Ipad

テック企業の幹部が、サイバー攻撃によってアマゾン、ツイッター、レディットなどがダウンした経緯を説明

テック企業の幹部が、サイバー攻撃によってアマゾン、ツイッター、レディットなどがダウンした経緯を説明

ナット・レヴィ

クレジット: Bigstock
クレジット: Bigstock

DNSホストDynは、金曜日に発生した一連の分散型サービス拒否(DDoS)攻撃によってAmazon、Twitter、Spotify、Redditなど主要ウェブサイトへのサービスが停止したことによる問題への対応を続けている。

最初の攻撃は金曜日の午前4時(太平洋標準時)頃に発生し、その後も複数の攻撃が発生しました。Dynのアップデートページには、同社は「DynマネージドDNSインフラを狙った複数の攻撃の調査と軽減を継続中」と記載されています。攻撃は大規模なものだった可能性があることが判明しました。

.@Dyn 広報担当者: 今日、数千万の IP アドレスのデバイスが当社のネットワークを攻撃しました #DDoS

— The Register (@TheRegister) 2016年10月21日

これは、セキュリティニュースサイト「Krebs on Security」によると、攻撃者が「IoTデバイスを奴隷化して大規模なDDoS攻撃に使用する」Miraiと呼ばれるボットネット攻撃の一種を使用している可能性があるためだと考えられる。

国土安全保障省はCNBCに対し、今回の攻撃の「あらゆる潜在的な原因を調査中」だと述べた。ロイター通信によると、FBIも犯人を捜査中だ。DDoS攻撃は通常、ウェブサイトのサーバーに過剰なリクエストや偽のリクエストを送りつけ、過負荷状態にすることによって引き起こされる。DDoS攻撃の詳細については、こちらをご覧ください。

しかし、一体何が起きたのでしょうか? 多くの主要ウェブサイトをダウンさせたこの攻撃は、GeekWireの記者に自分自身と、彼女が大切にしているものすべてに疑問を抱かせました。私たちは数人の技術専門家に話を聞いて、この攻撃について詳しく聞きました。

写真編集会社PicMonkeyのCTOであり、Lynda.comとPopCap Gamesの元CTOでもあるフリッツ・ハーバーマン氏は、GeekWireへのメールで、DynのようなDNSサービスはインターネットの電話帳のような役割を果たす仲介業者であり、サービスがダウンすると、そのサービスを利用しているほぼすべてのウェブサイトもダウンしてしまうと語った。ハーバーマン氏は次のように続けている。

企業が仲介サービス自体を修正できる余地は限られています。少なくとも、より深刻な攻撃にさらされる恐れがあるため、長期間にわたって修正したいとは思わないでしょう。例えば、「電話帳エントリ」をインターネットの経路上に保存する方法はいくつかあり、通常は何らかの「キャッシュ」が使用されます。「www.picmonkey.com」からIPアドレス4.16.148.72への変換が必要な場合、仲介サービスからの上流に既に記録されているため、再度検索する必要はありません。

これらのキャッシュは、一定期間更新しないように設定できます。これは、インターネット経路のどこかで問題が発生している(または攻撃を受けている)場合に役立ちます。しかし、この「TTL(Time To Live)」の長さによって、キャッシュはさらに危険な種類の攻撃にさらされる可能性が高まります。つまり、実際の「電話帳エントリ」が別の場所を指すように書き換えられてしまうのです。つまり、キャッシュが更新されるまでの間、接続を乗っ取ることになるのです。一定期間更新されない場合、このウイルスはそこに潜伏し、悪意のある活動を続けることになります。

家庭用コンピュータやルーターは、この種の攻撃の影響を受ける可能性があります。これは、一般的な接続先(YouTube、Netflix、Amazonなど)のDNSルックアップテーブルがキャッシュされており、ウイルスがそれらのエントリを操作して、自分のサイトを指すように仕向けるというものです。より複雑な解決策もありますが、中には独自の、時にはより危険な懸念を抱いているものもあります。PicMonkeyのような企業は、多くの場合、ソーシャルメディア(まあ、今日はTwitterではないかもしれませんが)を使って顧客に連絡し、問題を報告したり、Dyn経由で接続されていない別の場所からカスタマーサポートのトラフィックの一部をホストしたりします。

WatchGuard Technologies の CTO であり、GeekWire の寄稿者でもある Corey Nachreiner 氏は、組織が DDoS 攻撃の脅威を軽減する方法を尋ねたところ、次のように答えました。

では、CTOはどのようにして組織に対するこうした攻撃を防げるのでしょうか?これはやや複雑な問題です。インフラを圧迫する直接的なDDoS攻撃の大半には、クラウドベースのDDoS防御サービスをお勧めします。ローカルDDoS防御アプライアンスも存在しますが、昨今のDDoS攻撃の規模の大きさ(最新のものは1Tbpsに達したとされています)を考えると、それらでさえ対応しきれない可能性があります。

クラウドまたはハイブリッドDDoSソリューションは、攻撃の大部分を上流で処理し、大規模な分散ネットワークを通じて負荷の一部を分散させ、トラフィックの大部分をゲートに到達する前にブロックします。とはいえ、今日のDDoS攻撃はNetflix、Twitter、その他のサービスを直接攻撃したものではありません…

むしろ、これはインターネットの中核を担うDNSサービスへの攻撃でした。顧客をドメインに誘導するために利用しているサービスがダウンした場合、DNSレジストラに連絡して、別のサーバーが復旧するまでドメインを一時的に別のサーバーにリダイレクトしてもらうことができます。これらのサービスは私たちの直接の管理外にあるため、直接防御することはほとんど不可能です。つまり、これは業界全体の問題です。DNSホストのような重要なサービスベンダーは、インターネットの仕組みに不可欠な役割を果たしているため、自ら強力なDDoS対策を実装する必要があります。