注意喚起情報

オープンリゾルバを悪用したDDoS攻撃が確認されました

  • ツイート
 

本件は、2013年9月13日に弊社お客様へご提供いたしました注意喚起情報を、一般向けに精査して公表するものです。現時点で広く注意喚起を促す状況ではございませんが、JSOCが把握している脅威情報として公開いたします。

概要

JSOCのセキュリティ監視において、オープンリゾルバとなってしまっているDNSサーバを踏み台にして、DDoS攻撃を行う通信が増加していることを確認しました。

この攻撃を行っている首謀者は、IPアドレスを詐称してこのような行為を行っていることが一般的なため、特定の国や組織から行われた攻撃とは判断はできませんが、今後このような攻撃が拡大する可能性があるため、注意が必要です。

背景

9月11日、警察庁から中国を発信元とする再帰問い合わせ可能な DNSサーバ(オープンリゾルバ設定となっているDNSサーバ。以下単に「オープンリゾルバ」という。)を探索する通信が増加していることが注意喚起されました。
弊社が運営するJSOCにおいても、オープンリゾルバを探査する行動を日常的に捕捉しておりますが、現状では特定の国を発信元とした検知量の顕著な変化は捕捉しておりません。
しかしながら、概要に記したように、オープンリゾルバを踏み台にして、DDoS攻撃を行う通信が増加していることを検知しました。

オープンリゾルバは、攻撃者によってDDoS攻撃に悪用される可能性があることは広く知られておりますが、ここ数日DNSサーバが意図せずオープンリゾルバ状態になっていたことによるインシデントが、弊社がセキュリティ監視を行っている複数のお客様で発生しております。

実際に発生したインシデントにおいては、使用しているネットワーク機器(ルータなど)にDNSサーバが組み込まれており、管理者の把握していない状況で動作していたことによって悪用されていました。

情報システムの管理者、もしくは提供事業者は、サーバ機器はもちろんのこと、ネットワーク機器やソフトウェア製品において、オープンリゾルバ状態のDNSサーバが稼働していないかを再度ご確認いただき、オープンリゾルバを無効にするなど意図せず攻撃に加担しないよう対策の実施をお願いします。

攻撃に加担しないための対策

  • DNSの権威サーバとキャッシュサーバを分離し、ネットワーク機器にて適切なアクセス制御を実施する
  • 権威DNSサーバにおいては、再帰問い合わせを禁止する
  • キャッシュDNSサーバにおいては、DNSサーバの設定にて再帰問い合わせを受け付けるネットワーク範囲を限定する
  • 組織内から組織外に対し、送信元アドレスを変更したパケットを出さないように制限する

攻撃の被害を受けないための対策

オープンリゾルバを悪用したDDoS攻撃は、DNSの応答通信を特定のホストやネットワークに対して大量に送信してネットワークリソースを枯渇させる攻撃であり、DNSリフレクター攻撃もしくは DNSアンプ攻撃と呼ばれています。

SYN Flood攻撃なども含め、このようなリソースを枯渇させる攻撃は、IDS/IPSなどのセキュリティ機器での検知・防御は難しく、以下のようなDoS/DDoS攻撃への対策が必要となります。

  • 自組織のネットワーク状況をモニタリングできるようにしておく
  • ネットワーク機器において、通信の帯域制限を行う
  • ネットワーク機器において、不要なポートへのアクセスをブロックする
  • ネットワーク機器にDDoS攻撃に対する保護機能がある場合は、これを活用する
  • サーバにおいて、同時接続数を制限する
  • サーバにおいて、TCPの設定をチューニングする
  • 不要なログを取得しないように設定する(ディスク資源の圧迫対策)
  • 負荷分散装置を導入する
  • CDN(コンテンツ配信網)サービスを利用する
  • インターネットサービスプロバイダなどの電気通信事業者が提供する DDoS対策サービスを利用する

インシデントが発生することを想定した対策

エスカレーションフローや対応手順などを事前に確認し、インシデントレスポンス体制を整備しておく

対策に関する参考URL

警察庁インターネット治安情勢「中国を発信元とする再帰問い合わせ可能なDNSサーバの探索行為の増加について」

独立行政法人情報処理推進機構「サービス妨害攻撃の対策等調査」報告書

DNSサーバーの不適切な設定「オープンリゾルバー」について



注意喚起情報は、ラックメールマガジン(臨時号)にて、いち早く皆様にお知らせしています

配信をご希望の方はこちらからご登録いただけます。

  • ツイート
 
免責:

本記載事項の利用については、全て自己責任でお願いいたします。本記載事項の記述を利用した結果生じる、いかなる損失においても株式会社ラックはその責任を負いかねます。本記載事項を引用して利用される際は、必ず出典元を明記してご利用下さい。LAC、ラックは、株式会社ラックの商標です。JSOC(ジェイソック)は株式会社ラックの登録商標です。その他、記載されている製品名、社名は各社の商標または登録商標です。

戻る

LACメールマガジンのイメージ写真

ラックメールマガジン

情報セキュリティに関する情報をE-Mailにて、タイムリーに月2~3回の頻度でお届けします。

セキュリティ情報のイメージ写真

セキュリティ情報

ラックの中の人がセキュリティにまつわるさまざまな情報をつぶやきます。

緊急対応窓口:サイバー救急センター(R) 0120-362-119

サービスに関するお問い合わせ
受付時間:9:00~17:30

03-6757-0113

ラックホーム

ページトップへ