CDNサービスのpullモードにDoS攻撃を受ける問題(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.01.21(土)

CDNサービスのpullモードにDoS攻撃を受ける問題(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月1日、コンテンツデリバリネットワーク(CDN)に対する攻撃手法として、Forwarding Loopを発生させDoS状態にする攻撃(Forwarding Loop 攻撃)が指摘されていると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは5.3。

CDNサービスでは、Webサイトの処理効率とスケーラビリティの向上のため、コンテンツへのアクセスリクエストを地理的に近いサーバに転送して処理する。CDNではコンテンツのアップロードにpushモードとpullモードの2種類の方法があるが、pullモード動作の設定によってはリクエストの転送を内部的にループさせることが可能であると指摘されている。

これにより攻撃者はリモートからCDNをDoS状態にできる可能性があり、結果としてCDN上のコンテンツにアクセスできなくなる可能性がある。JVNでは、CDN サービスを提供している事業者は、自身の提供する CDN が本脆弱性の影響を受けるかどうか、研究者の発表資料を確認するよう呼びかけている。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

    Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

  2. 「Apache HTTP Web Server」に情報漏えいやDoS攻撃の脆弱性(JVN)

    「Apache HTTP Web Server」に情報漏えいやDoS攻撃の脆弱性(JVN)

  3. Windows版「Wireshark」に任意のファイルが削除される脆弱性(JVN)

    Windows版「Wireshark」に任意のファイルが削除される脆弱性(JVN)

  4. 「魚拓」サイトに詐欺サイトを記録保管するケースを検知(BBソフトサービス)

  5. 支払いと拡散を選ばせるランサム、ドキシング、機械学習の犯罪利用など予測(Avast Software)

  6. 2016年十大ニュース、1位はIoTセキュリティ、番外編に「シン・ゴジラ」(JNSA)

  7. BIND 9.xにDNSサービスが停止する複数の脆弱性、緊急情報を公開(JPRS)

  8. 「Officeのプロダクトキーが不正コピーされた」とするフィッシングを確認(フィッシング対策協議会)

  9. 「PHPMailer」に任意のOSコマンドを実行される脆弱性、攻撃コード公開(JVN)

  10. 「SKYSEA Client View」に任意のコードが実行可能な脆弱性(JVN)

全カテゴリランキング

特集

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×