クラウドセキュリティとは | Page 2 of 4 | CDNJブログ

blog-ddos-attack-countermeasures-using-gre

クラウドセキュリティ

GREを利用したDDoS攻撃緩和の仕組み

現在のDDoS攻撃対策とは DDoS攻撃(分散型サービス妨害攻撃)などの外部からのサイバー攻撃に対抗するために、既存のITサービス設備には、攻撃の影響範囲を最小化するためのさまざまな対策が組まれています。その中でも主要な対策方法として、以下のようなものがあります。 ■ 主なDDoS攻撃対策とその弱点 1. アプライアンスによるDDoS攻撃対策 2. ISP型のDDoS攻撃対策 3. CDNを利用したクラウド型のDDoS攻撃対策しかしながら、各対策にも弱点があります。例えば、下記のようなものです。 1. アプライアンスによるDDoS攻撃対策数十Gbpsや百Gbps級のアプライアンスの許容量を超えるような大規模攻撃発生時には、対応が困難になったり、導入および運用コストが非常に高額になります。 2. ISP型のDDoS攻撃対策運用に関する人的コストは前述のアプライアンスよりは低額ですが、従量課金プランなど契約中のISP回線の状況やDDoS攻撃の規模などで、継続的な運用コストが膨らみがちです。参照：https://www.ntt.com/business/services/network/global-ip-network/gin/transit/ddos.html 3. CDNを利用したクラウド型DDoS攻撃対策前述のアプライアンスやISP型の弱点をカバーできるお勧めのDDoS攻撃対策です。しかしながら、この対策にも弱点はあります。CDNサービスを利用していない場合やオンプレミス利用中の場合には、その対応には限界があるという点です。そこで今回紹介したいのがGRE（Generic Routing Encapsulation）を利用したDDoS攻撃を防御する仕組みです。参考情報：CDNetworksのクラウド型DDoS攻撃対策サービス「フラッド・シールド」サービスについてはこちら

2019年3月27日

CDN/Webパフォーマンス

CDNの利用はDDoS対策の役に立つ！？

増え続けるDDoS対策サービスへのニーズ日々、再販パートナーさまやお客さまと接していて感じるのは、日本市場も年々セキュリティサービスのニーズが増えているということです。いわゆるお堅い業界はもちろんのこと、意外な業界から引き合いをいただくこともあります。ただ、「CDNを利用すればDDoS対策は万全なのでは？」というお言葉をいただくことも多く、その誤解を解かなければならないこともしばしばです。そこで今回は、CDN とDDoS攻撃の関係性について簡単に説明したいと思います。 DDoS攻撃とは？では、DDoS攻撃とはどのようなもので、どのように作用するのかをまず説明しましょう。DDoS攻撃とは、ネットワークレイヤ（レイヤ3/4）またはアプリケーションレイヤ（レイヤ7）に対するサイバー攻撃です。それぞれ手法は異なりますがWebサイトの表示を妨害して不利益をもたらすのが目的である点は同じです。 ●帯域幅圧迫攻撃（レイヤ3/4）通常では賄えない大量のトラフィックで回線を圧迫させてWebサイトの表示を妨害する攻撃です。代表的なものは「リフレクション攻撃」や「UDPフラッド攻撃」があります。 ●セッション浪費攻撃（レイヤ3/4）大量のパケットをサーバに送りつけた上で、サーバからの応答を無視することでサーバのリソースを枯渇させる攻撃です。代表的なものは「TCPフラッド攻撃」や「コネクションフラッド攻撃」があります。 ●アプリケーション攻撃（レイヤ７）大量のHTTPリクエストを投げつけることでサーバの処理能力を圧迫する攻撃です。代表的なものは「HTTP GET フラッド攻撃」や「HTTP POST フラッド攻撃」があります。 CDNはDDoS対策の役にたつのか？さて、ここまでDDoS攻撃の種類を紹介しましたが、これらの攻撃を防ぐ上でCDNは有効なのでしょうか？それぞれのタイプ別で考察してみましょう。 ●帯域幅圧迫攻撃（レイヤ3/4） CDNは大量のトラフィックでも安定配信するためのサービスです。当然ながら太い回線を複数持つことで可用性を維持していますが、結論から言うとDDoS攻撃を完全に防ぐためには「不十分」です。CDNはあくまで共用サービスであることを忘れてはいけません。もちろん回線キャパシティの範囲内であったり、他のお客さまに迷惑をかけていない状況であれば問題はありません。しかし他のお客さまの配信に影響をおよぼすレベルになれば、CDNベンダーとしては対処が必要です。場合によっては、サービス除外の措置もありえるでしょう。 ●セッション浪費攻撃（レイヤ3/4） CDNは大量のトラフィックでも安定配信するためのサービスです。当然ながら高性能なHTTPサーバを大量に分散配置させていますが、結論から言うとこの場合も「不十分」です。これも上記と同様に共用サービスである点を意識しなくてはいけません。CDNのサーバがこれに耐えられるレベルなら問題ありませんが、他のお客さまに影響をおよぼすレベルになれば対処が必要です。 ●アプリケーション攻撃（レイヤ７）結論から言うとこの場合が最も「不十分」です。大量のHTTP GETフラッド攻撃を受けても、CDNでキャッシュしていれば問題ありません。しかし、この場合は課金トラフィックとみなされるために想定外の請求が発生する可能性があります。また、キャッシュされていない、またはキャッシュすべきでないコンテンツのリクエストの場合はどうでしょうか。この場合は、CDNで処理することができないためにお客さまのWebサーバにリクエストが届いてしまいます。

