インターネット上にあるサーバーに対して、過剰な負荷をかけてサービスを停止させる攻撃として、DDoS攻撃やDoS攻撃が知られています。なかでもリフレクション攻撃は、セキュリティ対策に不備があるサーバーを悪用する、悪質な攻撃です。この記事ではリフレクション攻撃の概要や仕組み、そして具体的な対策方法に詳しくご紹介します。
企業が対応するべきサイバー攻撃の種類や被害に関する基礎知識が知りたい方は「サイバー攻撃の種類を解説!事例や対策も踏まえて対応しよう」もあわせてお読みください。
リフレクション攻撃とは
リフレクション攻撃とは、UDPのコネクションを張らない性質を利用して、インターネット上のサーバーに偽装した大量のリクエストを行い、送信元を偽装することで、大量の小さなリクエストをインターネット上の標的のサーバーに送信するサイバー攻撃です。攻撃者が送信したリクエストが、インターネット上のサーバーで反射して、標的に送信される手法が、反射を模していることからリフレクション攻撃と呼ばれるようになりました。
リフレクション攻撃は、多くの被害を発生させているDDoS攻撃の一種であり、非常に大きな規模に発展することもあります。
サーバーは大量のレスポンスを偽装された送信元に大量に返すことになり、偽装された送信元のサーバーに大きな負荷がかかります。もともと送信されたリクエストが、インターネット上のサーバーで増幅して、偽装された送信元に大量に送信する挙動から、アンプ攻撃とも呼ばれることがあります。
リフレクション攻撃に使われるプロトコル
リフレクション攻撃では、基本的にUDPで通信するプロトコルが使われます。例えば、DNS、NTP、SSDP、SNMPなど、その他のUDPが使われるプロトコルは何でもリフレクション攻撃に使用されます。UDPのプロトコルは利用しやすく、大量のパケットを小規模のボット群やサーバーで送信できてしまうからです。
特に、アクセス管理などが適切に実施されておらず、セキュリティ対策ができていないサーバーは、たやすく攻撃者に利用されてしまいます。
過去のリフレクション攻撃としては、1Tbpsクラスの通信速度の攻撃もあったように、大規模な攻撃も非常に多くありました。また2018年のある1週間においては、DDoS攻撃の約7割がこうした増幅型の攻撃であったというデータもあります。
リフレクション攻撃は、増幅率が高いサーバーを使うほど、大規模な攻撃が可能となります。特に増幅率が特に高いのはMemcachedサーバーです。Memcachedサーバーとは、DBのアクセス速度を上げるためにDBデータをキャッシュしておくサーバーのことです。その増幅率は50万倍にもなります。
Memcachedサーバーは、データベースの高速化のためには欠かせない機能を持つサーバーであり、今後もMemcachedサーバーは継続して悪用される可能性が高いと言えるでしょう。
リフレクション攻撃の対策
リフレクション攻撃の具体的な対策方法を4つご紹介します。
レートリミットの設定
レートリミットの設定とは、リクエストの宛先や送信元に対してレートベースルールを設定する機能です。過剰なリクエストを送信してくるIPアドレスによるリクエストを一時的にブロックできるため、リフレクション攻撃を含めたDDoS攻撃対策として、非常に効果的です。
特に、送信元への設定が効果的で、通信量の多い送信元からのパケットを拒否できます。具体的には、送信元の各IPアドレスのリクエストに対してレートを追跡し、時間内のリクエスト数が上限レートを超えると、ルールアクションが実行される仕組みです。
しかし、レートリミットはルールにしたがって無差別で作用します。悪意があるかどうかを考慮するわけではないため、システムダウンの防ぐための対策としては、最終手段として考えることが重要です。
ポートのブロック
ポートのブロックは古くからセキュリティ対策の一つとして高い効果があります。ポートとは、言ってみればコンピュータに設けられたネットワークの入り口のようなものです。開放されているポートの数だけ、攻撃者の攻撃範囲は広がります。そのため、不要と判断されるポートを塞ぐことは、非常に効果的な対策となります。
ポートを塞ぐには、ファイアウォールやルーターの設定変更で可能です。
注意点として、正常なトラフィックとリフレクション攻撃の両方で使われているポートへの対策です。例えばDNSで使われている53番ポートを塞いでしまうと、DNSとして正常な機能も使えなくなってしまいます。そのためポートのブロックによる対策は、通常は使われていないポートをブロックが基本的な対策となります。
脆弱なサーバーのIPアドレスをブロック
調査企業から入手した脆弱なサーバーのIPアドレスをブロックすることは、リフレクション攻撃の予防になります。なぜなら攻撃者はインターネット上にある脆弱性のあるサーバーを悪用するからです。
脆弱性のあるサーバーの発見には、特にIPレピュテーションの確認などが有効です。IPレピュテーションとは、IPアドレスを評価して、基準に従って通信制御する機能です。判定の基準は、IPアドレスがブラックリストに掲載されているか、過去に不正なメールを送信した履歴があるかなどがチェックされます。
このようなIPレピュテーションは複数の企業が公開しています。
次世代ファイアウォールなどの導入
次世代ファイアウォールや統合脅威管理のUTM(Unified Threat Management)、不正侵入防止システムのIPS(Intrusion Prevention System)などには、DDoS攻撃やDoS攻撃への対策機能が搭載されているものがあります。
これらの機器は、あらかじめ決められたルールに従って通信を制御するだけでなく、正当なユーザートラフィックと攻撃トラフィックをある程度区別できます。
またリフレクション攻撃は、脆弱性があるサーバーが悪用されることがあります。既知のサーバーの脆弱性に対しては、修正パッチを適切にあてることで解消できます。
ただ脆弱性パッチの適用が難しい場合や、未知の脆弱性に対する対策としてWAF(Web Application Firewall)の導入が効果的です。WAFは言ってみれば、サーバーで動作しているアプリケーションの不正な動作をブロックする製品です。WAFを導入すれば、Webアプリケーションの脆弱性を悪用したパケットの遮断が可能になるでしょう。
まとめ
リフレクション攻撃は、送信元を偽装したリクエストを使用した攻撃のため、攻撃者の特定が困難です。しかし攻撃者の特定に至らずとも、リフレクション攻撃への対策は難しくはありません。サイバー攻撃には、リフレクション攻撃のような手法があることを知り、自社サーバーが適切に対策を怠らないことが大切です。
