SCAN DISPATCH :Amazon EC2へDDoS攻撃、クラウドの弱点が浮き彫り | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.20(日)

SCAN DISPATCH :Amazon EC2へDDoS攻撃、クラウドの弱点が浮き彫り

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 クラウド・コンピューティングの普及と同時に、その脆弱性や弱点が指摘されているが、Amazon EC2(Amazon Elastic Compute Cloud)をホスティングに使っているbitbucket.orgが、17時間近くもダウンするという事件があった。事件自体はたいしたものではないが、クラウド・コンピューティングの弱点を浮き彫りにしている。

 bitbucketはオープンソースのコード・ホスティング・サービスで、「データベース、ログファイルからユーザデータまでの全て」(bitbucket.orgのJesper Nohr氏)をAmazon Elastic Block Store (Amazon EBS)に保管している。

 bitbucketが、サーバの負荷が異常に高いことに気がついたのは、10月3日の夕方。EBS volumeのiostatが高く、tps(transaction per second)が低いことが分かり、bitbucketはvolumeのリマウントを行い、xfs_checkを行い、instanceとvolumeを、us-east-1b から us-east-1a と us-east-1cに移したが、異常は解決しなかった。

 bitbucketはすぐにこの異常をAmazonのサポートシステムに報告するが、なんと最初の7時間は、「異常は存在しない」「EBSは分散型ネットワーク・リソースだから、パフォーマンスは変化する」「RAID 0を使って複数のEBSにディストリビュートすると良い」といったアドバイスしかもらえなかった。Nohr氏はそのブログで、「非常に不満だった。なぜなら、(1)自分でできることが何もなかった、(2)「万事OKだ、問題ない」という答えしかもらなかった」と書いている。bitbucket側とEBS間のコネクションに必要なリソースでさえきちんと作動していないため、bitbucket側としては、対岸の自分の家の火事を見ているようなものだからだ。

 bitbucketがダウンした、と、顧客の多くがTwitterでぼやく一方、Amazonと高額のサポート契約を結んでいるbitbucketの顧客らが直接Amazonにメールを出したこともあってか、Amazon側では事態の重要性にやっと気がついたようだ。8時間後にbitbucketは、Amazonから問題が生じていることを認識する旨の連絡を受け取り、11時間後、Amazonでは事態を非常に重く受け止め、専門家のチームを投入して解決に努めると、Amazonの重役級の人から連絡を受けてたという。

 そして15時間後、問題はEC2とEBS間のネットワークに存在するということがわかり、Amazon側では問題を解決し、bitbucketは17時間後に再びアプリケーションを作動させることができた。

 bitbucketがダウンしたEC2とEBS間のネットワークの問題とは、スプーフィングされたDDoSでだったということが分かっているが、この攻撃が浮き彫りにしたクラウドの弱点はいろいろある。

 まず、Amazon側が、アップストリームでUDPトラフィックをブロックするという解決方法を実施するのに17時間もかかっていること。自分(bitbucket)のリソースを管理する(Amazonの)エンジニアと即座に直接連絡がとれれば、この遅延はなかっただろう。インターネットからのトラフィックが、内部リソースであるはずのストレージをダウンさせることができることは、Amazonのインフラの構造に問題があるとしか言えない。

 顧客としてはAmazon EC2の構造は単なるBlackBoxでしかなく、Nohr氏も「AmazonのCloudWatchサービスを買うことによって初めて、ネットワークの問題であるということが分かった」と書いているように、サービスをアップグレードしなければ問題の診断を行えないのも、問題点の一つと言えよう。

 この事件に対する意見の多くは「クラウドだからといってダウンしないと考えてはいけない」というのが結論のようだ。

 さて、10月4日に入ってからbitbucketは、今度はTCP SYNFLOOD攻撃を受けてまたダウン。Amazonは即座にこれに対応して全ては順調のようにみえたが、Register誌によると、1時間半にわたって、今度はAmazonのエッジ・ルーターが攻撃を受けて、bitbucketの顧客の多くが、サービスが使えなかった。

 bitbucketは、この事件の最中に他のクラウド・サービスからの営業攻勢をいくつも受けたらしい。それを受けてブログのコメントに「もしかしたら営業をかけてきた競合他社がDDoSを行った?」とあったが、さて、真相はいかに。

【執筆:米国 笠原利香】

【関連リンク】
bitbucket blog
http://blog.bitbucket.org/2009/10/04/on-our-extended-downtime-amazon-and-whats-coming/
Register
http://www.theregister.co.uk/2009/10/05/amazon_bitbucket_outage/
Bitbucket DDoS Q&A
http://news.ycombinator.com/item?id=859058
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  2. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  3. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. ソフトバンクが 1 億ドル出資し Cybereason の筆頭株主に ~ セキュリティのユニコーン誕生(The Register)

  9. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  10. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×