先週、多数のウェブサイトをダウンさせた DDoS 攻撃に関して、Amazon はまだ有用な情報や見解を提供していないので、この攻撃に注目していた他の人たちの話に目を向けてみよう。
そうした企業のひとつがデジタル監視会社 Catchpoint で、同社は攻撃に関する分析結果を私たちに送ってくれたが、その中で 2 つの大きな結論を導き出している。それは、Amazon の攻撃に対する反応が遅かったこと、そしてその遅れはおそらく間違った場所を調べていたことによるものだということだ。
クラウドプロバイダーは自らを守るためにあらゆる努力を払っていますが、今回のDDoS攻撃は、Amazonのような大企業でさえ脆弱であることを示しています。それだけでなく、昨今の企業のクラウドサービスの利用方法を考えると、この攻撃は連鎖的な影響を及ぼします。
「重要なポイントは、S3 のようなサードパーティのクラウド サービスに障害が発生した場合の波及効果の影響です」と Catchpoint は指摘しています。
この攻撃は、ウェブインターフェースを通じてオブジェクトストレージを提供するAmazonのS3(Simple Storage Service)を標的としていました。より大規模なAmazon Web Services(AWS)を直接標的としたわけではありませんが、多くの企業にとって最終的な結果は同じで、ウェブサイトがダウンしました。
この攻撃は特定のドメイン名を対象とし、DDoS攻撃によってDNSに偽のトラフィックが大量に流入しました。その結果、正規のユーザーはアクセスできなくなりました。
「AWS S3を管理するAmazon Route 53 DNSサーバーが利用できなくなっていました」とCatchpointは指摘しています。「メインサイトは稼働していましたが、S3に依存するデータサービスはダウンしていました。」
欠落した時間
アマゾンは、ニュースターが運営するDDoS緩和サービスを通じてパケットを迂回することで対応したが、同社の対応には数時間かかった。キャッチポイントは、アマゾンが気付く5時間前に最初の兆候があったと述べ、早期警告の兆候となるはずだった「異常」を検知したと述べている。
アマゾンは問題を解決した際、攻撃は「太平洋標準時の10時30分から18時30分の間」に発生したと述べたが、キャッチポイントのシステムは5時30分から非常に異常な活動を示している。キャッチポイントは監視サービスを販売して生計を立てているため、システムの有効性を強調する理由は十分にあることを指摘しておくべきだろう。しかし、我々が受け取った図表[PDF]が正確であると仮定すると(そして我々はキャッチポイントに再確認済み)、アマゾンが脅威を認識するのが遅かったように思われる。
ベゾスがDDoS攻撃を受けた:アマゾンウェブサービスのDNSシステムが数時間にわたるサイバー攻撃で壊滅
続きを読む
キャッチポイント社によると、問題はAmazonをはじめとする多くの組織が、現状を測る際に「古い」方法を用いていることにあるという。彼らはユーザーへの影響ではなく、自社のシステムを監視しているのだ。
「エンドユーザーを第一に考えることが重要です」とCatchpointは主張する。「今回のケースでは、S3だけを監視していたら、問題を見逃していたでしょう(おそらく、不満を抱えたユーザーから先に警告を受けていたでしょう)。」
また、Amazon(およびその他)に対し、「サードパーティのクラウド要素をクラウドからのみ監視しないでください。特に、そのサードパーティをホストしている同じクラウドプロバイダーから監視しないでください」と勧告し、「特にDNSについては、頻繁なテストで可用性、遅延、パフォーマンスを綿密に監視してください」と付け加えた。
つまり、Amazonが攻撃を見逃したのは、自社の視点から見ればすべてが順調に機能していたからである。もしAmazonがユーザーへの影響を監視していれば、DDoS攻撃をより早く察知し、より迅速に対応できたかもしれない。その結果、攻撃の効果は限定的なものにとどまったかもしれない。
我々は Amazon に、具体的なタイミングの問題とより広範な攻撃について回答するまで数日間の猶予を与えており、回答が得られ次第この記事を更新します。®
