深刻な脆弱性=過去最大のDDoS攻撃に、Google、米Cloudflare、AWSが発表
Google、米Cloudflare、アマゾン・ウェブサービス(AWS)は共同で、「HTTP/2 Rapid Reset」と名付けられた新たなゼロデイ脆弱性を発表した。この脆弱性は正体不明の脅威アクターによって悪用され、これまでに記録された中で最大の分散型サービス妨害(DDoS)攻撃が仕掛けられている。
この一連のDDoS攻撃のピーク時、Cloudflareでは1秒あたりのリクエスト数(RPS)が2億100万回を超え、Googleでは、ピークが3億9800万RPSに達したことを確認した。昨年の最大規模のDDoS攻撃のピーク時の4600万RPSと比較すると、その差は歴然としている。
この攻撃は、「HTTP/2 Rapid Resetを悪用したストリームの多重化による新しい手口で、複数のインターネット・インフラ企業に影響を及ぼしている」とGoogleはブログで書いている。
標準プロトコルのHTTP/2は、すべてのウェブアプリケーションの約60%を支える屋台骨だ。Cloudflareによると、このプロトコルは、ブラウザがウェブサイトとどのようやり取りするかを定めたもので、ユーザーがウェブサイトを閲覧、双方向のやり取りをする際の速度と品質を左右する。
攻撃者はこれを悪用し、何十万もの「リクエスト」をウェブサイトに殺到させ、それらを突然キャンセルした。「この単純な『リクエスト、キャンセル、リクエスト、キャンセル』のパターンを大規模に自動化することで、攻撃者はサービス拒否(DoS)を引き起こし、HTTP/2の標準的な実装によって実行されているあらゆるサーバーやアプリケーションをダウンさせることができるのです」とCloudflare社CSOのGrant Bourzikas(グラント・ブルジカス)氏はブログ投稿に書いている。
「脅威アクターたちは、悪用できる脆弱性をスイスアーミーナイフのツールのように各種取り揃えていますが、このゼロデイはそこに新しく重要なツールを提供する結果となり、かつてない大規模な攻撃が行われました」
CloudflareとGoogleがDDoS攻撃の増加を警告
CloudflareとGoogleのDDoSレスポンスチームは、DDoS攻撃が指数関数的にエスカレートしているという憂慮すべき傾向を強調した 。
昨年、Googleは4,600万RPSで当時最大規模だったレイヤー7のDDoS攻撃を回避した。2月には、Cloudflareが当時最大のDDoS攻撃からネットワークを守ることに成功したことを明らかにした。
DDoS攻撃は、一般的にインターネット上のウェブサイトやサービスを妨害し、ユーザーが利用できないようにする。Googleによると、「攻撃者が圧倒的な量のインターネット・トラフィックをターゲットに送り込み、ターゲットが受信リクエストを処理する能力を使い果たす可能性がある」という。
このような攻撃は、時間や金銭の損失、ビジネスクリティカルまたはミッションクリティカルなアプリケーションの中断など、被害組織に甚大な影響を及ぼす可能性がある。
新しいゼロデイ脆弱性について何をすべきか
この攻撃に対する脆弱性全体は、CVE-2023-44487として追跡され、CVSSスコアが10点満点中7.5点の深刻度「高」の脆弱性としてマークされている。
Cloudflare、Google、AWS は、サイバーセキュリティの分野における協力的な取り組みの必要性を強調している。
Googleは、「8月にこれらの攻撃の最も初期のものを検知した後、すぐに追加の緩和策を適用し、HTTP/2プロトコルスタックを実装している他のクラウドプロバイダーやソフトウェアメンテナーと業界横断的な対応を調整しました」と述べている。「この業界横断的な協力の結果として、多くの大規模インフラプロバイダーがパッチやその他の緩和技術を使用することができました」とした。
また、インターネット上でHTTPベースのワークロードを提供するすべての組織や個人が、このDDoS攻撃への脆弱性を抱えている可能性があると警告している。「HTTP/2プロトコルを使用して通信できるサーバーやプロキシ上のウェブアプリケーション、サービス、APIは脆弱である可能性があります」
HTTP/2をサポートするサーバーについてはすべて脆弱性がないことを確認し、CVE-2023-44487に対して直ちにパッチを適用することが、この新たな攻撃ベクトルから身を守るためには不可欠だ。
「公開したものについて、常に問題のない状態を保つということは不可能です。攻撃を阻止し、新たなインシデントに対応するためには、組織やセキュリティ・チームが侵害を想定した考え方でいることが必要です。なぜなら、ゼロデイや進化する新たな脅威アクターグループ、これまでに見たことのない新たな攻撃や手口が今後も次々に登場するからです」と氏は述べている。
High-severity vulnerability led to largest-ever DDoS attack, say Google, Cloudflare and AWS
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
セキュリティ Dan Meyer2024.07.26
米Tモバイル 、サイバーセキュリティの「信頼」を追求
米通信大手のTモバイルUS(T-Mobile US)…
-
クラウド Dan Meyer2024.07.26
Google Cloud、Azureより低価格とアピール=VMware on Cloudサービスで
VMwareの顧客をめぐってパブリッククラウド企業の…
-
IT Dan Meyer2024.06.13
マイクロソフトとグーグル、クラウド事業で再び人員削減
マイクロソフトとグーグルが、クラウド事業の従業員数百…
-
セキュリティ Nancy Liu2024.05.31
リスクを軽視せよという圧力=セキュリティ責任者の回答、深刻な侵害だけが警鐘に
米トレンドマイクロが最近発表したレポートで、世のサイ…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
IT Emma Chervek
BroadcomのVMware買収による意外な影響=どう備えるか
-
セキュリティ Tobias Mann
米CitrixはMcAfee社、FireEye社と同じ運命を辿るのか=買収合併の後に
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点
-
セキュリティ Nancy Liu
デル、データ侵害を確認=ハッカーが4900万件の顧客データ販売を主張
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
IT Dan Meyer
Dell、HPE、LenovoはBroadcomがVMwareの顧客の懸念を和らげるのに役立つか?
-
セキュリティ Nancy Liu
RSAカンファレンスが閉幕、AIセキュリティ関連の主な発表=パロアルト、マイクロソフト、Google、CrowdStrike、IBM
-
IT Nancy Liu
米Nutanixが好業績=米BroadcomによるVMwareの買収で
-
IT Dan Meyer
米BroadcomのCEOによる、VMware買収後100日間のハイライト