2019年3月12日

blog-risk-management-measures-against-ddos

CDN/Webパフォーマンス

DDoS 攻撃に対するリスクマネージメント対策

ITサービスにおいてリスクマネージメントとは、いつ・どこでも発生しうるリスクへのあらゆる対応戦略を検討し準備することです。ヒューマンエラーのように内部要因により発生する事象であれば、システムやプロセスを改善することでそのリスクを減らせますが、DDoS攻撃(分散型攻撃)のように全く予測できず外部要因(サイバー攻撃)によるものに対しては、その対応にも限界があります。しかしながら、ここで諦めるわけにはいきません。準備をすることで影響範囲を最小化することができるからです。本ブログでは、明日にでも影響を受けるかもしれないDDoS攻撃に対して、どう準備し対応すべきかについて解説します。戦略0 : 現状を把握するまず対応戦略を検討する前に、自らの組織の状態を把握することから始めます。DDoS攻撃は、攻撃者と防御者のインフラおよびアプリケーションの可用性の戦いとも言えます。つまり、自分たちが処理できる範囲を超える攻撃であれば障害となり、範囲を超えなければ通常処理されてそれほどの影響は受けません。現状把握のチェック方法は、まず会社ネットワークを含めたネットワーク全体のシステム構成図を参照します。バックボーンネットワークからエンドユーザにサービスを提供するサーバまでどのくらいのトラフィックを処理できるのかについて、主にDNS、HTTP/HTTPSなどのサービスを基準にして、例えばL3/L4ネットワーク全体のバックボーンで処理できる容量(例:10Gbps)とL7で処理できるリクエスト数 (例: DNSの場合200K QPS、HTTP/HTTPSの場合100K RPS)などの数値を把握することで、今後の具体的な対応戦略を検討し、被害範囲を算出するのに役に立ちます。戦略 1 : ある程度の攻撃に耐えられるサーバ容量の準備メディアには数百Gbps、1Tbpsの大規模なDDoS攻撃に対する記事が多く出回っていますが、実際は300Mbps ~ 5Gbpsなど小規模の攻撃が大半を占めています。もちろん大規模な攻撃を処理できる体制を準備できればよいのですが、そのためにはたくさんの投資が必要であり、予算と攻撃発生の可能性を考慮しつつ現実的な容量を見極めることが大切です。では、どの程度の容量を準備すべきなのでしょうか？正解は「ない」とも言えますが、一般的にイベント時などの急激なトラフィック増加を考慮して2倍程度の容量を準備している場合には、DDoS攻撃に対してはそれよりも2~3倍、つまり通常時の4~6倍の容量を準備するといいでしょう。これにより頻発する小規模の攻撃にはある程度耐えることができるようになります。戦略 2 : インフラを分散する

