ネットワークセキュリティ企業Coreroは、memcached攻撃を数秒で阻止できる「キルスイッチ」を発見したと発表しました。同社はまた、memcached攻撃はサービスを混乱させるだけでなく、サーバーデータを窃取することも可能だと明らかにしました。
Memcached キルスイッチ
CoreroはDDoS増幅攻撃の脅威に晒されています。昨年、同社は間もなくテラビット/秒(Tb/s)、さらには数十Tb/s規模のDDoS増幅攻撃が出現すると警告した最初の企業の一つでした。過去2週間にわたり、memcached増幅技術を用いたDDoS攻撃が次々と観測され、その威力は記録を塗り替え続けています。
Corero Network SecurityのCEO、アシュリー・スティーブンソン氏は次のように述べています。
Memcachedは、DDoS攻撃の実行方法に新たな一章を刻んでいます。これまで、記録的な攻撃は、比較的低帯域幅のIoTデバイスから実行されていました。一方、これらのMemcachedサーバーは通常、より高帯域幅のネットワークに接続されており、高い増幅率の結果、データ雪崩のような攻撃を次々と引き起こし、深刻な被害をもたらしています。Memcachedサーバーの運営者が対策を講じない限り、これらの攻撃は今後も続くでしょう。
今週、Corero は、memcached の脆弱性に対する効果的な「キルスイッチ」を発見しました。このキルスイッチは、コマンドを攻撃者に送り返し、攻撃を抑制します。
Coreroがmemcached攻撃を抑制するためにテストした「flush all」対策は、攻撃者が仕掛けた悪意のあるペイロードを含む、脆弱なサーバーのキャッシュを無効化します。同社によると、このソリューションは稼働中の攻撃サーバーに対して100%有効であり、付随的な被害は発生しないようです。
このソリューションには潜在的な問題が1つあります。サーバーのキャッシュをフラッシュすると、memcachedシステムが本来の機能、つまりウェブページのコンテンツをキャッシュして読み込み速度を向上させる機能を果たせなくなるということです。しかし、企業のサーバーがテラビット/秒のDDoS攻撃を受けている場合、攻撃者を追い出してUDPポートを無効化できるまでキャッシュを一度フラッシュするのは、小さな代償と言えるでしょう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Memcached 攻撃によるデータ窃盗
企業がmemcached DDoS攻撃を受けた場合、サービスが中断されることはそれほど心配する必要はないかもしれません。Coreroによると、この攻撃はサーバーデータの窃盗にも利用される可能性があるとのことです。
インターネットへのDDoS攻撃に加担させられるMemcachedサーバーは、ローカルネットワークまたはホストからキャッシュされたユーザーデータを漏洩させることも可能になります。これには、機密データベースのレコード、ウェブサイトの顧客情報、メール、APIデータ、Hadoop情報などが含まれる可能性があります。
その理由は、memcachedが認証メカニズムを一切使用していないためです。そのため、そもそもmemcachedを悪用した攻撃が可能なのです。ログイン情報、パスワード、監査証跡がないため、Web企業が脆弱なmemcachedサーバーに追加したデータはすべて、攻撃者に盗まれてしまう可能性があります。悪意のある攻撃者は、サーバーのデータへの鍵を漏洩し、世界中のどこからでもその情報を取得できます。
Corero社は、この問題の原因は、適切なセキュリティデフォルトを実装していないmemcachedソリューションを提供するオペレーティングシステムとクラウドサービスプロバイダーにあると非難しました。AmazonのAWSサービスで過去に何度も見られたように、不適切な設定によって数百万人もの人々のデータがパブリックインターネットに公開される事態に陥る可能性は少なくありません。
スティーブンソン氏は次のように付け加えた。
この明白なセキュリティ上の欠陥は、熟練したセキュリティ専門家やハッカーにとっては比較的明白ですが、クラウドに新しいサーバーをセットアップするためにボタンをクリックするような、ますますビジネス志向が強くなりつつある非技術系のユーザーには認識されていません。Memcachedに関連するUS-CERT CVEや不明瞭なセキュリティ警告は数多くありますが、インターネットへの入り口を開いたままにして、誰でも侵入してデータを盗むことができるという明白な問題に対処しているものはほとんどありません。
