Amazon Web Services ブログ
AWS Shield 脅威ランドスケープレビュー : 2020 年の振り返り
AWS Shield は、 Amazon Web Services (AWS) で実行されているアプリケーションをボットや分散型サービス拒否 ( DDoS ) 攻撃などの外部の脅威から保護するマネージドサービスです。Shield は AWS リソースに対する DDoS 攻撃、Web コンテンツのスクレイピング、また、通常は人が行うことができないような不正なトラフィックを示す可能性のあるネットワークおよび Web アプリケーション層のボリュームイベントを検出します。
このブログ記事では、より多くのワークロードがクラウドに移行した 2020 年に観測された、ネットワークトラフィックと Web リクエストパターンからボリュームが大きいイベントの傾向を紹介します。また、クラウドアプリケーションに広く適用できる知見と、ゲームアプリケーションに特化した知見が含まれています。さらに、AWS 上で実行するアプリケーションの可用性を守るために実行できるヒントやベスト・プラクティスも紹介します。
クラウドを利用する開発者の増加に伴う DDoS の傾向
2020 年には、AWS でアプリケーションを構築し、追加費用無しで利用できる AWS WAF を含む AWS Shield Advanced で可用性を保護する開発者の増加が見られました。私たちが観察した DDoS 脅威ベクトルは、2019 年に観測されたものと似ていましたが、より高い頻度で発生していました。2020 年 2 月から 2020 年 4 月の間に、Shield で検出された月間のイベント数は 72% 増加しました。
TCP SYN フラッドや UDP リフレクション攻撃などのインターネット上で稼働している正規のサービスからパケットをリフレクションにより増幅させようとする攻撃は、2020 年に AWS Shield によって検出された最も一般的なインフラストラクチャ層イベントの 一つでした。(このブログ記事では、OSI モデルのレイヤ 3 および 4 を参照するためにインフラストラクチャ層という用語を使用します)。 これらの手口は、正当なユーザーの代わりにパケットを処理したり、新しい接続を確立したりすることでアプリケーションのキャパシティを大幅に超えることによって、アプリケーションの可用性に影響を与えようとするものです。最も古い UDP リフレクションの手法の1つである DNS リフレクションは、Shield によって検出されたすべてのインフラストラクチャ層イベントの 15.5% で、依然として最も一般的なものです。2 番目に多かったのはTCP SYN フラッドで 13.8% でした。Web アプリケーションは通常 DNS トラフィックと TCP トラフィックの両方に依存するため、これは驚くべきことではありません。攻撃者は、これらのプロトコルの特性やシステムの設定ミスによりリフレクタとして使用できるシステムをインターネット上で継続的に見つける可能性があります。
攻撃者はアプリケーションの可用性に影響を与えるために、アプリケーション層のリクエストを単独、またはインフラストラクチャ層攻撃とともに使用することがあります。2020 年に Shield が観測した最も一般的なアプリケーション層攻撃は、Webリクエストフラッドでした。これは、過去数年から継続している観測結果です。この攻撃手法は、攻撃者により多くの影響力を与え、より少ないトラフィックと労力で大きな効果を得ることが出来ます。攻撃者はネットワークパス、デバイス、またはその他の下位レベルのコンポーネントの容量を使い果たさなくても、アプリケーションが処理できる以上の Web リクエストを送信するだけで済みます。この攻撃手法は、2020 年の上半期に Shield によって検出された大規模攻撃イベントの増加の大きな原因となっています。2020 年に Shield によって検出されたイベントの詳細については、図 1 を参照してください。
Web アプリケーション層への攻撃の詳細
AWS Shield によって検出される Web アプリケーション層イベントのリクエスト量が増加しました。これは攻撃者がインフラストラクチャ層のイベントよりも検出と軽減が困難な戦術に大きな投資を行っていることを示しています。Shield は、DDoS アクティビティを継続的に監視し、任意の時点で脅威が高まっていればお客様に警告します。2020 年、Shield は 53 日間の高い脅威レベルを報告し、そのうち 33 件は大量の Web リクエストフラッドが原因でした。50万リクエスト/秒 ( RPS ) を超えるボリュームを持つイベントは 55 件あり、そのうちのいくつかは数百万 RPS に達しました。Shield によって検出された Web リクエストフラッド量の 99パーセンタイル ( P99 ) の RPS は、今年の前半と後半の間にほぼ倍増しました。( 99パーセンタイルは、リクエストフラッドの 99% が観測された RPS を下回るリクエスト量 ) 2020 年に Shield によって検出されたWebリクエストフラッドの量の詳細については、図 2 を参照してください。
