DDoS攻撃の新時代
HTTP/2の「Rapid Reset」脆弱性が脅威の状況に変化をもたらす
2023年10月、Cloudflareは、WebサーバーやWebアプリといったHTTPリソースに対する大量DDoS攻撃を可能にする、HTTP/2プロトコルのゼロデイ脆弱性の公表を主導しました。脆弱性が発見されてから数週間のうちに、攻撃者はこの脆弱性を不正利用し、何百もの記録的な攻撃を仕掛けました。
このように「記録的」とか「変革的」という発表は数え切れないほどありますが、セキュリティリーダーがそれを鵜�呑みにすることはほとんどないのが通常です。しかし、今回はいくつかの点で異なっており、脅威の状況全体が変化したことを表しています。
この変化をうまく乗り切るために、セキュリティリーダーはクラウド移行の主要部分を加速させ、顧客向けWebインフラ全体のリスクについて可視性を高める必要があります。
DDoSの状況に大きな変化
2010年代、規模・影響とも最大級のDDoS攻撃は、多くがOSIモデルのレイヤー3と4を不正利用したものでした。成功確率の高い手口であることに気づいた攻撃者が、繰り返し使ったのです。有名な例としては、2013年のSpamHaus、2016年のDyn、2019年のWikimediaへの攻撃があり、このうちDynへの攻撃では1.3Tbps以上の悪性トラフィックが発生しました。
もちろん、企業も徐々に適応していきました。クラウドの導入率が高まり、自社で保護すべきネットワークインフラが縮小した企業は、最大級のネットワークDDoS攻撃をも軽減する特化型技術に投資しました。
��歴史は繰り返されるわけで、攻撃者の戦術が変化するのは当然です。近年は、注目すべきDDoS攻撃の多くがアプリケーション層(レイヤー7)プロトコルを不正利用しており、新たなトレンドが明らかになっています。以下の攻撃です。
帯域幅消費が極めて多い(超帯域幅消費型)
トラフィックサイズ(各パケットやリクエストなどの帯域幅)よりも、トラフィックボリューム(一定期間におけるリクエストの速度と量)に重点を置く
ゼロデイ脆弱性を突く、古いテクニックを新しい方法で再利用する、特定の業界や組織をターゲットにするなど、より複雑な戦術に基づく
HTTP/2の新たな脆弱性はこうしたトレンドを決定づける例であり、企業に独特な課題をいくつか突きつけています。その理由を理解するには、まずこの脆弱性悪用の仕組みを一通り知る必要があります。
HTTP/2の新たな脆弱性は、他に類を見ない危険性をはらんでいる
このゼロデイ脆弱性は、HTTP/2のストリームキャンセル機能が不正利用されることから「Rapid Reset」というニックネームが付けられました。
HTTP/2プロトコルでは、ストリームはクライアントとサーバー間のリクエストとレスポンスのシーケンスです。重要なのは、リクエスターが一方的にストリームを確立したり取り消したりできることです。もちろん、この機能を使用する正当な理由はたくさんありますが、「Rapid Reset」攻撃では、脅威アクターが悪性のキャンセルリクエストを大量に生成し、それが標的サーバーの通常のレート制限を回避します。(エクスプロイトの技術的詳細については、こちらをご覧ください。)
Cloudflareは2023年8月から、攻撃者がこの方法を使って攻撃し、甚大な影響を与えていることを観測しました。この月、何百もの「Rapid Reset」攻撃が行われ、Cloudflareでのそれまでの記録(毎秒7100万回)を塗り替える悪性リクエストが送信されました。最大の攻撃は、前の記録の3倍に上る規模でした。
なぜそれが問題なのでしょうか?
その理由の1つは攻撃者のインフラにあります。記録を更新したその攻撃には2万台のマシンで構成されるボットネットが使われましたが、2万台というのは現代のボットネットの水準からすると比較的控えめです。例えば、Cloudflareは、数十万台から数百万台のマシンで構成されるボットネットを頻繁に検出しています。
また、この脆弱性自体が非常に広範囲に及んでいます。全インターネットトラフィックの約62%がHTTP/2プロトコルを使用しており、WebアプリとWebサーバーの大半が本質的に脆弱なのです。Cloudflareの初期調査によるとHTTP/3もおそらく脆弱であり、影響を受けないプロトコルはHTTP/1.1だけです。ただ、現代のインターネットの多くがHTTP/2やHTTP/3のパフォーマンス向上に依存しているため、HTTP/1.1に頼るのは現実的とは言えません。
つまり、この脆弱性は今後数か月から数年は適応され、不正利用される可能性が大きいということです。より多くのリソースを持つ新たな攻撃グループが不正利用を試行錯誤しているうちに、新たなDDoS記録が打ち立てられることは想像に難くありません。
では、セキュリティリーダーとそのチームは、確実な保護のために何をすべきなのでしょうか?
