Microsoftはこのほど、「Microsoft Response to Layer 7 Distributed Denial of Service (DDoS) Attacks|MSRC Blog|Microsoft Security Response Center」において、2023年6月上旬に一部のMicrosoftサービスで発生した可用性の低下の原因を発表した。脅威者によって引き起こされた分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)によるものと報告されている。
「Storm-1359」として追跡されている脅威アクターが、Microsoftサービス(Outlook、OneDrive、Azureなど)に対し、DDoS攻撃を行っていたことが明らかになった。複数のタイプのDDoS攻撃が確認されている。主な攻撃の内容は次のとおり。
- HTTP(S)フラッディング攻撃 - SSL/TLSハンドシェイクとHTTP(S)リクエスト処理の高負荷によって、システムリソースを使い果たすことを目的として攻撃とされている。異なるIPから世界中に分散した高負荷のHTTP(S)リクエストを送信し、アプリケーションバックエンドのリソースを逼迫させていた
- キャッシュ回避 - コンテンツデリバリネットワーク(CDN: Content Delivery Network)レイヤをバイパスしようとする攻撃とされている。生成されたURLに対して一連のクエリを送信することでフロントエンド層にキャッシュされたコンテンツから提供するのではなく、すべてのリクエストをオリジンに転送するよう強制していた
- Slowloris攻撃 - 分散型サービス拒否攻撃用のツールであるSlowlorisによる攻撃。その内容は、クライアントからリソース(画像など)を要求するためにWebサーバへ接続した際に、ダウンロードの確認に時間をかけることで接続を可能な限り開いたままにさせるというもの。結果、要求されたリソースが長くメモリに保持されることになり、メモリ不足が発生する
DDoS攻撃に対し、Azure Webアプリケーションファイアウォール(WAF: Web Application Firewall)などを活用して、Webアプリケーションを保護することが推奨されている。Azure Webアプリケーションファイアウォールを使用する場合、ボット保護マネージドルールセットを有効化して既知の悪質なボットからの攻撃をブロックすること、悪意のあるIPアドレスや範囲をブロックするためにカスタムルールを作成すること、特定の地域からのトラフィックの制限するなどの緩和策を検討することが勧められている。
Storm-1359はDDoS攻撃を引き起こすことができるリソースへのアクセスを保持している可能性があり、今後も類似のサイバー攻撃が実施される可能性がある。