tos-akibaのブログ

主に Microsoft 365 Security について

レイヤー7 DDoS 攻撃への Microsoft の対応

最近の DDoS 攻撃の急増について、MSRC からの情報です。
Microsoft Response to Layer 7 Distributed Denial of Service (DDoS) Attacks | MSRC Blog | Microsoft Security Response Center

 

2023年6月初旬から、Microsoft は、一部のサービスに対して一時的に可用性に影響を与えるトラフィックの急増を特定しました。
Microsoft はすぐに調査を開始し、Storm-1359 としている脅威アクターによる DDoS アクティビティの追跡を開始しました。

これらの攻撃は、レンタルされたクラウドインフラ、Open Proxy、DDoS ツールを組み合わせて、複数の仮想プライベートサーバー(VPS)へのアクセスに依存している可能性があります。

顧客データがアクセス、または侵害されたという証拠は確認されていません。

この最近の DDoS アクティビティは、レイヤー7、3 ではなくレイヤー4 を対象としていました。
Microsoft は、同様の DDoS 攻撃の影響からお客様をより適切に保護するために、Azure Web Application Firewall(WAF)の調整を含むレイヤー7 の保護を強化しました。
これらは中断を大きく軽減するのに効果的ですが、Microsoft は強化機能のパフォーマンスを一貫してレビューし、その有効性の調整と改善をしています。

お客様は、技術的な詳細と推奨アクションを確認し、環境のレジリエンス(回復性)を高め、同様の攻撃を軽減する必要があります。

技術的な詳細:

Microsoft は、Storm-1359 が、複数のクラウドサービスや Open Proxy インフラから DDoS 攻撃ができるボットネットやツールのコレクションにアクセスしていると評しました。
Storm-1359 は、混乱と宣伝に焦点を当てているようです。

Storm-1359 は、いくつかのタイプのレイヤー7 DDoS 攻撃トラフィックを開始することが確認されています。

・ HTTP(S) フラッド攻撃
 この攻撃は、SSL/TLS ハンドシェイクと HTTP(S) リクエスト処理の高負荷で、システムリソースを使い果たすことを目的としています。
この場合、攻撃者は、世界中に分散されているさまざまなソースIP から高負荷(数百万単位)の HTTP(S) 要求を送信します。
これにより、アプリケーション バックエンドのコンピューティングリソース(CPU とメモリ)が不足します。

・ キャッシュ バイパス
 この攻撃は CDN レイヤーをバイパスしようとし、オリジナルサーバーに過負荷をかける可能性があります。
この場合、攻撃者は生成された URL に対して一連のクエリを送信し、フロントエンドにキャッシュされたコンテンツからサービスを受けるのではなく、すべての陸セストをオリジナルへ転送するよう強制します。

・Slowloris
 この攻撃では、クライアントが Webサーバーへの接続を開き、リソース(画像など)を要求した後、ダウンロードの確認に失敗します(またはゆっくり受け入れます)。
これにより、Web サーバーは接続を開いたままになり、要求されたリソースをメモリ内に保持します。

 

推奨事項 ー レイヤー7 DDoS 保護のヒント

Microsoft では、レイヤー7 DDoS 攻撃の影響を軽減するため、次の緩和策をお勧めしています。

・ Web アプリケーションを保護するため、Azure Web Appliaction Firewall(WAF)(Azure Front Door、Azure Application Gatway で利用可能)などのレイヤー7 保護サービスを使用する。

Azure WAF を使用している場合:

・ボット保護マネージドルールセットを使用すると、既知の悪意あるボットに対する保護が提供される。
Azure Front Door で Web アプリケーション ファイアウォールのボット保護を構成する | Microsoft Learn

・悪意があると識別された IP アドレスと範囲はブロックする。
・定義された地域外、または特定の地域からのトラフィックはブロックするかレート制限するか静的な Webページへリダイレクトする。
Azure Front Door 用の Web アプリケーション ファイアウォールのカスタム規則 | Microsoft Learn

・カスタム WAF ルールを作成して、既知のシグネチャを持つ HTTP、HTTPS の攻撃を自動的にブロック、およびレート制限する。
Azure Front Door の Web アプリケーション ファイアウォールのレート制限 | Microsoft Learn