を目的に開発された分散型メモリキャッシュシステムです。memcachedはデータをメモリ内に効率的にキャッシュする仕組みを提供します。その結果、データベースからデータを読み出す回数が減少し、Webアプリケーションの動作が高速になります。
⑵memcachedを利用したDRDoS攻撃
下の図において、攻撃者はインターネット上のmemcachedサーバに対して、送信元IPアドレスを攻撃対象のIPアドレスに偽装して、11211/UDP宛ての要求パケットを送信します。これを受けたサーバは、攻撃対象の(偽装された)IPアドレスに応答パケットを送信します。
攻撃者が送信する要求が1パケットあたり数十バイトであるのに対して、memcachedサーバの応答は1パケットあたり数百キロバイト程度にもなります。結果として、1つのmemcachedサーバにつき、攻撃者が要求パケットを送信する通信帯域幅の10,000~50,000倍に増幅された応答パケットの攻撃を仕掛けることができます。更にDRDoS攻撃(分散反射型サービス不能攻撃)においては、リフレクタ(反射攻撃を担うサーバ)の数だけ攻撃対象が受けるデータが増大します。
2018年2月28日、GitHub.comはmemcachedを利用したDRDoS攻撃を受け、17:21から17:30(いずれもUTC)まで全く利用できない、または一時的に利用できない状態に陥り、ピーク時においては1.35Tbpsのトラフィックを受けたと報告されています。
⑶対策
対策としては、memcachedサーバの対策とネットワークの対策が考えられます。
①memcachedサーバの対策:11211/UDPの利用制限・変更
memcachedバージョン1.5.5以前では、既定で11211/UDPが有効になっており、攻撃者に利用されました。11211/UDPのサービスが使用されていなければ、memcachedの設定を変更して11211/UDPを無効にしてください。2018年2月27日にリリースされたmemcachedバージョン1.5.6ではUDPを使ったアクセスが既定で無効となっています。
②ネットワークの対策:memcachedサーバへのアクセス制限
memcachedサーバからインターネットへの経路上にファイアウォールが設置されていることを確認してください。インターネットからmemcachedサーバへのアクセスは、特定IPアドレスからの通信だけをファイアウォールで許可する、または必要がない場合は完全に遮断するなどして、memcachedサーバへのアクセスを制限してください。
⑷ 参考情報
JPCERT/CC memcachedのアクセス制御に関する注意喚起
GitHub Engineering DDoSインシデントレポート
3. SSK、SecureSoft製品・サービスの対応について
今回の攻撃はDDoS攻撃の1種ですので、ターゲットとなるサーバの攻撃を緩和する為には、SSKのグループ会社であるセキュアソフトの次世代型IPS製品Sniper ONEのDDoS対策機能を活用することが有効な対策の1つとなります。また、攻撃を早期に発見する為に日々の運用監視が重要です。SSKの総合セキュリティサービス 「e-Gate」監視サービスを活用頂くことで精度の高い検知、早期発見による迅速な事後対応が可能となります。
■SecureSoft Sniper ONE
ネットワークを通過するパケットに対して、様々な角度から詳細な分析を行い、攻撃を検知・遮断する事ができる「防御」のための不正侵入検知・防御システム(IPS:Intrusion Prevention System)です。Sniper ONEではDDoS対策、RateLimit機能などのオプションを用意しており、システムや想定する攻撃に合わせてDDoS対策をおこなうことが可能です。
■総合セキュリティサービス「e-Gate」
SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。