「memcached」を踏み台にした大規模なDDoS攻撃が発生

2018年2月28日、メモリキャッシュサーバー「memcached」を踏み台にした大規模なDDoS攻撃（リフレクション攻撃）が発生し、GitHubが約9分間にわたりサービスが停止しました。

DDoS攻撃のペイロードに身代金要求メッセージを発見

サイバーリーズンのセキュリティチームは、この最大のDDoS攻撃でmemcachedサーバーが送信しているペイロード（データ本体）に身代金を要求する記述が含まれていたことを発見しました。

DDoS攻撃（リフレクション攻撃）が十分な脅威ではなかった場合でも、攻撃者は脅威コンポーネントを追加することでこの攻撃をさらに強力なものにしました。

攻撃者が被害者に暗号通貨Monero 50MXR の身代金の支払いを要求するの記述に、ギガバイト相当のデータを使いました。その記述はPythonコードの行に含まれ、何度も繰り返されます。（XMRはMonero暗号化の株式市場でのティッカーシンボル）

この記事の執筆時点では、50 XMRは約15,000ドルに相当します。すべての通貨と同様に、Monero為替レートは変動しますので、被害者が支払わなければならない金額は変わる可能性があります。

ビットコイントランザクションとは異なり、Moneroトランザクションは公開されないため、身代金が攻撃者のMoneroアドレスに送金されたかどうかを確認する方法はありません。

このビデオでは、サイバーリーズンのセキュリティチームがどのように身代金要求の記述を発見したかを示します。

DDoS攻撃（リフレクション攻撃）がどのように企業に身代金を支払わせるか

DDoS攻撃（リフレクション攻撃）は、恐怖、不安、不信（FUD）を広めるのではなく、潜在的な影響が大きいものです。

リサーチャーは、この技術が帯域幅を少なくとも50,000倍増幅させ、2017年11月時点では少なくとも60,000台のmemcachedサーバーが使用可能であると見積もっています。

この攻撃の規模を示すもう一つの例です。この攻撃によって停止状態にされたGitHubのエンジニアによると、最初の攻撃は1.35Tbpsでピークに達していました。これまでの最大のDDoS攻撃は1.1Tbpsでした。

GitHubのサービス停止は約9分間続きましたが、短時間の攻撃を使用して企業を即時に停止状態にさせることは、攻撃者にとって大きな利益をもたらすことができます。

短時間でサイトを乗っ取られるとしたら、企業は、より長いDDoS攻撃（リフレクション攻撃）に対処する代わりに、身代金を支払う傾向が強くなる可能性があります。

企業がこの脅威の対策を見つける一方で、企業に対してこの手法を利用しようとする攻撃者など、攻撃側と防衛側は今後数週間で武器競争に関与する可能性が高くなるでしょう。

memcachedサーバーを使用している組織は、UDPポートの無効化と、ファイアウォールの後にあるプライベートネットワークにこれらのサーバーを配置する必要があります。

ホワイトペーパー「サイバー攻撃に関する5つの誤った通説」

サイバー攻撃は減少するどころか、むしろ標的とする組織、業種を拡大してきています。複雑なサイバー攻撃を防御するには、これまでの正しいとされていた常識、通説を考え直す必要があります。本書で、5つの誤った通説と推奨されるアプローチについて学ぶことができます。
https://www.cybereason.co.jp/product-documents/input/?post_id=609