HTTP/2の脆弱性から組織を守る - 広範なDDoS脅威の状況
あらゆるセキュリティ対策は、テクノロジーとプロセスをうまく組み合わせることが重要であり、この次世代のアプリケーション層DDoS攻撃への対応も同様です。
技術的なレベルでは、セキュリティリーダーは以下のステップを優先すべきでしょう。
アプ�リケーション層DDoS軽減をデータセンター外に移します。 最も堅牢なDDoS軽減ハードウェアでも、「Rapid Reset」のような超帯域幅消費型攻撃を仕掛けられたら降参でしょう。自社でアプリケーション層DDoS軽減のクラウドへの移行を検討しているなら、今が行動を起こす良い機会です。
クラウド型のアプリケーション層DDoS軽減を提供する二次プロバイダーを使って耐障害性を確保することを検討します。将来の攻撃規模を正確に予測するのは難しいですが、特に重要なWebアプリケーションについては、これが一般的なベストプラクティスです。
Webサーバーおよびオペレーティングシステムの適切なパッチが、インターネットに接続しているWebサーバーすべてに展開されていることを確認します。また、Terraformのビルドやイメージなどすべての自動化にパッチがしっかり当てられていることを確認し、旧バージョンのWebサーバーが誤って本番環境へ展開されセキュアなイメージを上書きしないようにします。
技術だけでは十分な保護は得られません。その理由のひとつはパッチの適用に関係しています。適用自体は簡単ですが、それを長期にわたって一貫して行えるように運用するのは容易ではありません。この不幸な真実の一例として、前述したLog4Jの脆弱性が公表され、パッチがリリースされてから1年が経っても、大半の組織がまだ部分的に暴露されていたことを考えてみましょう。
また、最新のWeb アプリケーションはパートナーシップやサードパーティの統合への依存度が高く、それらとの依存関係もすべて脆弱である可能性があります。そのため、セキュリティリーダーが以下の追加措置を優先することも同様に重要になります。
パートナーネットワークの外部接続性を理解します。それらのパートナーやその他のサードパーティは、脆弱性を十分に認識しているのでしょうか?前述したような技術的ステップを踏んでいるのでしょうか?
攻撃を検知して対応し、ネットワークの問題を修復するための既存のプロセスと慣行を理解します。活発な攻撃が始まれば、チームの回復力や効率を評価するどころではありません。今こそ、インシデント管理、パッチ適用、セキュリティ保護の進化を、継続的なプロセスに変える時です。
このようにプロセスを改善しておけば、将来起こりうる「Rapid Reset」の不正利用により注意深く対処でき、より広範なDDoS脅威状況における他の変化にも備えることができます。
Cloudflareのサービス
Cloudflareはこのゼロデイ脆弱性を最初に特定した企業の1つであり、その進化を継続的に追跡し、企業や機関が確実に保護されるよう業界全体で取り組んできました。攻撃を阻止し、将来また大規模な攻撃があっても軽減できるようCloudflareネットワークの能力を高めることを目的とした新技術の開発やローンチも、その一環です。
そうした改良は、企業や機関が最大級の攻撃から自身を守るのに役立つ、以下のようなCloudflareの既存の利点を土台として構築されます。
477 Tbps以上のネットワーク容量で、最大量の悪性トラフィックをも吸収する
軽減機能がグローバルに分散され、トラフィックのバックホールによるカスタマーエクスペリエンスの低下がない
独自の広範な脅威インテリジェンスに基づいた機械学習モデルにより、多くのゼロデイ脆弱性を発表前にキャッチする
Cloudflareはコネクティビティクラウドのリーディングカンパニーです。企業が場所を問わず従業員、アプリケーション、ネットワークの速度と安全性を高め、簡略化とコスト削減を実現できるよう支援しています。Cloudflareのコ��ネクティビティクラウドは、クラウドネイティブな製品と開発者ツールをまとめた機能満載の統合プラットフォームで、どんな企業でもビジネスの遂行、開発、高速化に必要なコントロールを手中にできます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
DDoS軽減の詳細については、電子書籍『ダウンタイムの先送り:DDoS防御モデルガイド』をご覧ください。
記事の要点
この記事では、以下のことがわかるようになります。
Rapid Resetという脆弱性を不正利用する大規模DDoS攻撃の仕組み
攻撃者はどのように戦術を組み合わせて(例:DDoSとゼロデイ)組織を狙うのか
脆弱性から組織を守るために何をすべきか