AWS による DDoS イベントからのお客様の保護

本ブログは 2023 年 10 月 10 日に公開されたBlog “How AWS protects customers from DDoS events” を翻訳したものです。

Amazon Web Services (AWS) では、セキュリティが最優先事項です。セキュリティは私たちの文化、プロセス、システムに深く根付いており、私たちのあらゆる活動に浸透しています。これはお客様にとってどういった意味があるのでしょうか。AWSは、お客様に影響を与えるセキュリティインシデントの防止と緩和に向けた取り組みについて、お客様により深く理解していただくことが有益だと考えています。

2023 年 8 月下旬以降、AWS は新種の分散型サービス妨害 (DDoS) 攻撃を検出し、お客様アプリケーションを保護してきました。DDoS 攻撃とは、ウェブサイトやアプリケーションなどの対象システムの可用性を妨害し、正規ユーザーに対するサービスのパフォーマンスを低下させようとすることです。DDoS 攻撃方法の例には、HTTP リクエストフラッド、リフレクション攻撃(アンプ攻撃)、パケットフラッドなどがあります。今回 AWS が検出した DDoS 攻撃は、HTTP/2 リクエストフラッドの一種で、ウェブサーバーの能力を超える大量の不正なウェブリクエストを送って、正規のクライアントからのリクエストに応答できないようにする攻撃です。

2023 年 8 月 28 日から 29 日にかけて、AWS のプロアクティブな監視により Amazon CloudFront への HTTP/2 リクエストの異常な急増を検出しました。ピーク時には 1 秒あたり 1 億 5500 万リクエスト (RPS) を超えるリクエストを観測しました。AWS は数分以内にこの異常な活動の性質を特定し、CloudFront が新種の HTTP リクエストフラッド DDoS イベント（現在は HTTP/2 ラピッドリセット 攻撃と呼ばれています）を自動的に緩和していました。この 2 日間で、AWS は HTTP/2 ラピッドリセット攻撃について 10 件以上の 一連のイベントを観測し軽減しました。そして続く 9 月も、この新種の HTTP/2 リクエストフラッドが引き続き発生していたことを確認しています。Amazon CloudFront や AWS Shield などのサービスを使用して DDoS 耐性を施したアーキテクチャを構築していた AWS のお客様は、アプリケーションの可用性を維持することができました。

図1. 世界の 1 秒あたりの HTTP リクエスト数、9 月 13 日～16 日

HTTP/2 ラピッドリセット攻撃の概要

HTTP/2 では、1 つの HTTP セッション上で複数の異なる論理接続を多重化できます。これは、各 HTTP セッションが論理的に分かれていた HTTP 1.x からの変更点です。HTTP/2 ラピッドリセット攻撃は、リクエストとリセットを短時間に連続して行う複数の HTTP/2 接続で構成されます。例えば、複数のストリームに対する一連のリクエストが送信され、その後それぞれのリクエストに対するリセットが続きます。攻撃対象システムは各リクエストを解析して処理し、クライアントによってリセット（またはキャンセル）され、さらにリクエストのログも生成します。クライアントにデータを送り返す必要がなくても、システムはそれらのログを生成します。悪意のある攻撃者は大量の HTTP/2 リクエストを発行することで、このプロセスを悪用しウェブサイトやアプリケーションなどの攻撃対象システムのリソースを枯渇させることができます

重要なのは、HTTP/2 のラピッドリセット攻撃も、HTTP リクエストフラッドの新しい形態に過ぎないことです。このような種類の DDoS 攻撃から防御するには、不要なリクエストを特定して検出し、悪意のある HTTP リクエストを吸収してブロックするような、スケーリング可能なアーキテクチャを実装する必要があります。

