本ブログは、Microsoft Response to Distributed Denial of Service (DDoS) Attacks against HTTP/2 の抄訳版です。最新の情報は原文を参照してください。
概要
2023 年 9 月以降、マイクロソフトは、HTTP/2 プロトコルを標的とした分散型サービス拒否 (DDoS) 攻撃の新たな手法が確認されたことについて、業界パートナーから知らせを受けました。この脆弱性 (CVE-2023-44487) は、インターネットに公開されている HTTP/2 エンドポイントに影響を与えます。業界のリーダーとして、マイクロソフトは速やかに調査を開始し、協調的な情報開示と緩和計画のために業界のパートナーと協力しました。マイクロソフトは、お客様のサービスがこの DDoS 攻撃の手法から完全に保護されるよう、このブログで提供されるガイダンスに従うことを推奨します。
この DDoS 攻撃は “HTTP/2 Rapid Reset” として知られ、HTTP/2 の実装の欠陥を利用しています。マイクロソフトは、IIS (HTTP.sys)、 .NET (Kestrel)、および Windows 向けの緩和策を速やかに作成し、2023 年 10 月 10 日(米国時間) のセキュリティ アップデートとしてリリースしました。
この DDoS はサービスの可用性に影響を与える可能性がありますが、顧客データの漏洩につながることはなく、現時点では顧客データの漏洩は確認されていません。
攻撃の詳細
この HTTP/2 の脆弱性により、悪意のあるアクターは HTTP/2 サーバーを標的とした DDoS 攻撃を仕掛けることができます。この攻撃は、HEADERS に続いて RST_STREAM を使用した HTTP リクエストを一定数送信し、このパターンを繰り返すことで、標的となる HTTP/2 サーバーに大量のトラフィックを発生させます。1 つの接続に複数の HEADERS と RST_STREAM フレームを詰め込むことで、攻撃者は 1 秒あたりのリクエスト数を大幅に増加させ、サーバーの CPU 使用率を高くし、最終的にリソースの枯渇を引き起こすことができます。
CVE-2023-44487 からサービスを守るために
このHTTP DDoS 活動は、レイヤー 3 や 4 ではなく、主にレイヤー 7 を標的としています。マイクロソフトは、この DDoS 攻撃からお客様をより保護するために、マイクロソフトのWeb サービスにおけるレイヤー 7 の保護を強化し、パッチを適用しました。このツールや技術は、大半の障害を軽減する上で非常に効果的ですが、マイクロソフトは一貫してハードニング機能のパフォーマンスをレビューし、その有効性を改善および向上させるために学習内容を取り入れています。
-
Web アプリケーションをホスティングするために使用されているマイクロソフトのサービスは、この攻撃に対する緩和策を提供するセキュリティ更新プログラムを適用しています。
-
マイクロソフトでは、Web アプリケーションをセルフホストしているお客様には、Windows Update またはオープンソースソフトウェア (OSS) を使用して Web サーバー/プロキシに CVE-2023-44487 の修正パッチを適用し、できるだけ早く環境を保護することを推奨します。お客様による対応が必要な、影響を受ける製品は、マイクロソフト セキュリティ更新プログラムガイド で公開されています。
-
マイクロソフトでは、Azure Front Door または Azure Application Gateway で Azure Web Application Firewall(WAF)を有効にして、さらにセキュリティを強化することを推奨します。WAF のレート制限ルールは、これらの攻撃に対する追加の保護をする上で効果的です。詳細については、“推奨される対処” のセクションまたはこのブログを参照してください。
-
マイクロソフトでは、可能な限り Web アプリケーションへのインターネット アクセスを制限することを推奨します。
-
適切なパッチを適用せず、Web アプリケーションが Azure Front Door または Application Gateway の WAF で保護されていない場合、Web サービスの HTTP2 を無効にすることを検討してください。お客様の環境で HTTP2 プロトコルを無効にすることは、パフォーマンスやサービスに大きな影響を与える可能性があるため、お客様の製品やサービスへの潜在的な影響を慎重に評価し、慎重に決定する必要があります。
推奨される対処 - レイヤー 7 DDoS 攻撃から保護するためのヒント
