新たに発見された”Loop DoS”攻撃は、アプリケーション層のメッセージを標的にし、インターネットホスト30万台に影響を及ぼす可能性がある。この攻撃は、2つのネットワークサービスを組み合わせて無限に応答し続けることで、システムやネットワークにDoSを引き起こす。攻撃は、単一のスプーフィング可能なホストからトリガーされ、攻撃者自身も停止できない。特定のUDPベースのアプリケーションのトラフィックループの脆弱性を悪用し、従来の攻撃手法と異なり、攻撃者が数百万のホストを集める必要がない。
ループDoS攻撃には4つのシナリオがあり、最も単純なものでは脆弱なサーバーをオーバーロードし、他のループサーバーと多数のループを作成する。攻撃者はループホストをペアリングしてターゲットネットワーク内に数千から数百万のループを作成したり、個々のインターネットリンクを混雑させたりすることができる。最も壊滅的なシナリオでは、ループサーバーが複数の応答を送信し、”自己増幅ループ”を作成する。
対策としては、UDPのブロックやTCPベースの通信への移行、認証と監視が挙げられる。また、脆弱性のあるサービスの更新や停止、クライアントのエフェメラルなソースポートへのサービスアクセスの制限も有効である。これらの対策は、攻撃が開始された後でも実施可能であり、脆弱なホストサーバーを一度に修正することは実用的ではない。
【ニュース解説】
新たに発見された「ループDoS攻撃」とは、インターネット上のアプリケーション層を標的にし、30万台ものインターネットホストに影響を及ぼす可能性がある攻撃方法です。この攻撃は、2つのネットワークサービスを組み合わせることで、それらが無限に互いに応答し続ける状態を作り出し、結果としてシステムやネットワークに対してサービス拒否(DoS)を引き起こします。この攻撃は、単一のスプーフィングが可能なホストから開始されるため、攻撃者自身も一度始まると停止することができません。
ループDoS攻撃は、特定のUDPベースのアプリケーションに存在する新たなトラフィックループの脆弱性を悪用します。これにより、従来の攻撃手法とは異なり、攻撃者が数百万のホストを集める必要がなくなります。この攻撃には4つのシナリオがあり、最も単純なものでは脆弱なサーバー自体をオーバーロードし、他のループサーバーと多数のループを作成します。また、攻撃者はループホストをペアリングしてターゲットネットワーク内に数千から数百万のループを作成したり、個々のインターネットリンクを混雑させたりすることができます。最も壊滅的なシナリオでは、ループサーバーが複数の応答を送信し、「自己増幅ループ」を作成します。
対策としては、UDPのブロックやTCPベースの通信への移行、認証と監視が挙げられます。また、脆弱性のあるサービスの更新や停止、クライアントのエフェメラルなソースポートへのサービスアクセスの制限も有効です。これらの対策は、攻撃が開始された後でも実施可能であり、脆弱なホストサーバーを一度に修正することは実用的ではないとされています。
この攻撃方法の発見は、インターネットセキュリティにおける新たな脅威を示しています。特に、攻撃が一度始まると攻撃者自身も停止できないという特性は、従来のDoS攻撃とは一線を画しています。このため、ネットワーク管理者やセキュリティ専門家は、この新たな脅威に対して迅速に対応し、適切な防御策を講じる必要があります。また、この攻撃が示すように、インターネットの基盤となるプロトコルやサービスのセキュリティ強化が、今後さらに重要になってくることが予想されます。
from 300K Internet Hosts at Risk for ‘Devastating’ Loop DoS Attack.
【追加情報】2024/03/29 17:10 報道から一週間。あらためて、現状把握を追記しました。
被害状況:
現時点で、ループDoS攻撃による大規模な被害報告はありません。ただし、この攻撃手法が公開されたことで、今後被害が発生する可能性は高まっています。
管理者・CISOの対策:
・ファイアウォールやWAF(Web Application Firewall)を導入、不正なトラフィックをブロック
・サーバーやアプリケーションの脆弱性を修正するためのパッチ適用を迅速に実施
・DoS攻撃を検知した際の対応手順を整備し、訓練を実施・CSIRT(Computer Security Incident Response Team)を設置し、インシデント発生時の連絡体制を強化
詳細情報の提供元:
・JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)
・IPA(情報処理推進機構)
議論の状況:
ループDoS攻撃は、既存のDoS攻撃の亜種とも言えますが、防御が難しい新たな手法として注目を集めています。特に、Web系サービスを提供する事業者を中心に、対策の必要性が叫ばれています。一方で、攻撃者が悪用しやすい情報が公開されたことで、今後、同様の攻撃が増加するのではないかという懸念の声もあります。セキュリティベンダー各社も、ループDoS攻撃への対策ソリューションの開発を急ピッチで進めているようです。
