経営陣にとって、この時期に最も避けたいのは、匿名のメールやFAXで、24時間以内に法外な金額を支払わなければ会社のウェブサイトとビジネスポータルをオフラインにするという脅迫を受けることです。そして、念のため、攻撃者は、短時間ながらも注目を集める分散型サービス拒否(DDoS)攻撃を予告します。
この脅威を軽視すべきではありません。Akamai の 2015 年第 2 四半期のインターネットの現状 / セキュリティ レポートでは、その理由を次のように説明しています。「2015 年第 2 四半期は、記録された DDoS 攻撃の数で記録を更新しました。これは、2014 年第 2 四半期に報告された数の 2 倍以上です。」
CBSPを使用した DDoS 攻撃の軽減
多くの企業は、DDoS緩和などのセキュリティサービスを提供するクラウドベースセキュリティプロバイダー(CBSP)と契約し、万全の対策を講じています。CBSPがDDoS攻撃を阻止するためによく用いる手法の一つは、クライアントネットワーク宛てのインターネットトラフィックをCBSPのセキュリティインフラ経由で迂回させることです。
CBSP へのトラフィックの再ルーティングには、トラフィックを CBSP に送信するようにプログラムされた専用ハードウェアをクライアントが購入するか、すべてのトラフィックが CBSP に送信されるようにクライアントのドメイン名のルーティング方法を変更することが含まれます。
CBSPでは、クライアントのトラフィックはスクラビングセンターを通過します。トラフィックが正当なものであれば、クライアントのウェブサーバーに転送されて処理されます。そうでない場合は、トラフィックはそのまま破棄されます。
ルーティングリダイレクトの方法
ルーティングのリダイレクトが行われる方法には、BGP 再ルーティングと DNS 再ルーティングの 2 つの方法があります。
- BGPリルーティング:クライアントが/24のIPブロック全体を管理している場合に可能です。クライアントは、社内ルーターからそのブロックに対するBGPアドバタイズメントを取り消すことができます。すると、CBSPは同じ範囲のBGPアドバタイズメントを開始します。これにより、すべてのトラフィックがCBSPに送信されます。
- DNS 再ルーティング: クライアントは、会社の Web サイトのドメイン名を CBSP に属する IP アドレスに解決するように設定します。
DNSリルーティングの根本的な問題
残念ながら、圧倒的に普及しているDNSリルーティングは、ルーヴェン・カトリック大学のトーマス・ヴィッサーズ氏、トム・ヴァン・ゲーテム氏、ウーター・ヨーセン氏、そしてストーニーブルック大学のニック・ニキフォラキス氏による研究チームによると、DDoS攻撃の可能性を排除するものではないという。研究チームは論文「Maneuvering Around Clouds: Bypassing Cloud-based Security Providers」(PDF)の中で、「このリルーティングメカニズムは、ウェブサイトのホスティングIPアドレスを直接攻撃することで完全に回避できる。したがって、これらのウェブサイトのセキュリティと可用性を確保するには、実際のIPアドレスを潜在的な攻撃者から隠蔽することが極めて重要である」と述べている。
CloudPiercerスキャンツール
問題の深刻さを解明するために、研究者らは CloudPiercer を開発しました。これは、以下の「オリジン公開ベクトル」を使用して Web サイトの IP アドレス情報をスキャンし、Web サイトが脆弱であるかどうかを判断する自動ツールです。
- IP履歴データベース:ウェブサイトのオリジンは、そのウェブサイトに関する過去のDNSデータを保持するデータベースで公開される可能性があります。CloudPiercerはこれらのデータベースにクエリを実行し、ウェブサイトのドメインに登録されているIPアドレスを特定します。
- サブドメイン: 一部のウェブサイトでは、プロトコル違反を防ぐため、オリジンに直接解決されるサブドメイン(例:ftp.example.com)を設定しています。CloudPiercerは、ドメインをスキャンしてサブドメインの存在を確認し、このような漏洩の可能性の有無を判断します。
- D NSレコード:ドメインは、MXレコード、SPFレコード、その他のDNSレコードを通じて、ウェブサーバーのIPアドレスを公開している可能性があります。スキャン中に、ドメインのDNSレコードが照会され、チェックされます。
- 機密ファイル:管理者は、機密情報を公開する開発ファイルやログファイルへのアクセスを制限することを忘れがちです。このツールは、Webサーバー上のPHP情報ファイルにアクセスしようとします。
- Ping Back:検証メカニズムを利用してウェブサイトからのアウトバウンド接続をトリガーし、その発信元を受信者に明らかにすることができます。CloudPiercerはPing Backエンドポイントを検索し、そのサーバーへの接続をトリガーしようとします。
論文の著者の一人であり、ルーヴェン・カトリック大学の博士課程の学生であるトーマス・ヴィッサーズ氏は、新機能について次のように電子メールで述べた。「CloudPiercer が更新され、SSL 証明書のスキャンが含まれるようになりました。」
研究チームは、スキャンツールをテストするために、CBSPを利用し、適切なDNS設定を持ち、Alexaの上位100万ウェブサイトに属するクライアントのリストを作成しました。「CloudPiercerを使用して、CBSPで長期保護されている17,877のドメインをオリジンエクスポージャーに対して評価しました」と著者らは述べています。
結果
研究チームは、コンテンツ配信ネットワーク(CDN)のみを利用するクライアントと、DDoS対策機能を備えたCBSPクライアントを区別するのは容易ではないと警告している。「セキュリティに特化している著名なプロバイダー5社、つまりCloudFlare、Incapsula、DOSarrest、Prolexic(PLXedge)、Sucuri(クラウドプロキシ)を選択しました」と著者らは記している。「各プロバイダーのクライアントリストを収集し、必要な設定と人気ウェブサイトでの採用状況を調査しました。」(注:著者らは論文発表前に5社のCBSPすべてに通知済みです。)
研究チームの発見については、「私たちの調査結果は、問題が深刻であることを示しています。私たちがテストした 17,877 件の CBSP 保護 Web サイトのうち 71.5% が、評価対象のベクトルの少なくとも 1 つを通じて実際の IP アドレスを公開していました。」
CloudPiercerの予期せぬメリット
研究を進める中で、チームはCloudPiercerが法執行機関によって活用される可能性があることに気付きました。「犯罪者はCBSPを利用して実際のホスティング場所を隠し、追跡や閉鎖を困難にしています」とチームは示唆しています。「したがって、ここで議論されているベクトルとその有効性は、適切な機関が悪意のあるオンライン活動に迅速に対応するために活用できる可能性があります。」
対策
研究チームは、ウェブサイトのIPアドレスを隠すことは難しいことを認めている。「しかしながら、CloudPiercerに類似したツールをCBSPが導入すれば、顧客のドメインをスキャンして公開されているオリジン(IPアドレス)を検出し、認識を高め、管理者が特定の脆弱性を修正するのに役立つ可能性がある」と論文は付け加えている。
4人組が提案するもう一つの方法は、境界ファイアウォールを調整して、CBSPから発信される接続を除くすべての接続をブロックすることです。これにより、攻撃者の活動は大幅に困難になります。「新しいIPアドレスのリクエストと併せて、このファイアウォール設定は、クラウドベースのセキュリティを利用する際の標準的な手法となるべきです」と研究者らは結論付けています。「現在、大多数のお客様がこのような戦略を採用していないと推測できます。もし採用していたら、当社の発信元(IPアドレス)検証は失敗していたでしょうから。」
CloudPiercer は、CBSP サービスを使用して Web サイトの公開をテストする管理者に利用できるようになりました (所有者の確認が必要です)。
