クラウドサービス等の課金システムを悪用、「EDoS 攻撃」とは

　株式会社Flatt Securityは10月31日、EDoS（Economic Denial of Sustainability）攻撃について、同社ブログで解説を行っている。

　EDoS（Economic Denial of Sustainability）攻撃とは、AWSやGCP、Azureのようなサービスインフラとして活用され、リソースの利用に対し従量課金の料金方式を取るクラウドサービスの仕組みを悪用し、意図的にリソースを大量利用することでクラウドサービス利用者に金銭的負担をかけさせるもので、2022年6月には、NHK厚生文化事業団が運営する寄付サイトへの偽計業務妨害事案で決済代行サービスの利用手数料として50万円の経済的負担をかけられた例もある。

　同ブログでは、 Amazon S3 、AWS Lambda、Amazon Cognito User Poolを課金額計算の例として挙げ、サービスの課金体系や各種Quotasの復習、どのような時にEDoSが発生しうるかを解説している。

　また同ブログではEDoSに対し、Amazon S3 、AWS Lambda、Amazon Cognito User Poolそれぞれ固有の対策を解説するとともに、どのようなサービスでも対応できる普遍的な対策として「請求に関する通知」「料金項目に関連する値のモニタリング」「実行時間の制限」「実行台数の制限」「サイズの制限」「回数の制限」「自動化対策」を挙げ、それぞれ解説している。