本ブログは、Microsoft Response to Layer 7 Distributed Denial of Service (DDoS) Attacks の抄訳版です。最新の情報は原文を参照してください。
概要
2023 年 6 月 初旬、マイクロソフトは、一時的な可用性への影響を及ぼす一部のサービスに対するトラフィックの急増を確認しました。マイクロソフトは直ちに調査を開始し、マイクロソフトが Storm-1359 として追跡している脅威アクターによる継続的な DDoS 攻撃の追跡を開始しました。これらの攻撃は、複数の仮想プライベートサーバー (VPS) へのアクセスと、レンタルしたクラウド基盤、オープン プロキシ、および DDoS ツールに依存していると考えられます。
なお、本件による、顧客データへのアクセスおよび漏洩の証拠は確認されていません。
この最近の DDoS 攻撃は、レイヤー3や4ではなく、レイヤー7をターゲットにしています。マイクロソフトは、同様の DDoS 攻撃からお客様をより保護するために、Azure Web Application Firewall (WAF) のチューニングを含むレイヤー7の保護機能を強化しました。 これらのツールや技術は、大半の障害を軽減するのに非常に効果的ですが、マイクロソフトは、一貫してハードニング機能のパフォーマンスを見直し、その有効性を洗練し、より改善するために学びを活かしています。お客様は、本ブログの技術的な詳細と推奨されるアクションのセクションを確認し、環境のレジリエンスを高め、同様の攻撃を軽減するのにお役立てください。
技術的な詳細
マイクロソフトは、Storm-1359 がボットネットとツールのコレクションにアクセスすることで、複数のクラウドサービスやオープン プロキシインフラストラクチャから DDoS 攻撃を仕掛けることが可能であると評価しています。Storm-1359 は、混乱と宣伝に重点を置いていると考えられます。
Storm-1359 によって、いくつかのタイプのレイヤー7 DDoS 攻撃トラフィックが起動されたことを確認しています。:
- HTTP(S) フラッド攻撃 - この攻撃は、SSL/TLSハンドシェイクと HTTP(S) リクエスト処理の高負荷でシステム リソースを使い果たすことを目的としています。この場合、攻撃者は、異なるソース IP から世界中に分散した高負荷 (数百万単位) の HTTP(S) リクエストを送信します。これにより、アプリケーションのバックエンドは計算リソース (CPU とメモリ) を使い果たします。
- キャッシュ バイパス - この攻撃は、CDN レイヤーをバイパスしようとするもので、オリジン サーバーに過負荷をかけることがあります。この場合、攻撃者は生成されたURL に対して一連のクエリーを送信し、フロントエンド層がキャッシュ コンテンツから提供するのではなく、すべてのリクエストをオリジンに転送するよう強制します。
- Slowloris - この攻撃は、クライアントが Web サーバーへの接続を開き、リソース (例えば、画像) を要求した後、ダウンロードを許可しない (またはゆっくりと受け入れる) ものです。これにより、Web サーバーは接続を開いたまま、要求されたリソースをメモリに保持させられます。
推奨事項 - レイヤー7への DDoS 攻撃から保護するためのヒント
マイクロソフトでは、レイヤー7への DDoS 攻撃による影響を軽減するために、以下の緩和策を検討することをお客様に推奨します。:
- Azure Web Application Firewall (WAF) (Azure Front Door、Azure Application Gatewayで利用可能) などのレイヤー7 保護サービスを使用して、Web アプリケーションを保護する。
Azure WAFを使用する場合:
- ボット保護の保護規則セットを使用すると、既知の悪いボットに対する保護が提供されます。詳細については、「ボット保護規則セットを有効にする」を参照してください。
- 悪意のあるものとして特定した IP アドレスと範囲は、ブロックする必要があります。詳細については、「カスタムルールの作成と使用」でのサンプルを参照してください。
- 定義された地域外、または定義された地域内からのトラフィックは、ブロック、レート制限、または静的ウェブページにリダイレクトする必要があります。詳細については、「カスタムルールの作成と使用」でのサンプルを参照してください。
- 「カスタムWAFルール」 を作成し、既知のシグネチャーを持つ HTTP または HTTPS 攻撃を自動的にブロックしたり、レート制限したりします。
参考文献