GitHubに1.3テラバイトのDDoS攻撃、過去最大規模

水曜日の午後12時15分頃（米国東部標準時）、開発者プラットフォームGitHubに毎秒1.35テラビットのトラフィックが一斉に襲来しました。これは、これまでに記録された中で最も強力な分散型サービス拒否攻撃であり、ボットネットを必要とせず、ますます普及しているDDoS攻撃手法が使用されました。

デジタルシステムが状況を評価している間、GitHubは断続的な障害に見舞われました。10分以内に、GitHubはDDoS緩和サービスであるAkamai Prolexicに自動的に支援を要請しました。Prolexicは仲介役としてGitHubに出入りするすべてのトラフィックをルーティングし、データをスクラビングセンターに送ることで悪意のあるパケットを除去・ブロックしました。8分後、攻撃者は攻撃を止め、攻撃は停止しました。

今回の攻撃の規模は他に類を見ないものの、2016年末にインターネットインフラ企業Dynを襲った大規模なDDoS攻撃は、これに匹敵する規模だ。この攻撃は最大1.2テラビット/秒に達し、Dynが事態の収拾に奔走する中、全米で接続障害を引き起こした。

「私たちは、インターネット史上最大の攻撃の5倍を想定して容量をモデル化しました」と、Akamaiのウェブセキュリティ担当副社長、ジョシュ・ショール氏はGitHub攻撃終結の数時間後にWIREDに語った。「ですから、1.3Tbpsは処理できると確信していましたが、同時に、1.5テラビットものトラフィックが一度に流入したことはありませんでした。自信を持つことは重要ですが、実際に期待通りに動作するかは別問題です。」

画像には、プロット、電子機器、モニター、ディスプレイ、画面、自然、屋外、植生、植物が含まれる場合があります

Akamai は複数の方法でこの攻撃を防御しました。Prolexic の一般的な DDoS 防御インフラに加え、同社は最近、いわゆる memcached サーバーに起因する DDoS 攻撃の一種に対する特別な緩和策も実装しました。これらのデータベースキャッシュシステムはネットワークやウェブサイトの高速化に役立ちますが、パブリックインターネットに公開されることを意図したものではありません。誰でもクエリを実行でき、同様に誰にでも応答できます。現在、約 10 万台の memcached サーバーがオンライン上に公開されており、そのほとんどは企業やその他の機関が所有しています。これらのサーバーは認証保護なしでオンライン上に公開されているため、攻撃者はこれらのサーバーにアクセスして特別なコマンドパケットを送信することができ、サーバーはそれに対してはるかに大きな応答で応答します。

Dynやフランスの通信会社OVHに対するような大規模DDoS攻撃で用いられる正式なボットネット攻撃とは異なり、memcached DDoS攻撃ではマルウェアを駆使したボットネットは必要ありません。攻撃者は被害者のIPアドレスを偽装し、複数のmemcachedサーバーに小さなクエリ（サーバー1台あたり1秒あたり約10件）を送信するだけで、より大きなレスポンスを引き出すことができます。memcachedシステムは、リクエストの50倍のデータを被害者に返します。

増幅攻撃として知られるこのタイプのDDoS攻撃は、以前にも発生しています。しかし、インターネットサービスプロバイダーやインフラプロバイダーは、ここ1週間ほどでmemcachedを狙ったDDoS攻撃が増加していることに気づき、memcachedサーバーからのトラフィックをブロックする防御策を迅速に導入しました。

「memcachedを悪用することで可能になるような大規模なDDoS攻撃は、ネットワーク事業者にとって懸念事項です」と、DDoS攻撃およびネットワークセキュリティ企業Arbor Networksの主任エンジニアで、memcached攻撃の動向を追跡しているローランド・ドビンズ氏は語る。「攻撃の規模が大きければ、顧客のインターネットトラフィックを処理するネットワークの能力に悪影響を及ぼす可能性があります。」

インフラコミュニティも根本的な問題への対処に着手しており、無防備なmemcachedサーバーの所有者に対し、サーバーをインターネットから切断し、社内ネットワークのファイアウォールで安全に保護するよう要請しています。ProlexicなどのアクティブなDDoS攻撃対策を講じる団体は、疑わしい量のmemcachedトラフィックを検知すると即座にブロックするフィルターを既に追加済み、あるいは追加に向けて奔走しています。また、インターネットバックボーン企業がmemcached DDoS攻撃で使用された攻撃コマンドを特定できれば、その長さのmemcachedパケットをブロックすることで、悪意のあるトラフィックに先手を打つことができます。

「実際のコマンドをフィルタリングすることで、誰も攻撃を開始できないようにします」と、インターネットサービスプロバイダーのCenturyLinkのチーフセキュリティストラテジスト、デール・ドリュー氏は述べています。企業はこれらの防御策を迅速に構築する必要があります。「memcachedボックスを検索する個別のスキャナーが約300台確認されています。つまり、無防備なサーバーを探している攻撃者は少なくとも300人いるということです」とドリュー氏は付け加えています。

CenturyLinkがこれまでに経験したmemcached DDoS攻撃のほとんどは、40～50Gbps程度でしたが、業界では500Gbpsを超える大規模な攻撃が増えていることが認識されていました。月曜日、Prolexicはミュンヘンを標的とした200Gbpsのmemcached DDoS攻撃を防御しました。

水曜日の猛攻撃は、GitHubを標的とした大規模なDDoS攻撃が初めてではない。同プラットフォームは2015年3月にも6日間にわたる集中攻撃を受けており、おそらく中国政府が支援するハッカーによるものと思われる。この攻撃は2015年としては目覚ましいものだったが、DDoS攻撃の手法とプラットフォーム、特にIoT（モノのインターネット）を基盤としたボットネットは進化を続け、ピーク時にはその威力をますます強めている。しかし、攻撃者にとってmemcached DDoS攻撃の利点は、マルウェアを配布する必要がなく、ボットネットを維持する必要がないことだ。

ウェブ監視およびネットワークインテリジェンス企業のThousandEyesは、水曜日にGitHubへの攻撃を観測しました。「今回の緩和は成功しました。すべては15分から20分で発生しました」と、ThousandEyesの製品マーケティング担当副社長、アレックス・ヘンソーン＝イワネ氏は述べています。「統計を見れば、世界的に見てDDoS攻撃の検知だけでも一般的に1時間以上かかることがわかります。つまり、通常は人間が関与し、調査と調査に頭を悩ませているということです。すべてが20分以内に発生したということは、主にソフトウェアによって実行されていることがわかります。成功の兆しを見ることができて嬉しいです。」

GitHubは、状況が確実に解決されるよう、数時間にわたりトラフィックをProlexic経由でルーティングし続けました。AkamaiのShaul氏は、攻撃者がGitHubを標的にしたのは、単に知名度が高く、ダウンさせれば大きなインパクトを与えるサービスだからではないかと推測しています。また、身代金を要求することも狙っていた可能性があります。「この攻撃の持続時間はかなり短かったです」とShaul氏は言います。「何の影響もなかったので、彼らはもう時間をかける価値がないと判断したのでしょう。」

しかし、memcached サーバーがパブリックインターネットから削除されるまで、攻撃者はこの規模の DDoS 攻撃を再度試みる可能性が高いと思われます。

DDoS攻撃について