12月に発生した分散型サービス拒否(DDoS)攻撃では、世界ネットワークの13の支柱のうち4つが一時的に機能停止したが、インターネットのルートサーバーは攻撃対象ではなかった。
これは、金曜日にアルゼンチンで開催される会議で調査結果を発表する2人のセキュリティ研究者によるものです。彼らは、大規模な攻撃の標的は、中国で登録された一見無名に見える2つのドメイン名である可能性が高いと結論付けています。
マット・ワインバーグ氏とデュアン・ウェッセルズ氏は、2つのルートサーバーを運用し、インターネットのルートゾーンの変更承認も行う米国企業、ベリサイン社のDNSスペシャリストです。ワインバーグ氏とウェッセルズ氏は、2015年11月30日と12月1日にほとんどのルートサーバーが受信した大量の迷惑トラフィックについて、徹底的な調査を行いました。彼らのプレゼンテーション資料[PPTX]がオンラインで公開されています。
二人はいくつかの結論を導き出している。まず、DDoS攻撃に対抗するための比較的新しいシステムであるレスポンスレート制限(RRL)が効果的であることが証明され、トラフィック量が60%削減された。
また、3 台を除くすべてのルート サーバーが大量のトラフィックを受信し、4 台が短時間オフラインになったものの、攻撃はルート サーバーに向けられたものではなく、現在解決されず、偽りまたは匿名の詳細で中国に登録されている 336901.com と 916yy.com という 2 つの特定のドメイン名に向けられたものであると結論付けています。
テロ関与?
セキュリティ専門家のジョン・マカフィー氏が攻撃後に主張したにもかかわらず、研究者たちは侵入の発信元IPアドレスが偽装されていたと確信している。彼らは、偽装アドレスを生成するコンピュータプログラムの存在を明らかに示していると思われる動画へのリンクを貼っており、その主張を裏付けるかのように、攻撃トラフィックのグラフィック画像も複数提供している。
この報告書には、DDoS攻撃がイスラム国がニュースやプロパガンダを広めるために使用しているとされるスマートフォンアプリ(ISISアマク通信社アプリ)から発生したという主張については触れられていない。
マカフィーは、今回の侵入に関する以前の情報に対し、IPアドレスはIPv4アドレス空間全体に広く分散しており、「スプーフィングでは事実上不可能」であると主張した。しかし、ワインバーグ氏とウェッセルズ氏は、実際には3つの異なる攻撃が同時に進行していたと述べている。1つは、膨大な数のIPアドレス(マカフィー氏の説明によると8億9500万)から発信された、広範囲だが低容量の攻撃であり、もう1つはIPアドレスブロックを循環的に攻撃する2つの大容量攻撃だった。攻撃トラフィックの86%を占めるIPアドレスは5000弱で、そのうちわずか200個が攻撃トラフィックの68%を占めていた。
研究者らは、これは(ランダムエラーではなく)コマンドと制御の指示が特定された特定の攻撃であり、よく知られている「BillGates」マルウェアを使用したボットネットを通じて攻撃が発生したことを特定しました。
だからといって、ISISによる新たなDDoS攻撃アプリの説が間違っているわけではない。ただ、世界中に多数のボットネットが存在し、そのような攻撃を実行するために利用されている現状を考えると、その可能性は低いだけだ。
攻撃を阻止するには専門家の介入が必要でした。DNS専門家が攻撃トラフィックを検証し、それを遮断するフィルターを開発しました。ルートサーバーの運用者が同意してフィルターを導入したところ、攻撃トラフィックは完全に遮断されました。
研究者たちは、Enterキーを押して攻撃を即座に停止できたことは非常に満足のいくことだと指摘する一方で、専門家による分析と手動による導入を必要とするシステムは理想的とは言えないと警告しています。このようなアプローチは、意図しない結果をもたらすリスクを伴います。
緩和策: RRL標準は攻撃トラフィックの削減に役立ちましたが、それを止めるには手動フィルターが必要でした。
そもそもなぜこのような攻撃が起きたのか?それはまだ解明が難しい。事件の中心となっているドメイン名は、特に関連性があるようには見えないが、誰かが削除する必要があると判断するほど悪質な目的で使用されていた可能性もある。しかし、それはあくまで憶測の域を出ない。
将来の攻撃の影響をどのように抑えるかという点では、2013年9月に多数のルートサーバーで使用されているBINDソフトウェアのバージョン9.9.4で初めて導入されたRRLの改善が大きな効果を発揮しました。しかし、攻撃の規模が大きかったため、重大な問題を防ぐことはできませんでした。
これまでと同様に、より良い解決策は、すべての ISP が既存のベストプラクティス (BCP 38 標準など) を実装し、スプーフィング攻撃の可能性を制限することです。
RRL の作成者 (F-root サーバーの元運営者 Paul Vixie) が提案したもう 1 つの解決策は、攻撃トラフィックがネットワークを流れるのを許可したネットワーク運営者に罰則を科す責任モデルを開発することです。
そういう意味で、今週のプレゼンテーションでは、攻撃トラフィックの大部分が通過した上位20のASN番号とその所有者をリストアップしました。20のうち9つは米国、5つは中国です。
リストのトップ: シアトルに拠点を置く PureVoltage Enterprises。
世界の政府がサイバーセキュリティに取り組むという誓約を真剣に受け止めれば、攻撃トラフィックの大部分が通過するネットワークの責任者が誰なのかといった詳細情報が役に立つかもしれません。®