Web アプリケーションをあらゆる規模の DDoS 攻撃から保護することが重要です。より一般的なリクエストフラッドは比較的小さいですが、DDoS に対する耐性が考慮された設計になっていない場合、小規模な攻撃はアプリケーションに影響を与える可能性があります。次のベストプラクティスに従うことがで、リクエストフラッドやその他の DDoS 攻撃から Web アプリケーションを保護することが出来ます:
- AWS Shield Advanced で、インターネットに面したリソースを保護 AWS Shield Advanced を使用すると、AWS で実行されているアプリケーションを最も一般的で頻繁に発生するネットワークおよびトランスポート層の DDoS 攻撃から保護できます。AWS Shield Advanced で保護されたリソースを追加すると、それらのリソースに対するネットワークボリューム攻撃が検出され、より迅速に軽減されます。AWS Shield コンソール、API、または Amazon CloudWatch メトリクスを使用して、セキュリティイベントの可視性も取得できます。アクティブなイベント中にサポートが必要な場合は、AWS Shield の専門家とすぐに連絡するか、AWS Shield Response Team ( SRT ) にエスカレーションしてください。
- Amazon CloudFront と Amazon Route 53 で、より大きなネットワークとリクエストの容量にアクセス これらのサービスを使用して、AWS エッジロケーションのグローバルネットワークを使用して、静的および動的な Web コンテンツと DNS 応答を提供できます。これにより、大規模なボリューム攻撃の軽減に役立つ容量が増えます。Amazon CloudFront と Amazon Route 53 が前段にあるアプリケーションでは、すべてのトラフィックを継続的に検査し、インフラストラクチャ層の DDoS の試行を 1 秒未満で軽減するインライン緩和のメリットもあります。CloudFront と AWS Shield DDoS 緩和システムは、SYN クッキーを使用して新しい接続を検証します。これにより、アプリケーションに対して有効ではない SYN フラッドやその他のトラフィックフラッドから保護されます。( SYN Cookie は、Shield インフラストラクチャが接続セットアップ情報を SYN 応答 ( SYN-ACK パケット ) にエンコードして、TCP 接続リソースが TCP ハンドシェイクを完了した正規のクライアントに対してのみ消費されるような手法です ) 。
- AWS WAF とレートベースのルールを使用して、アプリケーション層攻撃を軽減 AWS Shield Advanced は、ネットワークベースの DDoS 緩和システムで軽減できるインフラストラクチャ層攻撃に対する保護を提供します。Web コンテンツを提供するために CloudFront またはアプリケーションロードバランサー ( ALB ) に Shield Advanced 保護を追加すると、追加料金なしで AWS WAF を利用することができます。AWS WAF の AWS マネージドルールを使用すると、特定の要件に応じて、事前設定されたルールを簡単に選択して適用できます。また、Web リクエストフラッドの検出を受信し、定義したレートを超えるトラフィックを送信している IP アドレスを一時的にブロックするようにレートベースのルールを設定することで、セキュリティイベントを軽減できます。大規模なアプリケーション、または複数の AWS アカウントにまたがるアプリケーションでは、AWS Firewall Manager を使用して、すべてのリソースにルールをデプロイおよび管理できます。
ゲームのユースケース特有の考慮事項
AWS では、あらゆる種類のアプリケーションを構築して保護できます。インターネットに面したアプリケーションは、DDoS 攻撃を受ける可能性が高く、特に攻撃者がアプリケーションの正常な機能を妨害する動機がある場合は、DDoS 攻撃を受けやすくなります。AWS Shield のデータの調査では、DDoS 攻撃の対象となる可能性が高いアプリケーションの 一つのタイプとして、ゲームサーバーが際立っていることがわかりました。ゲームサーバーは、PC またはゲームコンソールでプレイヤー間の対戦をホストします。2020 年に Shield によって検出されたインフラストラクチャ層イベントの 16% がゲームアプリケーションが標的となっています。単純な悪意やゲームで優位に立つためにアプリケーションが狙われている可能性があります。2020 年第 1 四半期から 2020 年第 2 四半期の間に、ゲームアプリケーションを対象として検出されたイベントの頻度が 46% 増加していることが確認されました。この増加は、同時期に家庭のインターネットネットワークの利用が増えたことと一致します。