DDoS 耐性のあるアーキテクチャの構築

AWS のお客様は、AWS のグローバルクラウドインフラストラクチャに組み込まれたセキュリティと、AWS サービスのセキュリティ、効率性、および回復力を継続的に改善するという当社のコミットメントの両方から恩恵を受けることができます。DDoS 耐性を向上させるための具体的なガイダンスとして、AWS は AWS Best Practices for DDoS Resiliency などのホワイトペーパーを公開しています。このドキュメントでは、アプリケーションの可用性を保護するためのガイドとして、DDoS 耐性を持つリファレンスアーキテクチャを説明しています。AWS サービスには複数の DDoS 緩和のための組み込み機能が自動的に含まれていますが、特定のサービスを使用した AWS アーキテクチャを採用し、ユーザーとアプリケーション間のネットワークフローの各部分に追加のベストプラクティスを実装することで、DDoS 耐性をさらに向上させることができます。

例えば、Amazon CloudFront、AWS Shield、Amazon Route 53、Route 53 Application Recovery Controller などのエッジロケーションから運用される AWS サービスを使用して、既知のインフラストラクチャレイヤーへの攻撃に対する包括的な可用性保護を構築できます。これらのサービスは、世界中に分散したエッジロケーションからあらゆるタイプのアプリケーショントラフィックを提供する際に、アプリケーションの DDoS 耐性を向上させることができます。オリジンのアプリケーションは AWS 上でもオンプレミスであっても、これらの AWS サービスを使用して不要なリクエストがオリジンサーバーに到達するのを防ぐことができます。ベストプラクティスとして、アプリケーションを AWS 上で実行することで、アプリケーションエンドポイントが DDoS 攻撃にさらされるリスクを軽減し、アプリケーションの可用性を保護して、正規ユーザーに対するアプリケーションのパフォーマンスを最適化できます。Amazon CloudFront (HTTP キャッシュ機能を含む)、AWS WAF、Shield Advanced による自動アプリケーションレイヤー保護を使用すると、アプリケーションレイヤーの DDoS 攻撃中に不要なリクエストがオリジンに到達するのを防ぐことができます。

AWS のお客様のための知識を活かす

AWS は、セキュリティ課題がお客様のビジネスに混乱をもたらすことを防ぐため、絶えず注意を払っています。AWS はサービスの設計方法だけでなく、エンジニアがサービスのあらゆる側面に対して深い責任感を持って積極的に取り組んでおり、そのことをお客様に共有することが重要だと考えています。インフラストラクチャとお客様のデータを守る取り組みの中で、お客様を自動的に保護する方法を常に模索しています。可能な限り、AWS セキュリティとそのシステムは、最も効果的な場所で脅威を阻止します。多くの場合、この作業は主に舞台裏で行われています。グローバル規模の脅威インテリジェンスとエンジニアリングの専門知識を組み合わせることで、悪意のある活動に対してサービスの耐性を高め、脅威を軽減するよう努めています。AWS は、Amazon CloudFront などのサービスで使用するプロトコルや、AWS WAF、AWS Shield、Amazon Route 53 Resolver DNS Firewall などの AWS セキュリティツールなど、サービスの効率性とセキュリティの向上に常に取り組んでいます。

さらに、AWS の取り組みは、AWS 自体の範囲をはるかに超えて、セキュリティ保護と改善を拡大しています。AWS はコンピュータ緊急対応チーム (CERT)、インターネットサービスプロバイダー (ISP)、ドメインレジストラ、または政府機関などの幅広いコミュニティと定期的に連携し、特定された脅威を阻止するのを支援しています。また、セキュリティコミュニティ、他のクラウドプロバイダー、コンテンツデリバリーネットワーク (CDN)、および世界中の協力企業と密接に連携して、脅威アクターを隔離して排除しています。例えば、2023 年第 1 四半期には、130 万件以上のボットネットによる DDoS 攻撃を阻止し、23 万件の L7/HTTP DDoS 攻撃の発信源を追跡して外部機関と協力して解体しました。私たちの緩和戦略の有効性は、脅威インテリジェンスを迅速に捕捉、分析、行動に移す能力に大きく依存しています。こうした取り組みを通じて、AWS は一般的な DDoS 攻撃から防御するだけでなく、保護の範囲は AWS の範囲を越えて拡大しています。この取り組みの詳細については、AWS 脅威インテリジェンスによる脅威アクターの阻止をお読みください。

このブログに関する質問がある場合は、AWS サポートにお問い合わせください。

AWS セキュリティに関するニュースにご興味がある場合は、X をフォローしてください。