アカマイ・テクノロジーズはこのほど、新たなサイバーセキュリティの脅威に関するアドバイザリ(Threat Advisory)を公開した。
同社によると、ここ数カ月間で、新たな3種類のリフレクション分散型サービス妨害(DDoS)攻撃を観測した。このDDoS攻撃は、NetBIOSネームサーバ、RPCポートマップ、Sentinelを利用したものだという。
リフレクションDDoS攻撃はDrDoS攻撃とも呼ばれ、3種類の要素(攻撃者、意図せずに共犯者に仕立て上げられた生贄サーバ、および攻撃対象)が関係している。攻撃者は生贄(Victim)ホストのサービスに簡単なクエリを送信し、攻撃者はクエリが攻撃対象から発信されたように見せかけるために偽装(スプーフィング)する。Victimはスプーフィングされたアドレスにレスポンスを返し、不要なネットワークトラフィックを攻撃対象に送信する。
NetBIOSを利用したDDoSリフレクション攻撃は、特にNetBIOSネームサービス(NBNS)を利用したリフレクションが3月~7月にかけて散発的に発生した。この攻撃は、攻撃者が送信した最初のクエリよりも2.56倍~3.85倍大きな応答トラフィックを攻撃対象に送信。アカマイはNetBIOS ネームサーバを利用したリフレクション攻撃を4件観測しており、その中の最大記録は15.7Gbpだった。
続くRPCポートマップを利用した初めてのリフレクションDDoS攻撃は、8月にマルチベクトルDDoS攻撃キャンペーンで発生した。最大応答の増幅率は50.53倍で、平均的な増幅率は9.65倍だった。観測した4つのRPCリフレクション攻撃キャンペーンのうち、1つは100Gbpを超過しており、極めて強力な攻撃だったという。
最後のSentinelを利用したDDoSリフレクション攻撃は、6月にストックホルム大学で観測された。これは、統計ソフトウェアパッケージであるSPSS向けライセンスサーバの脆弱性として同定された。この攻撃の増幅率は42.94倍に達し、同定されたこの攻撃トラフィックの発生源は重複を除くと745件となっていた。そのうちの攻撃の1つは11.7Gbpに達している。
3種類の全攻撃ベクトルについて、DDoS緩和策として可能ならアップストリームフィルタリングを使用できる。これ以外の方法としては、クラウドベースのDDoS緩和プロバイダーが必要になるという。
アカマイはNetBIOSについて、インターネットに全公開する必要がないとして管理者の徹底的な管理を求めつつ、RPCポートマップとSentinelは基本的に外部公開が原則であることから、「RPCとSentinelのトラフィックは、侵入検知システム(IDS)で監視することができる」と対策の強化を勧めている。