マイクロソフト、「Azure」顧客狙う2.4Tbpsの大規模DDoS攻撃を抑止

Steven J. Vaughan-Nichols (ZDNET.com) 翻訳校正: 編集部

2021-10-14 12:45

 DDoS攻撃の頻度と規模は時とともにますます増加、拡大している。そのような状況の中、Microsoftは欧州の「Microsoft Azure」ユーザーに対して仕掛けられた2.4Tbpsという非常に大規模なDDoS攻撃を抑止したという。

 このDDoS攻撃の規模は、Azureの顧客を標的とした攻撃で過去最大となっている。Azureへの攻撃としてこれまで最大だった2020年の1Tbpsを上回り、Microsoftは「Azureで今までに検知された、あらゆるネットワークのボリューム型のイベントを超えていた」と報告している。

 攻撃トラフィックの発生源は約7万におよび、マレーシア、ベトナム、台湾、日本、中国などのアジア太平洋地域の複数の国や米国などだという。

 その攻撃ベクターはUDPリフレクション攻撃だった。今回の攻撃は10分以上続き、瞬発的なバーストを複数回伴っていた。各バーストでは数秒間にテラビット規模のトラフィックが発生していた。Microsoftによると、そのピークは全部で3回あり、1回目は2.4Tbps、2回目は0.55Tbps、3回目は1.7Tbpsだったという。

 UDPリフレクション攻撃は、UDPが状態管理を伴わないステートレスプロトコルである点を利用するものだ。このため、攻撃者はUDPの送出元IPアドレスとして標的のIPアドレスを設定した、見かけ上は何の問題もないUDPリクエスト(要求)パケットを生成できる。この攻撃手法にリフレクション(反射)という名前が付けられているのは、攻撃パケットがネットワーク上を行き来しているように見えるためだ。こういった攻撃が成立するのは、UDPリクエストパケットの送信元IPアドレスに偽装した値、つまり偽の値を設定できるためだ。攻撃者は、このような偽の送信元IPアドレスを設定したUDPパケットを仲介役となるマシンに送信することになる。するとそのマシンは偽の送信元IPアドレスにだまされ、UDPレスポンス(応答)パケットを、攻撃者のマシンではなく、攻撃対象となっている被害者のIPアドレスに送り返すようになる。仲介役となるマシンがリクエストパケットよりも数倍大きなネットワークトラフィックを生成することで、攻撃トラフィックが増幅され、結果的に大規模な攻撃となる。

 リフレクション攻撃では、悪用する攻撃プロトコルによってトラフィックの増幅度合いは変わってくる。しかし、一般的に使用されているDNSやNTP、memcached、CHARGEN、QOTDといったプロトコルはすべて、ネットワークのDDoS攻撃で悪用できる。

 Microsoftはこのケースで何が使われたかを明らかにしていないが、DNSに言及している。DNSを悪用する場合、リクエストパケットのバイト数の28~54倍にまでトラフィックを増幅できる。このため、攻撃者がDNSサーバーに対して64バイトのペイロードを持つリクエストを送信した場合、標的となるマシンに対して3400バイトを超える不要なトラフィックが送りつけられることになる。

 Microsoftはどのように攻撃を抑止したかについても詳細を明らかにしていない。Microsoftによると、Azureの対DDoSプラットフォームは、分散型DDoS検知と緩和のパイプライン上に構築されており、数十テラビット規模のDDoS攻撃に対応可能だという。

 ひとことで言えば、大規模なDDoS攻撃の気配を検知した際、AzureのDDoS統制プレーンにあるロジックが介入するという仕組みになっている。同社によると「これにより、小規模なトラフィック増大を検出するための通常の検知ステップを割愛し、即座に緩和策を起動するようになっている。これにより、緩和に要する時間は最短となり、そのような大規模な攻撃からの副次的な損害を防ぐことを保証する」という。

 一部のDDoSからの保護機能はすべてのAzureユーザーに提供されている。より包括的な保護策として、Microsoftは「Azure DDoS Protection Standard」があると説明している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  2. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

  5. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]