ゲームアプリケーションを DDoS 攻撃から保護するためには、ゲームのユースケース特有の考慮が必要です。多くのゲームアプリケーションは、UDP トラフィックに依存しているため、UDP リフレクション攻撃や UDP フラッドなど、最も一般的な DDoS 攻撃に対する対策として、UDP をブロックすることは不可能です。しかし、Elastic IP アドレスを使用し、AWS Shield Advanced でこれらのリソースを保護することで、ゲームアプリケーションとプレイヤーの体験を守ることができます。Shield Advanced には、非常に高い Packet Per Sec ( PPS ) レートでも、すべてのトラフィックのディープパケットインスペクションを実行する機能を有しています。この強力なツールを使用して SRT はお客様と協力してアプリケーションを理解し、有効なプレイヤーのトラフィックのみを許可するカスタム緩和策を構築できます。
DDoS による脅迫への対応
2020 年 8 月から 2020 年 11 月にかけて、6 年以上前の手法である DDoS による脅迫の試みの復活が見られました。SRT に対するお客様から報告された DDoS による脅迫の試みには、既知の特性がありました。攻撃者は、概念実証 ( Proof of Concept/PoC ) として AWS で実行されていないアプリケーションをターゲットにし、身代金が支払われなければ更に大きな後続の攻撃を実行すると脅します。後続の攻撃が実際に発生するのはごく稀ですが、アプリケーション所有者はこれらの脅威を深刻に受け止め、その機会に自社アプリケーションの保護と運用準備状況の評価を実施します。これらの試みに関連する AWS サポートケースの約 90% で、SRT はアプリケーションの所有者に対し準備を直接支援しました。また、DDoS による脅迫の直接の標的とされていなかったが、他社の DDOS による脅迫のキャンペーンを認識されていた Shield Advanced のお客様も支援しました。
よく聞かれる質問の 1 つとして、DDoS 攻撃の可能性が検出された場合に AWS がアプリケーションを監視し、迅速なアクションを実行できるようにする方法です。AWS Shield Advanced でリソースを保護する場合、Amazon Route 53 ヘルスチェックを関連付けるオプションがあります。ヘルスチェックのステータスは、Shield の検知システムで行われる判断を改善するために使用されます。Shield Advanced プロアクティブエンゲージメントを有効にしている場合、保護対象のリソースに関連付けられている正常で無い Route 53 ヘルスチェックを伴う Shield イベントが発生すると、SRT は自動的にエンゲージされます。Shield コンソールで提供される連絡先情報に基づいて、SRT エンジニアがお客様に連絡し、検出されたイベントに対する対応を調整します。Web アプリケーションを実行している場合は、Shield Advanced および AWS WAF API へのアクセスを SRT に委任し、AWS WAF ログのコピーをチームに提供することができます。エスカレーション中に、SRT エンジニアが DDoS シグネチャとボットのパターンについてログを評価し、効果的な緩和策の構築を支援します。
まとめ
このブログ記事では、2020 年に AWS Shield で観察されたトレンドの一部と、DDoS 攻撃からアプリケーションの可用性を保護するために実行できる手順について説明しました。AWS での DDoS からの保護と AWS Shield Advanced の設定について詳しく知りたい場合は、次のリソースをご覧ください。
- AWS Shield の開始方法
- AWS Best Practices for DDoS Resiliency
- Guidelines for Implementing AWS WAF
- Shield Advanced proactive engagement
- How to Help Protect Dynamic Web Applications Against DDoS Attacks by Using Amazon CloudFront and Amazon Route 53
- Set up centralized monitoring for DDoS events and auto-remediate noncompliant resources
AWS セキュリティに関するニュース、コンテンツ、新機能のご案内は Twitter でも配信しています。