マイクロソフトでは、Azure Web Application Firewall (WAF) (Azure Front Door 、Application Gateway で利用可能) などのレイヤー 7 保護サービスを使用して、Web アプリケーションを保護することを推奨します。レイヤー 7 DDoS 攻撃の影響を軽減するために、以下の緩和ガイダンスを確認してください: アプリケーション(レイヤー 7)DDoS 保護
Azure Front Door または Application Gateway で Azure WAF を使用する場合:
-
ボット保護マネージドルールセットを使用すると、既知の悪質なボットに対する保護が提供されます。詳細については、「Azure Front Door でボット保護を構成する」および「Azure Application Gateway でボット保護を構成する」を参照してください。
-
悪質であると識別した IP アドレスとIP レンジはブロックする必要があります。詳細については、「Azure Front Door のカスタム規則」および「Application Gateway のv2 カスタム規則」の例を参照してください。
-
定義された地域外または地域内からのトラフィックは、ブロック、レート制限、または静的な Web ページへのリダイレクトが必要です。詳細については、「Azure Front Door のカスタム規則」および「Application Gateway のv2 カスタム規則」の例を参照してください。
-
レート制限カスタムルールを作成して、既知のシグネチャを持つ HTTP または HTTPS 攻撃を自動的にブロックし、レート制限します。詳細については、「Azure Front Door のレート制限」および「Application Gateway のレート制限」の例を参照してください。
Azure API Management を使用する場合は、WAF に加えて、次の設定を有効にする必要があります:
-
API Managementインスタンスを仮想ネットワークにデプロイし、DDOS保護を有効にする。
-
L7 レート制限ポリシーを適用し、過剰なHTTPトラフィックをブロックする。
Azure と M365
クラウドにおける共同責任モデル に基づき、マイクロソフトは、マイクロソフトが管理する SaaS および PaaS サービス、ならびに 安全なデプロイ プラクティス を使用して自動パッチ適用が有効な IaaSサービスに適切なセキュリティアップデートを適用します。さらに、これらのサービスは DDoS サービスによっても保護されます。IaaS サービスにて手動でパッチを適用しているお客様は、上記のガイダンスに基づいて更新プログラムを適用することをお勧めします。
マイクロソフトは、セキュリティ脆弱性の発見、報告、修復を体系的かつ責任を持って管理するCVD (Coordinated Vulnerability Disclosure) に従っています。CVDにより、マイクロソフトは、ユーザーのセキュリティとシステムの完全性を優先する形で、研究者や幅広いセキュリティコミュニティと協力することができます。協調的なアプローチに従うことで、研究者や業界パートナーと協力して、潜在的な脆弱性が公開される前に確実に対処し、悪用のリスクを低減することができます。
堅牢なセキュリティ体制の一環として、研究者と協力して脆弱性の発見に貢献しているため、脆弱性の詳細が広く知られ、悪用される前に、発見された問題を修正することができます。本脆弱性をCVD (Coordinated Vulnerability Disclosure) の下で報告してくれたAmazon、Cloudflare、Googleに感謝します。また、マイクロソフト・セキュリティ・レスポンス・センター (MSRC) と協力して更新プログラムを開発し、マイクロソフトの顧客の安全確保に貢献してくれたオープンソース・コミュニティのパートナーにも感謝します。
参考
- アプリケーション DDoS 保護 - Azure Web Application Firewall | Microsoft Learn
- DDoS protection on Azure Front Door | Microsoft Learn
- 2022 in review: DDoS attack trends and insights | Microsoft Security Blog
- Joint CISA FBI MS-ISAC Guide on Responding to DDoS Attacks and DDoS Guidance for Federal Agencies | CISA