大学では、DDoS(分散型サービス拒否)攻撃によるシステムの乗っ取りを防ぐためにシステムを精査することが推奨されている。
研究教育ネットワーク情報共有分析センター(REN-ISAC)は今週、システムが悪用されてDDoS攻撃を増幅されることを防ぐため、学術機関に対しDNS(ドメインネームシステム)とネットワーク構成を見直すよう勧告した。
「REN-ISACは、一般的なネットワークとドメインネームシステム(DNS)の設定が、一般に認められたベストプラクティスに満たず、放置すれば、あなたの組織が第三者に対する壊滅的なサービス拒否攻撃の無意識の共犯者として悪用される可能性につながることへの認識を高め、変革を推進したいと考えています」と、REN-ISACのテクニカルディレクターであるダグ・ピアソン氏は、水曜日に同組織のメンバーに送った警告の中で述べた。
REN-ISAC の会員には、米国、カナダ、オーストラリア、ニュージーランド、スウェーデンの 350 を超える大学、カレッジ、研究センターが含まれます。
ピアソン氏が言及する DDoS 攻撃は、DNS 増幅攻撃または DNS リフレクション攻撃として知られており、偽装された IP (インターネット プロトコル) アドレスを含む DNS クエリを、ネットワーク外部からのクエリを受け入れる再帰 DNS リゾルバに送信する攻撃です。
これらの偽装されたリクエストにより、クエリ対象の「オープン」DNS リゾルバから標的の IP アドレスにかなり大きな応答が送信され、不要なトラフィックが大量に発生します。
この攻撃手法は長年にわたって知られており、最近では Spamhaus と呼ばれるスパム対策組織に対して、ピーク時には 300Gbps を超える前例のない規模の DDoS 攻撃を仕掛けるために使用されました。
メリッサ・リオフリオ「現状を鑑みると、ほとんどの大学や組織は1Gbps以下の速度でインターネットに接続しています」とピアソン氏は述べた。「今回のインシデントでは、標的となったユーザーが機能不全に陥っただけでなく、攻撃の緩和に努めていたインターネットサービスプロバイダーやセキュリティサービスプロバイダーにも悪影響が及んだのです。」
「高等教育・研究コミュニティは、こうした攻撃を助長しないよう、自らの役割を果たす必要がある」とピアソン氏は述べた。
REN-ISAC は 2 つのバージョンの警告を発行しました。1 つは CIO 向けで、脅威に関するより一般的な情報が含まれています。もう 1 つは IT セキュリティ スタッフ、ネットワーク管理者、DNS 管理者向けで、問題を緩和する方法に関する技術的なアドバイスが含まれています。
推奨事項には、再帰 DNS リゾルバを組織のネットワークからのみアクセスできるように構成すること、外部ネットワークからクエリを実行する必要のある権威 DNS サーバに対してクエリ レート制限を適用すること、IETF の Best Current Practice (BCP) 38 ドキュメントで定義されているスプーフィング対策ネットワーク フィルタリング メソッドを実装することなどが含まれていました。
DDoS対策ベンダーArbor Networksのセキュリティエンジニアリング&レスポンスチームのシニアアナリスト、ローランド・ドビンズ氏は、「REN-ISACが会員にこの問題について通知し、啓発活動を行っていることは称賛に値する」と述べた。他の業界団体も同様の行動を取るべきだと同氏は述べた。
ドビンズ氏によると、学術機関は本質的にアクセスポリシーをオープンにする傾向があり、サーバーの不正利用を阻止できるほどのセキュリティ対策を必ずしも講じていないという。アーバーは、教育機関を含むあらゆる種類のネットワークで、DNSリフレクション攻撃の実行に利用されたオープンDNSリゾルバーを確認しているという。
しかし、DNSリフレクション攻撃は増幅攻撃の一種に過ぎないことを理解する必要があるとドビンズ氏は述べた。SNMP(簡易ネットワーク管理プロトコル)やNTP(ネットワークタイムプロトコル)といった他のプロトコルも同様の方法で悪用される可能性があると彼は述べた。
DNSサーバーのセキュリティ確保と適切な設定は重要ですが、BCP 38の実装はさらに重要だとドビンズ氏は述べています。インターネットに接続されたすべてのネットワークにスプーフィング対策を適用し、スプーフィングされたパケットがそれらのネットワークから発信されないようにする必要があります。「BCP 38の普遍的な適用に近づくほど、攻撃者があらゆる種類のDDoS増幅攻撃を仕掛けることが難しくなります。」