2018年9月20日

クラウドセキュリティ

WAF導入はなぜ必要なのか？

過去1年間に情報漏洩事故を経験した企業の担当者によると、そのうちの42%が外部からのサイバー攻撃によるセキュリティ事故であり、その中で最も多かったのは、SQLインジェクションやXSS（クロスサイト・スクリプティング）などのWebアプリケーションに対する攻撃でした。(参照: Forrester Analytics Global Business Technographics® Security Survey, 2017) どれだけ開発者が完璧なsecure codingを作成し、知られている脆弱性に対し安全だとしても、未だ公開されていないゼロデイ攻撃（未知の攻撃）が存在する限り安心はできないでしょう。今回はWebサービスを運用するにあたって、なぜWAFの導入ならびに運用が必要なのかについて解説します。セキュリティ・コンプライアンスを守るために PCI-DSS(Payment Card Industry Data Security Standard)は、カード決済サービスを提供していなくとも、インターネット・ビジネスを展開する企業にとって取得すべき標準的なセキュリティ認証として広く受け入れられており、多くの企業がこの認証を取得するよう努めています。また、取得していない企業も、これを参考にしてセキュリティ標準プロセスを作成し運用しています。ご存知の通りCDNetworksは、提供中の主要CDNサービスに対して、８年連続でPCI-DSS認証を取得し、セキュリティ強度の高いサービス提供を維持しています。 WAFは、特にPCI-DSSが導入を推奨していることから、昨今導入する企業が急増している注目のセキュリティ対策です。PCI-DSSの 6.2項では、下記のとおりWAFの導入について規定しています。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝（日本語）下記の通り、Webベースの攻撃を自動的に検知・ブロックする技術的ソリューション（Webアプリケーションファイアウォールなど）の導入 –

2018年7月24日

イベントレポート

ボット攻撃の被害事例～Interop Tokyo 2018 講演ダイジェスト【その３】

CDNetworks講演「迫りくる新たなWebセキュリティ脅威に備えるために今すべきこととは？～効果的なDDoS対策と高度化するボット攻撃対策など、CDNで実現できる次世代型防衛対策の最前線」本記事は、2018年６月15日（金）に開催されたInterop Tokyo2018での、CDNetworks講演内容のダイジェストを全3回にわたってお届けいたします。是非ご一読ください。第1回　CDNとDDoS　>>こちら第2回　ボット攻撃対策　>>こちら第3回（本記事）また、各記事の末尾に講演資料のダウンロードリンクを設置しています。あわせてご利用ください。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝前回の記事では、高度化する新しいボット攻撃による被害例とその防御手法について紹介しました。今回は、新種のボットによる攻撃被害をCDNetworksの「クラウド・セキュリティ・ボットマネージャ」サービスの導入で解決されたお客様の事例をご紹介します。導入事例／Case study（某エアライン会社）とある海外エアラインのお客様の一例をご紹介します。・キャンペーン時に特定のユーザによるいたずら予約で座席が押さえられてしまい、常に満席で一般のお客様が予約できない・無駄な価格検索アクセス多数でサーバ負荷が増え、サイトが遅くなるという課題を抱えていました。 IPをブロックするなど従来のソリューションを活用してある程度は対処できていましたが、日々高度化し増加するボットからのアクセスにとうとう対処しきれなくなり、困っていました。（クリックで拡大）そこで、これに対処するために、CDNetworksの「クラウド・セキュリティ・ボットマネージャ」が導入されました。（クリックで拡大）

