【詳細情報】7つの主要なインターネットサーバーがDDoS攻撃に屈す

◆概要：
　2002年10月21日月曜日午後4時45分（米国東海岸標準時）に、インターネットの全13ルートサーバーに対する分散型サービス拒否（DdoS）攻撃が行われた。

　米国政府の高官によると、およそ1時間継続された攻撃は、13のうち7つのサーバーで正当なネットワークトラフィックの応答を阻止することに成功し、他の2つのサーバーも攻撃中断続的にトラフィックが中断された。攻撃では、通常ルートサーバーに送信される量の30?40倍のトラフィックが送信された。重要なサーバーの管理を支援している関係者によると、あと1つのサーバーが停止していた場合には、インターネットの多様な部分に渡って電子メールとウェブブランジングが中断されたことになったであろうと予測している。

　インターネットは理論的に1つのルートサーバーで動作するものであるが、かなりの時間で4つのルートサーバーが動作しなくなるとそのパフォーマンスが遅くなる。ルートサーバーの内10のサーバーは米国にある。IPアドレスを電子メールやウェブアドレスを形成する文字による名前に変換するDNS（ドメイン名システム）は、サーバーの正しい機能に依存して世界中のコンピューターへのパスを示し、多様なインターネットドメインに到達する機能である。

　13のサーバーはA?Mと指定されており、12のサーバーの上に配置されているはAルートサーバーである。VeriSign社では、米国商務省とICANN（Internet Corporation for Assigned Numbers）から依頼を受けて同サーバーを管理している。VeriSignのサーバーは、12時間ごとに他の12のサーバーに対し、存在するインターネットのドメインとその場所を通知する重要なファイルを作成する。

　次のサーバーが含まれている。

・A VeriSign社、米国バージニア州
・B Information Sciences Institute、米国カリフォルニア州南カリフォルニア大学
・C PSINet、米国バージニア州
・D メリーランド大学、米国メリーランド州
・E NASA（米国航空宇宙局）、米国カリフォルニア州
・F インターネットソフトウェアコンソーシアム、米国カリフォルニア州
・G 米国国防省ネットワーク情報センター、米国バージニア州
・H 米国陸軍研究所、米国メリーランド州
・I Autonomica、スウェーデン・ストックホルム
・J VeriSign社、米国バージニア州
・K ヨーロッパRIPE NCC（Reseaux IP Europeens/Network Coordination Centre）、英国ロンドン
・L 未定、米国カリフォルニア州
・M WIDE Project、日本・東京

　この内、A、G、H、I、J、K、Mのサーバーが最も影響を受けた。

　このルートサーバーは、これまで大きな中断を2回経験している。2000年8月に13サーバーの内4つのサーバーが技術的な欠陥により停止した。又、1997年7月に、文字化けしたディレクトリーリストが7つのルートサーバーに送信され、エラーが4時間修正されなかったという事もあった。

◆情報ソース：
・Washington Post (http://www.washingtonpost.com/wp-dyn/articles/A828-2002Oct22.html) , Oct. 22, 2002
・Wired.com (http://www.wired.com/news/politics/0,1283,55957,00.html) , Oct. 22, 2002
・Matrix NetSystems Inc. (http://www.matrixnetsystems.com/ea/advisories/20021022_instant_alert.jsp) , Oct. 22, 2002
・BayArea.com (http://www.bayarea.com/mld/bayarea/business/technology/4344591.htm) , Oct. 22, 2002

◆キーワード：
　Incident: Distributed denial of service/DDoS Internet Corporation
for Assigned Names and Numbers/ICANN
　Reseaux IP Europeens Network Coordination Centre/RIPE NCC VeriSign Inc
　Internet: Other

◆分析：
　(iDEFENSE 米国) インターネットのコアに対するこの攻撃は、直接的なDDoS攻撃を緩和する方法が現在存在しないことを示している。ルートサーバーの重要性を考えると、攻撃はインターネット自体をダウンさせる、又はインターネットのインフラをダウンさせるという試みであるといえる。特に、通常受信するトラフィックの40倍のトラフィックをサーバーが受信したことを考えると、攻撃を仕掛けた攻撃者は、攻撃を仕掛けるための多大な帯域幅を持っていたはずである。

　攻撃方法としては、インターネット全体にわたる非常に大規模なトロイの木馬のホストネットワークが利用されており、高い帯域幅を持つ各ホストが攻撃を実施した。ただし今回の攻撃では、必ずしも未知の脆弱が露呈されたというわけではない。攻撃者は、侵入したホストに適切なパッチを使用していないという既知の脆弱や不適切なセキュリティ設定を悪用した可能性が高い。トロイの木馬アプリケーションの侵入を防御する最良の対処は、機関のインフラ全体のアプリケーションが最新バージョンにアップデートされており、最良なパッチが適用されることである。これには適宜な確認が必要となる。

◆検知方法：
　攻撃は、上記の7つのルートサーバーに対して実行された。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【02:34 GMT、10、23、2002】