AWS がインターネットのセキュリティ向上を支援する 3 つの方法

本ブログは 2023 年 10 月 10 日に公開された Amazon News “3 ways AWS is helping to make the internet more secure” を翻訳したものです。

新種のサイバー攻撃からお客様を守るための Amazon Web Services の取り組みと、ビジネスをオンラインでより安全性を高めるための対策を説明します。

2023年 8 月末、AWS のセキュリティチームは、ユーザーを標的とする新種の HTTP リクエストフラッド攻撃を発見しました。HTTP リクエストフラッド攻撃は、分散型サービス妨害 (DDoS) 攻撃の一種で、ウェブサイトやアプリケーションをユーザーが利用できないようにすることを意図的に狙ったものです。このような攻撃は、残念ながらサイバーセキュリティチームが対処すべき一般的な問題となっています。しかし、今回の攻撃はこれまでとは異なっており、かつてない規模でした。

「DDoS 攻撃は進化しています。かつてに比べてずっと攻撃的かつ高レートでWebサーバーにリクエスト通信をする方法が見つかってます。」と AWS のVice President 兼 Distinguished Engineer である Tom Scholl 氏は述べています。「リクエストフラッド攻撃は、本質的にデータを要求することです。サーバーは要求されたデータを用意しますが、攻撃者はそれを受け取る気はありません。電話を無駄に掛け続けて、相手が出たらすぐ切るようなものです。一度に 1 億回以上のリクエストがあると、大量のリソースを消費し、通常のトラフィックの処理を妨げる可能性があります。この特別な攻撃は「HTTP/2 ラピッドリセット攻撃」として知られており、1 秒あたり 1 億 5500 万回以上のリクエストが発生していました。」

DDoS 攻撃が成功すると、企業に混乱を引き起こされ、コストが増大し、日常生活を送ろうとしている人々にも影響が及ぶ可能性があります。例えば、銀行振込ができなくなったり、医療機関の情報を見られなくなったり、お気に入りの番組を視聴できなくなるかもしれません。ゲームをする人は、ログインできなくなったり、プレイ中に突然切断されてしまったりする可能性があります。

AWS エンジニアの努力により、AWS のお客様はこの新しい DDoS 攻撃から迅速に保護されました。AWS は他のテクノロジー企業と協力して、さらなる対策の開発に取り組み、業界全体でこのような攻撃への対処方法の改善に取り組みました。

「私たちはこのような問題に対して、複数の角度からアプローチします」と Scholl 氏は言います。「社内のあらゆる専門知識を総動員して迅速に対策を講じると同時に、他の脆弱な可能性のある領域も特定します。新種の DDoS 攻撃が発生した場合、検証環境で攻撃者が行っていることを再現し、攻撃の仕組みをより深く理解し、私たちのシステムの耐性をテストします。」

Scholl 氏は、業界の専門家と最も効果的な技術的アプローチに関する知識を共有し、協力することも、攻撃を防ぐために不可欠だと述べています。

「最終的に私たちは、AWS のお客様だけでなく、世界中のすべての一般の Web ユーザーにとって、インターネットをより安全でより安心な場所にしようとしています。」と彼は述べました。

AWS が DDoS 攻撃を防止し、攻撃に使われているインフラストラクチャを無効化させるために行っている 3 つの方法を紹介します。

1. ボットネットの検出と特定

攻撃者は DDoS 攻撃を実行するために、しばしば「ボットネット」を使用します。ボットネットは、通常のシステム動作を妨害するように設計されたマルウェアやその他の破壊的なソフトウェアに感染したコンピューターのネットワークです。影響を受けた数万台に及ぶ可能性のあるマシンは、1 台のサーバーによって制御されています。サーバーは、システムに過負荷をかけようとする試みとして、同時に攻撃を実行するよう指示することができます。私たちの 脅威インテリジェンスツール MadPot を通じて、ボットネットを検出し特定することができ、ボットネットがどこから制御されているかを識別できます。その後、ドメインレジストラやホスティングプロバイダーと連携して、その制御ポイントを遮断します。これにより、ボットネット自体が攻撃に加わることができなくなります。