2018年7月17日

イベントレポート

ボット攻撃対策～Interop Tokyo 2018 講演ダイジェスト【その２】

2018年7月12日

イベントレポート

CDNとDDoS対策～Interop Tokyo 2018 講演ダイジェスト【その１】

CDNetworks講演「迫りくる新たなWebセキュリティ脅威に備えるために今すべきこととは？～効果的なDDoS対策と高度化するボット攻撃対策など、CDNで実現できる次世代型防衛対策の最前線」本記事は、2018年６月15日（金）に開催されたInterop Tokyo2018での、CDNetworks講演内容のダイジェストを全3回にわたってお届けいたします。是非ご一読ください。第1回（本記事）第2回第3回また、各記事の末尾に講演資料のダウンロードリンクを設置しています。あわせてご利用ください。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝当日は会期最終日ということもあり、多くのお客様にご聴講を頂き、おかげさまで大盛況となりました。あいにくの天候の中、ご来場頂いた皆様には御礼申し上げます。誠にありがとうございました。講演では、直近に起きた攻撃ケースやお客様の実例を交え、CDNを活用したWebパフォーマンスとセキュリティ対策の両立と最新の攻撃動向についてテクニカルコンサルタントの中原よりご紹介させていただきました。企業のセキュリティ対策は、端末のファイアウォールやアンチウィルス、不正アクセス検知のIPS/IDSなどは約６～７割の企業様ですでに導入されていますが、WebサーバをターゲットとしたDDoSやWAF対策は、まだ２～３割程度の導入率と言われています。（クリックで拡大）しかしながら近年は、Webサーバに向けたサイバー攻撃が深刻化してきており、改ざんや個人情報の搾取が頻発していることからも、悪意のあるアクセスを除去してサーバの負荷を軽減できるDDoSやWAFといったセキュリティ対策の有用性が再認識されてきています。セッションでは、CDN事業者としての視点から、Webパフォーマンスとセキュリティ対策を組み合わせて利用できるCDNのメリットをはじめ、最近増えてきている悪性の自動ボットからのアクセス対策についても解説させていただきました。 CDNとセキュリティ対策

2018年7月10日

クラウドセキュリティ

Memcachedの脆弱性を利用した数百Gbps 規模のDDoS攻撃が発生！いよいよ大規模攻撃に構えるべき時が来た

2018年2月末、新しいタイプのDDoS 攻撃が話題になっています。日本を含め全世界にmemcachedプログラムの脆弱性を利用した分散反射攻撃が大量発生しているためです。JPCERTは緊急告知(http://www.jpcert.or.jp/at/2018/at180009.html)として各システム/ネットワーク管理者へ向けて、現在使用しているセキュリティ設定を点検・見直すことを推奨しています。 memcachedは分散メモリキャッシュシステムで、RAMにデータおよびオブジェクトをキャッシュしデータベースおよび APIで読み込む回数を減らすことができるソリューションです。またこれは無料のオープンソース・ソフトウェアのため、たくさんのIT企業で使用されています。しかし基本設定のみで使用する場合は致命的な脆弱性を持つためDDoS攻撃に悪用されがちで注意が必要です。本ブログではこのmeｍcachedの脆弱性とその対策について解説します。ｍeｍcachedの脆弱性まずmemcachedは11211/TCPおよびUDPポートを使用します。ここで問題なのは、 memcachedは基本的にTCPのみを使用するためUDPを有効にする必要がないにも関わらず、有効になっていたがために攻撃に悪用されている点です。 memcached側では2018年2月27日、緊急でUDPが削除された新しいバージョンをリリースしています。参考：https://github.com/memcached/memcached/wiki/ReleaseNotes156 実際にCDNetworksでは次のような異常リクエストがモニタリングされました。もちろんリクエストされるIPは結果的にDDoS攻撃のターゲットとなるIPで偽造されたIPです。 09:53:50.073981 IP 185.148.145.63.56176 > 14.0.x.x.11211: UDP, length 65 09:53:50.077249 IP 183.90.250.80.32698 > 14.0.x.x.11211:

