HTTP/2ネットワークプロトコルの脆弱性が現在悪用され、史上最大規模のDDoS攻撃が発生しています。セキュリティチームが今すべきこと、そしてCloudflareのCEOがこのDDoS攻撃について語る内容をご覧ください。
Google、AWS、Cloudflareは、HTTP/2 Rapid Reset(CVE-2023-44487として追跡)と呼ばれるゼロデイ脆弱性の悪用を報告しました。この脆弱性は現在、これまでに確認された中で最も大規模な分散型サービス拒否攻撃キャンペーンに悪用されています。インターネットにHTTP/2を提供するサーバーを使用しているすべての組織および個人が、この脆弱性の影響を受けます。
ジャンプ先:
- HTTP/2 とは何ですか?
- HTTP/2 Rapid Reset 攻撃とは何ですか?
- 前例のない規模のDDoS
- 業界横断的な対応調整
- HTTP/2 DDoS攻撃の脅威を軽減する方法
1セムペリス
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
小規模(従業員50~249名)、中規模(従業員250~999名)、大規模(従業員1,000~4,999名)、エンタープライズ(従業員5,000名以上) 小規模、中規模、大規模、エンタープライズ
特徴
高度な攻撃検出、高度な自動化、どこからでも復旧など
2 ManageEngine Log360
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
小規模企業(従業員数0~49名)、小規模企業(従業員数50~249名)、中規模企業(従業員数250~999名)、大規模企業(従業員数1,000~4,999名)、エンタープライズ企業(従業員数5,000名以上) 小規模企業、小規模企業、中規模企業、大規模企業、エンタープライズ企業
特徴
アクティビティ監視、ブラックリスト、ダッシュボードなど
3グレイログ
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
中規模企業(従業員数250~999名)、大規模企業(従業員数1,000~4,999名)、エンタープライズ企業(従業員数5,000名以上) 中規模企業、大規模企業、エンタープライズ企業
特徴
アクティビティモニタリング、ダッシュボード、通知
HTTP/2 とは何ですか?
HTTP/2(HTTP/2.0とも呼ばれる)は、コンピューターとウェブサーバー間のデータ転送に使用されるHTTPネットワークプロトコルのメジャーリビジョンです。HTTP/2は、ウェブアプリケーションの高速化、効率化、セキュリティ向上を目的として開発されました。
HTTP/1.1との根本的な違いは、多重化機能にあります。HTTP/1.1では、並列通信には複数の接続が必要であり、非効率性とレイテンシの増加につながっていました。HTTP/2では、単一のTCP接続で複数のリクエストとレスポンスを並列に送受信できます。
HTTP/2 Rapid Reset 攻撃とは何ですか?
HTTP/2 Rapid Reset 攻撃は、HTTP/2 のストリームキャンセル機能を利用して実行されます。攻撃者はリクエストを送信し、すぐにキャンセルします。
送信/キャンセルのプロセスを大規模に自動化すると DDoS 攻撃につながりますが、これは攻撃者が複数のボットを使用して実行したものです (図 A )。
図A
前例のない規模のDDoS
Amazonは8月下旬の2日間で12件以上のHTTP/2 Rapid Reset攻撃を観測し、軽減しました。最も激しい攻撃は、1秒あたり1億5,500万リクエストを記録し、同社のインフラを襲いました。Cloudflareは、ピーク時の攻撃が1秒あたり2億100万リクエストに達したと報告し、1,000万RPSを超える攻撃を1,100件以上軽減しました。また、7,100万RPSというこれまでのDDoS攻撃記録を上回る攻撃が184件ありました。
Googleは、HTTP/2 Rapid Reset技術を用いて最大3億9,800万RPS(図B)の攻撃を報告しました。GoogleはこのDDoS攻撃に関するブログ記事で、「規模の理解のために言っておくと、この2分間の攻撃で生成されたリクエスト数は、2023年9月全体でWikipediaが報告した記事閲覧数の合計を上回っています」と述べています。
図B
CloudflareのCEO兼共同創設者であるマシュー・プリンス氏に、このような攻撃を仕掛けるために必要なボットの数について尋ねたところ、同氏は次のように答えました。「ボットネット内のノード数は1万~2万程度で、比較的少ない数です。しかし、数十万、あるいは数百万のノードを持つボットネットが現在では一般的であるため、これは懸念すべきことです。そして、この攻撃はボットネット内のノード数に比例して拡大するはずです。Webの推定トラフィック量(1秒あたり10~30億リクエスト)を超える規模の攻撃を、単一の標的に絞り込むことも可能です。これは、適切な対策を講じなければ、たとえ最大規模の組織であっても対処できないでしょう。」
Cloudflareの別のブログ投稿によると、「この攻撃はHTTP/2プロトコルの根本的な脆弱性を悪用するため、HTTP/2を実装しているすべてのベンダーが攻撃の対象となると考えられます。これにはすべての最新ウェブサーバーが含まれます。」
業界横断的な対応調整
Googleは、HTTP/2プロトコルスタックを実装する他のクラウドプロバイダーやソフトウェアメンテナーと連携し、業界横断的な対応策を策定しました。この連携により、攻撃の進行中にリアルタイムで情報共有と緩和策を実施することが可能になりました。
そこからパッチやその他の緩和策が生まれました。Googleのブログ投稿には、「この連携により、多数の一般的なオープンソースおよび商用プロキシ、アプリケーションサーバー、ロードバランサーにおける新たな攻撃手法と潜在的な脆弱性について、本日、協調的かつ責任ある情報開示を行う道が開かれました。」と記されています。
HTTP/2 DDoS攻撃の脅威を軽減する方法
CVE-2023-44487 に対するベンダーパッチは既に公開されており、できるだけ早く適用する必要があります。また、Terraform ビルドやイメージなどの自動化ツールすべてにパッチが適用されていることを確認することをお勧めします。これにより、誤って古いバージョンの Web サーバーが安全なバージョンではなく本番環境にデプロイされることがなくなります。
最後の手段としてHTTP/2を無効にするという選択肢もありますが、優れたWebパフォーマンスを求める企業にとっては、これは賢明な選択ではないかもしれません。プリンス氏は次のように述べています。「Webパフォーマンスを重視する組織にとって、HTTP/2はHTTP/1.1よりも依然として大きなメリットがあります。消費者が期待するレスポンシブでアプリライクなWeb(アプリ)の多くは、HTTP/2またはHTTP/3を必要としています。この攻撃ベクトルを軽減しつつ、最新のWebプロトコルのメリットを享受することは可能です。したがって、ほとんどの企業にとって、HTTP/2の無効化は最後の手段にとどめるべきでしょう。」
こちらもご覧ください
- ベライゾン2023年DBIR:DDoS攻撃が主流、プリテキスティングがBECの成長を促進
- DDoSの脅威と防御:特定の想定がどのように攻撃につながるか
- クイック用語集: サイバーセキュリティ攻撃への対応と軽減
- サイバーセキュリティ:さらに必読の記事