2. スプーフィングされた IP の送信元の特定

DDoS 攻撃者がよく使用する一般的な手法の 1 つに「IP スプーフィング」があります。これは、攻撃の一環としてメッセージを送信する際に、送信元の IP アドレスを偽装して、活動停止をさせにくくする手法です。歴史的に、IP スプーフィングは真の送信者の特定が非常に困難なため、セキュリティチームにとって対処が困難な課題となっていました。(1,000 個の異なる番号から同時に 1,000 件の電話がかかってきたと想像してみてください。各メッセージの送信元ネットワークを見つけるには、一つ一つ遡って追跡する必要があります。) AWS は大規模なグローバルネットワーク基盤を運用し、何千もの独自のネットワークと相互接続しているため、ピアネットワークと直接連携して攻撃を送信元まで追跡し、遮断することができます。私たちは、さまざまなネットワーク事業者と協力して、送信者の追跡を行い、このような種類の攻撃に使用されるインフラストラクチャを遮断しています。

3. オープンプロキシを介した HTTP リクエストフラッドのトレース

「プロキシサーバー」は、ユーザーとインターネットの間のゲートウェイのような役割を果たすコンピューターです。代表的な例として、Squid のようなソフトウェアパッケージがあります。DDoS 攻撃者は、誰でも利用できるオープンプロキシサーバーを悪用して、自身の攻撃送信元を隠蔽します。彼らは積極的にオープンプロキシをスキャンし、HTTP リクエストフラッド攻撃を生成する際にそれらを使用することで、ターゲットを攻撃する際に真の送信元を隠すことができます。ターゲットが攻撃を検出しても、実際の攻撃元ではなく、インターネット上の数千のプロキシサーバーから攻撃が来ているように見えます。私たちの 脅威インテリジェンスツール MadPot を使用することで、これらのプロキシに接続している実際の攻撃元を追跡し、上位のホスティングプロバイダーに働きかけて攻撃元の遮断をすることができます。

ビジネスをオンラインでより安全に保つための 3 つのヒントを紹介します。

1. 一人で抱え込まない

セキュリティは協力して取り組む必要があるというのが Scholl 氏の考えです。Amazon CloudFront のようなサービスを使えば、スタートアップであれ、大企業であれ、どのような企業にも役立ちます。CloudFront のグローバルなフットプリント、DDoS 緩和システム、トラフィック管理システムは、大量のトラフィック (良いものも悪いものも) に対処できるよう設計されています。Scholl 氏は、CloudFront の働きを考えるうえでの有用なたとえとして、非常に強固で補強された玄関ドアのイメージを挙げています。誰かが重い石を投げつけても、わずかな傷をつけるられるかもしれませんが、玄関ドア自体は無事です。DDoS に特化して対処する AWS Shield サービスと組み合わせることで、お客様は DDoS 関連の脅威に対処するための適切なツールセットを手にできます。

2. 最新状態の維持

最新のセキュリティアップデートを確実に入手し、ビジネスが依存するソフトウェアに定期的にパッチを適用し、アップデートすることは、非常に重要です。これらのアップデートには、最新の既知の脆弱性への対応が盛り込まれています。HTTP/2 対応の Web サーバーを自社で運用しているお客様には、最近報告された攻撃の影響を受けるかどうかを Web サーバーベンダーに確認し、影響を受けている場合は、この問題に対処するためにベンダーから最新のパッチをインストールすることをお勧めします。

3. 多要素認証の使用

オンラインで自身とビジネスを保護する最良の方法の 1 つは、多要素認証 (MFA) です。これはセキュリティのベストプラクティスであり、ユーザー名とパスワードのサインイン認証情報に加えて、2 つ目の認証要素を必要とします。MFA は、権限のない個人がシステムやデータにアクセスすることを防ぐための追加の保護層となります。AWS のお客様は、MFA についてさらに詳しく知りたい場合、こちらのブログ記事をご覧ください。

AWS がお客様の安全をどのように守っているかについての詳細は、AWS クラウドセキュリティウェブサイトをご覧ください。2023年 8 月の DDoS 攻撃をどのように阻止したかについてのより詳細な情報については、AWS による DDoS イベントからのお客様の保護をご覧ください。

本ブログは Security Solutions Architect の 中島 章博 が翻訳しました。