警察庁@police、宛先ポート80/TCPを利用したSYN/ACKリフレクター攻撃とみられる観測等について発表
- 2018/12/05 10:00
- SecurityInsight
警察庁@policeは12月3日、警察庁のインターネット定点観測システムにおいて、今年9月26日頃から、宛先ポート80/TCPに対するアクセスの増加を断続的に観測したと発表した。その概要は以下のとおり。
今回の観測はSYNパケットを短期間に多数検知したもので、それらSYNパケットの特徴は、ウェブサーバー等で使用される80/TCPを宛先ポートとし、発信元が特定の単一IPアドレスまたは同一ネットワーク内とみられる複数のIPアドレスとなっているものだった。これらはSYN Flood攻撃に関連した観測と考えられる。
9月26日の観測では、米国に割り当てられた特定の単一IPアドレス(23.225.x.x)を発信元とするSYNパケットを約6時間に渡って検知。11月5日の観測では、同一ネットワークに属するとみられる複数のIPアドレスを発信元とするSYNパケットを検知したが、センサー別に検知パケットを確認すると、その発信元は特定の単一IPアドレスとなっていた。
さらに、これらSYNパケットは応答型センサーでのみ検知していることが判明。このことから、当該SYNパケットの送信対象となった機器については、インターネット上で稼動するウェブサーバー等の機器(ポート80/TCPでサービスを提供している機器)を事前に探索することにより、特定されていたと考えられる。
なお、インターネット定点観測システムにおいて観測した同時間帯には、インターネット上の多数のウェブサーバー等に対しても、同様のSYNパケットが送信されていたことが判明している。
通常、ウェブサイト等を閲覧する場合、TCPプロトコルにおける「3ウェイ・ハンドシェイク」と呼ばれる手順により接続を確立してからデータの送受信を行なう。今回の観測では、「3ウェイ・ハンドシェイク」の仕組みを悪用し、何者かが送信元IPアドレスを偽装したSYNパケットを多数のインターネット上のウェブサーバー等の機器に対し送信していたとみられる。
SYNパケットを受け取ったウェブサーバー等の機器は踏み台となり、SYN/ACKパケットを偽装された送信元IPアドレスに送信することになる。これは、偽装された送信元IPアドレスを持つ機器や当該機器が属するネットワークのサービスが不能状態に陥ることを狙ったTCPプロトコルによるSYN/ACKリフレクター攻撃と考えられる。
警察庁では平成25年以降、DNS、NTP、SSDP、SNMPといったUDPプロトコルを悪用するDoS攻撃の一手法であるリフレクター攻撃やその踏み台として悪用可能なサーバー等の機器の探索行為と考えられるアクセスの増加を観測し、注意喚起を実施してきた。
今回観測したSYN/ACKリフレクター攻撃は、TCPプロトコルの再送回数の上限(OSや機器の設定により異なる)に制限されるため、UDPプロトコルによるリフレクター攻撃と比較すると、踏み台機器1台当たりの増幅効果は低いが、インターネット上で稼動している多数のウェブサーバー等を踏み台として、一斉に大量のパケットを送信することで、攻撃対象のサーバーやネットワークがサービス不能状態に陥る可能性がある。
なお、SYN/ACKリフレクター攻撃は攻撃対象だけではなく、当該攻撃の踏み台となったウェブサーバー等の機器についても、SYN Flood攻撃への対策が不十分であった場合、意図せずサービス不能状態に陥る可能性がある。そのため、ウェブサーバー等の管理者は以下の対策を実施することを推奨している。
・上位の通信事業者やサービスプロバイダが提供するDDoS攻撃対策サービスの利用を検討。
・SynFlood攻撃に対応したOSやネットワークIDS製品の導入を検討。
・ファイアウォール等によって不必要な外部からのアクセスを遮断。