2018年3月1日

CDN/Webパフォーマンス

ネットワーク最適化Forum2018 講演ダイジェスト～いま流行りの動的コンテンツのキャッシュをやってみた

＜ネットワーク最適化Forum2018＞「CDNを活用したワンランク上のITインフラ運用術～進化するハイブリッドクラウド環境におけるCDNの役割を活用事例を交えて紐解く」本記事は、2018年1月30日（水）に開催されたイベントでのCDNetworksの講演において、当日は時間の都合で一部お伝えできなかった点についてまとめましたので、是非ご一読ください。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ ”キャッシュ”と言えば静的コンテンツに対する技術であることはよく知られていますが、”動的コンテンツをキャッシュする”という技術はご存知でしょうか？最近ではこれを売りにしているCDNプロバイダも出てきているため、少しずつその認知度は上がってきています。この新しい技術において特徴的なのは「インスタントパージ（コンテンツ即時削除）」と言われる、新たな書き込みがあった場合のみ古いコンテンツを強制削除するという方法です。 CDNetowrksでは、この動的コンテンツをキャッシュするための技術として、インスタントパージとは違ったアプローチでこの問題に対処した事例を本日はご紹介させていただきます。某家電メーカ様の実例 – 課題：Webサーバの負荷を軽減し、自社設備の効率化を図りたい ”開発者向けのフォーラムがあるのですが、そこそこ自社Webサーバの負荷が高いため、既に画像や諸々変化のないコンテンツエレメントはCDNにキャッシュしていました。しかしながら、書き込みの更新がある以上、キャッシュができない文字データが中心であるため、なかなか負荷を下げることができません。”と言ったお悩みがございました。 ”さらにフォーラム部分だけはPHPアプリケーションのパッケージとなっており、データベースも絡んでいるため、自社Webサーバからは簡単に動かせず、アプリケーション的にもかなり重く、またフォーラムは誰かが更新しない限り動きのないページなのに性質上キャッシュもできない上に、開発者向けのためにアクセスだけはとても多いのです。”というお悩みでした。折しもCDNを使い始めたばかりで、出来るだけ自社設備は縮小していきたいと検討されていた矢先でもあり、どうすればいいか？と担当者さまは頭を抱えていました。

2018年2月14日

クラウドセキュリティ

ボットとはの基礎知識3 ～企業がとるべきボット対策のススメ

第1回では、「ボットとは」と題してボットの最新動向について触れました。（記事はこちら）、第2回では、「ボットへの対抗策」と題してこれまでのボット対抗技について触れました。（記事はこちら）、最終回の本稿では、最新ボットへの対抗技術、そして今後企業が取るべきボット対策について紹介します。最新のボット対抗技術既存のWAFは、すべてのリクエストを個別リクエストと認識し、リクエストに特定の文字列があるかどうかのシグニチャチェックをするのが一般的です。そのため、定義されたシグニチャがなかったり、これを迂回する攻撃に対しては防御できないという欠点がありました。一方で、クラウド型WAFはこのようなシグニチャ以外にも既存の接続パターンや評判 (IPレピュテーション)および接続するクライアント・ブラウザのパターンなどクラウドが持つビックデータの長所を最大限に活かして収集・分析した情報を総合的に解釈してこれに対応するため、知能化された攻撃にでも先制対応できる特徴があります。またブラウザに保存されるcookieのようにブラウザごとに独特なFingerprintを利用してクライアントを認識するため、1つの公認IPを共有するNAT環境でも私設IPアドレスのみ認識してブロックすることができます。 – JavaScriptチャレンジ/JS Challenge 大抵のボットは、目的を素早く遂行することを優先するため、ブラウザ上で動くcookieやJavaScriptなどの複雑で重たい機能は実行しません。このような特徴を利用してWebサーバがレスポンスする際に、WAFでは「3+5=?」のような簡単な計算をするJavaScriptを挿入してレスポンスをし、正常ブラウザはJavaScriptを実行してその結果を次のリクエストの際にcookieにて自動的に返します。しかし、ボットはJavaScriptを実行しないためレスポンスすることはありません。 JSチャレンジでパスできなかったクライアントは、悪性ボットと判断されて、それ以降の接続はブロックされます。実際にこの機能はHTTP Get フラッドのようなDDoS 攻撃を防御する際にも使われており、誤検知のない安定した技術として知られています。この機能だけでも80%を超えるボットを検知してブロックすることができます。これを迂回できる進化型ボット(advanced bot)は、次に紹介するデバイス・フィンガープリント・チャレンジ（DFC)とヒューマン・インタラクション・チャレンジ（HIC) 技術で対応することができます。 – デバイス・フィンガープリント・チャレンジ／DFC ブラウザやプラグインなど一般的なユーザのクライアント環境はそれぞれ異なりますが、ボットが頻繁に変わることはなく、特にボットネットを形成した場合、各ボットには共通した特徴がある点を利用して正常ブラウザとボットを区分する技術があります。つまり、Webサーバに接続するブラウザ別にWAFで認識できる複数の値を組み合わせて、それぞれを区分する “デバイス・フィンガープリント”値を生成し、これを利用してフィンガープリント値と比較して対応する技術です。これもJavascriptを利用しています。 Fingerprintは、ブラウザから得る約40のパラメータ項目を組み合わせて ( http://browserspy.dk/

2017年12月6日