インターネット インフラストラクチャは分散型の性質により、かなり耐久性が高いかもしれませんが、その上に構築された Web はかなり脆弱であるように見えます。
カーネギーメロン大学の研究者らは、先週 ArXiv プレプリントサーバーを通じて配布された論文の中で、ドメイン名サービス (DNS) プロバイダー、コンテンツ配信ネットワーク (CDN)、証明機関 (CA) などのサードパーティのサービスが、ハッキングの影響を最大化しようとする攻撃者にとって魅力的なターゲットになっていることを発見した。
研究者のアクサ・カシャフ氏、カロライナ・ザラテ氏、ハンルオ・ワン氏、ユブラジ・アガルワル氏、ヴィヤス・セカール氏は、マネージドDNSプロバイダーのDynをダウンさせた2016年のDDoS攻撃が、Amazon、Netflix、Twitterなどの依存サイトに与えた影響を例に挙げ、大多数のトップウェブサイトが同様の弱点を抱えていると述べている。
「私たちの分析は、現代のウェブエコシステムの状況がいくぶん暗いことを描き出している」と研究者たちは述べ、ほとんどのウェブサービスはサードパーティのインフラストラクチャサービスを使用する際に冗長性がほとんどないかまったくなく、こうしたサービスの一部は単一障害点となる可能性があると指摘している。
この調査結果は、企業の災害対策計画の包括性に疑問を投げかけています。大企業の多くは、データセンターの停止に対処するために、ある程度のシステム冗長性を確保しています。しかし、サードパーティサービスの冗長性を導入している企業はどれくらいあるでしょうか?
ハーバード大学の研究者らは今年初め、特に DNS の文脈でこの点を指摘しました。
DNSは多様性を考慮して設計されているが、サイト管理者はそれを受け入れていない
続きを読む
CMU の研究者らは、Alexa の統計によると上位 10 万のウェブサイトのうち約 73% が、DNS、CDN、CA サービスへの潜在的な攻撃の結果として、可用性が低下する危険性があると指摘しています。
さらに、これらの重要な機能を提供するサードパーティのサービスの数は非常に限られているため、コンテンツ配信、ドメイン名サービス、SSL 証明書検証 (OCSP サーバー) の最も人気のある 10 社のプロバイダーで障害が発生した場合、上位 100,000 の Web サイトのうち 4 分の 1 からほぼ半分が影響を受けると指摘しています。
さらに、間接的または一時的な依存関係により、障害が発生する可能性のあるポイントが拡大します。重要なサードパーティ サービスは他のサービスに依存する可能性があり、1 つのサービスが停止すると、ダウンストリームに影響を及ぼす可能性があります。
たとえば、研究者らは、Fastly が Dyn に依存していたため、Dyn の停止は Fastly CDN を利用するウェブサイトに影響を及ぼしたと説明しています。
研究者らは、これらの間接的な依存関係により、脆弱な Web サービスのセットが 10 倍に増加する可能性があると主張しています。
研究者らは、調査結果に基づき、組織は当然のこととしてサービスの冗長性を追加するだけでなく、脆弱性の要因となるサードパーティのサービス依存関係も分析すべきだとアドバイスしています。®
