セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

Memcachedを利用した大規模なDDoS攻撃が発生

3月1日に、Githubに対しピーク時1.35Tbpsという大規模なDDoS攻撃が発生しました。
以前紹介した、MiraiによるKrebs on SecurityへのDDoS攻撃は665Gbpsという規模でしたが、それを上回ることになります。
この攻撃は、Memcachedというソフトウェアが動作するサーバーを踏み台にして行われていました。
Memcached攻撃を狙った通信が急増しているとして、2月下旬にはJPCERT/CCも注意喚起を出しています。

どのような攻撃か

ターゲットになりすましたパケットを踏み台となるサーバーなどへ送り、ターゲットへ反射(=リフレクション)させる攻撃を「リフレクション攻撃(リフレクター攻撃)」と呼びます。
この攻撃には、TCPと比べてなりすましが容易なUDPを利用するDNSやNTPなどがよく利用されます。
今回のMemcached攻撃も、同様の手法を利用するものでした。

MemcachedはWebアプリケーションのスケーラビリティ向上のために利用されるソフトウェアです。
Memcachedが利用するポートの中にUDP/11211番ポートが含まれており、これがデフォルトで有効となっていることが悪用されるポイントとなりました。

攻撃者はまず、ターゲットのIPアドレスに送信元をなりすましたパケットをMemcachedが動作するWebサーバーへ送ります。この時、レスポンスができるだけ大きくなるようなリクエストを送ります。
リクエストを受け取ったサーバーは、ターゲットのIPアドレス宛にレスポンスを返します。
ターゲットは大量のレスポンスを受け取ることになり、サービス拒否に陥るのです。

RDoS攻撃も観測

このMemcached攻撃で、身代金要求を含むものも観測されています。
攻撃パケットに「Pay_50_XMR_To_[Moneroアドレス]」というメッセージが挿入されており、攻撃を受けた者に身代金50XMR(3月9日現在でおおよそ150万円)を要求しています。
こうした、DDoS攻撃に身代金要求を絡める手法を「Ransom Dos攻撃(RDoS攻撃)」と呼びます。
しかし、メッセージの中には支払い方法の説明も攻撃者への連絡手段も用意されておらず、攻撃者がどこまで真剣に身代金を要求しているかは不透明です。
そもそも複数のターゲットに対して共通のMoneroアドレスを用いているため、仮に身代金を払ったところで「誰が払ったか」攻撃者にはわかりません。当然、攻撃をやめてくれる保証は全くありません。

DDoS規模の記録更新

Memcached攻撃は現在も収まっておらず、3月5日にはDDoS攻撃の最高記録を塗り替える1.7Tbpsの攻撃が検知されました。またセキュリティ会社Qihoo 360は、2Tbpsを超える攻撃も容易だろうと予測しています。
Memcachedは、バージョン1.5.6でUDPによるアクセスをデフォルトで無効化する変更を行いました。しかしAkamaiによれば5万台を超える公開サーバーが踏み台として利用可能な状態にあるとのことで、収束は遠そうです。

関連情報(外部リンク)

memcached のアクセス制御に関する注意喚起 | JPCERT/CC
外部公開された「memcached」は5万台以上 – 踏み台1つで1Gbps弱のトラフィック | Security Next
MEMCACHED UDP REFLECTION ATTACKS | Akamai
New DDoS Record Is Now 1.7 Tbps | Bleeping Computer

記事一覧に戻る