Spamhausに対するDNSリフレクション攻撃について概要と対策を発表(日本IBM)

2013年4月1日(月) 18時03分
このエントリーをはてなブックマークに追加
DNSリフレクション攻撃の画像
DNSリフレクション攻撃
ripe.netのDNSリクエストに関するTokyo SOC検知状況の画像
ripe.netのDNSリクエストに関するTokyo SOC検知状況
日本アイ・ビー・エム株式会社(日本IBM)は3月29日、非営利のスパム対策組織であるSpamhaus Projectのサーバに対するDDoS攻撃が3月19日に発生したことについて、攻撃の概要とTokyo SOCでの検知状況、対策について発表した。この攻撃にはDNSのオープンリゾルバを利用したDNSリフレクション攻撃(DNS Reflection、DNS Amplificationとも言われる)が行われたと、攻撃に対応した米国のCloudFlare社は同社のブログで発表している。

東京SOCにおいては、3月15日から18日にかけて「ripe.net」の名前解決に関するDNS通信を検知している。今回のDDoS攻撃にはオープンリゾルバが利用されたといわれており、問題解決のために「Open Resolver Project」が設立され、WebサイトよりオープンリゾルバとなっているDNSサーバが検索可能となっている。この機会に、管理しているDNSサーバが設定ミスなどでオープンリゾルバとなっていないか確認することを推奨している。また、一般的に自組織でDNSサーバを運営する場合に攻撃に加担しないようにするための注意点として、以下を挙げている。

・キャッシュDNSサーバと権威DNSサーバは分ける
・キャッシュDNSサーバに対するアクセス制限を行い、外部からの問い合わせには応答しないようにする
・権威DNSサーバの反復検索機能は無効とする
・権威DNSサーバのRequest Rate Limiting(RRL)機能の適用を検討する

また、組織内から偽装した送信元IPアドレスで外部へのアクセスができないようにするため、ファイアウォール製品等の送信元偽装制御の設定を行うほか、自組織がこのようなDDoS攻撃のターゲットになっても適切な対応が取れるよう、自組織内での対応だけでなく契約しているISPとの連携方法まで含めた対応手順の確認・見直しや、攻撃を想定した訓練の実施などを今一度検討するよう推奨している。
《吉澤 亨史》

注目ニュース

icon
巧妙なSQLインジェクション攻撃も確認--東京SOCレポート(日本IBM)

日本IBMは、「2012年下半期 東京SOC情報分析レポート」を発表した。レポートでは同半期の動向として3つのトピックを挙げている。

icon

日本IBMは、東京SOCにおいて中国からの攻撃の増加を9月13日頃から確認していると発表した。

icon
Java 7の脆弱性を悪用する攻撃を検知、今後も増加する可能性(日本IBM)

日本IBMは、JREおよびJDK 1.7の脆弱性(CVE-2012-4681)を悪用する攻撃を東京SOCにおいて確認したとして、注意喚起を発表した。

icon
標的型攻撃は日本の就業時間帯に合わせて実施--東京SOCレポート(日本IBM)

日本IBMは、「2012年上半期 東京SOC情報分析レポート」を発表した。標的型メール攻撃については、今期は前半期と比べて検知数が約2倍となった。

icon

日本IBMは、マイクロソフトが6月13日に公開したセキュリティ アドバイザリ「XMLコアサービスの脆弱性により、リモートでコードが実行される(2719615)」を悪用する攻撃を東京SOCにおいて確認したと発表した。

RSS

特集・連載

ピックアップフォト