お問い合わせ
営業担当者とチャット
Akamai は、このやり取りの内容を記録いたします。詳細は、当社のプライバシー保護方針をお読みください。やり取りを進める場合、個人データの記録や使用に同意したものとみなします。
Akamai は、このやり取りの内容を記録いたします。詳細は、当社のプライバシー保護方針をお読みください。やり取りを進める場合、個人データの記録や使用に同意したものとみなします。
著者:Wilber Mejia
2015 年第 3 四半期末頃から、Akamai SIRT はマルチキャスト・ドメイン・ネーム・システム(mDNS)対応デバイスを使用した DDoS 攻撃をいくつか目にするようになりました。2015 年 3 月には、mDNS がリフレクション/アンプリフィケーション DDoS 攻撃のベクトルとして使用される可能性があることも発表されました。
このアドバイザリでは、mDNS リフレクション攻撃ベクトルの概念、手法、およびその緩和方法について詳述します。この攻撃ベクトルは、ポート 5353 を使用してインターネット経由で mDNS による名前解決が可能なソースデバイスを利用することで発生します。
2016 年 10 月現在、Akamai は、ゲーム、ソフトウェア、テクノロジー業界を標的とした 7 件の mDNS DDoS 攻撃を検出し、緩和することに成功しています。実際の攻撃の特性を観察した結果、現時点では、この攻撃が今後も存続し続けるかどうかは疑わしいと考えられます。
mDNS 攻撃ベクトルが初めて認識されたのは 2015 年 9 月であり、それ以来、散発的に発生しています。下記のタイムラインが示すとおり、最初の攻撃から次の攻撃まで約 5 か月の間隔がありました。これは、攻撃スクリプトの初期テストを実施していたためと考えられます。この攻撃ベクトルが継続的に使用されるようになったのは、2016 年の 3 月下旬から 4 月上旬にかけてのことです。ただし、mDNS を単一のベクトルとして使用した攻撃は、現時点では他のリフレクションベクトルほど強力なものではありません。
次のセクションでは、2016 年に発生した攻撃を 1 つ取り上げます。これまでに緩和した 7 件の攻撃は、いずれも異なるターゲットを標的とするものでした。
mDNS 攻撃イベントが最後に発生したのは 2016 年 10 月 27 日です。この攻撃はマルチベクトル DDoS 攻撃(SYN フラッド、UDP フラッド、UDP フラグメント、DNS フラッド、mDNS フラッド)で、ピークは 41 Gbps でした。
マルチキャスト DNS(mDNS)は、2013 年に RFC6762 としてリリースされた標準プロトコル案です。小規模ネットワークに最適なこのプロトコルにより、ユーザーの操作を一切またはほとんど必要とすることなく、デバイスやサービスを迅速に検出できるようになります。mDNS はゼロ・コンフィギュレーション・ネットワーキング(zeroconf)にも適したコンポーネントです。mDNS の構造は通常の DNS パケットとほとんど共通しており、それが DDoS 攻撃ベクトルとして使用されるようになった理由だと考えられます。
このプロトコルは、デバイスを接続するだけですぐに使用できるようシンプルに設計されているため、いくつかのリスクが伴います。ローカルネットワーク外からのクエリーへの応答を許可してしまう脆弱性(VU#550620)が Chad Seaman 氏によって発見されました。この応答により、関連デバイスの情報(ソフトウェアやサービスなど)およびその他の機密情報(ホスト名、社内ネットワーク設定、モデル番号など)が公開されてしまう危険性があります。これらの情報により、悪意のある攻撃者は、インターネット接続インタフェース経由でユニキャストクエリーに応答する任意の mDNS ホストを使用して、分散型サービス妨害(DDoS)リフレクション/アンプリフィケーション攻撃を行うことが可能になります。脆弱性に関する詳細については、こちらをご覧ください。
同様の概念を用いて、悪意のある攻撃者が作成した mDNS 攻撃スクリプトは、mDNS デバイスから応答を引き出すための専用のユニキャストクエリーを送信します。RFC6763 で定義されたこのサービス列挙クエリーにより、ネットワーク上に公開されたあらゆるサービスタイプが返されます。次の図が示すとおり、攻撃スクリプトは 46 バイトのペイロードクエリーを生成し、"_services._dns-sd._udp.local" のDNS クエリーを脆弱なホストに送信します。これにより、すべての既知のサービスがリクエスト側デバイスに返されます。公開サービスに対して異なる応答サイズで個別にクエリーを送信することも可能なため、さらなる攻撃機会が発生します。しかし、この方法を用いて、DDoS 攻撃で追加の応答ペイロードを簡単に悪用するには、より高度な攻撃ツールが必要になります。
これまでの DDoS 攻撃で観察された mDNS 応答ペイロードのサイズは限定的です。最大のものは 428 バイトのデータであり、これは単一の NTP monlist データ応答パケットより 12 バイト少ない値となっています。ただし、観察した mDNS の一般的な応答サイズはおよそ 100 ~ 200 バイトの範囲内となっています。つまり、リクエストペイロードが 46 バイト、ペイロード応答が 200 バイトであることを考えると、このベクトルの応答の最大増幅率は約 4.35 倍ということになります。
mDNS 用に作成された攻撃スクリプトは、UDP リフレクション/アンプリフィケーション攻撃で利用されている各種スクリプトに修正を加えたものです。利用方法も他のスクリプトと類似しています。標的 IP、標的ポート、インターネット上の mDNS デバイス一覧、スレッド、パケット・スロットル・レート、そして攻撃の実行時間を入力するだけです。これらを入力すると、スクリプトが標的 IP を偽装し、tcpdump を通じて悪意のある 46 バイトのクエリー(次の図を参照)を送信します。
当社ラボでのテストでは、mDNS リスナーを搭載した Linux サーバーセットアップにクエリーを送信しました。基本的な応答を次の図に示します。
2016 年 11 月 4 日に The Shadowserver Foundation が実施した mDNS(5353/UDP)スキャンでは、526,245 の固有の IP が mDNS クエリーに応答しました。次の表は、mDNS でアクセス可能な上位 20 の国と ASN を示しています(最新のスキャンに基づく)。
このプロトコルは、ローカルネットワーク内での使用を念頭に設計されています。そのため、いかなる理由があっても、mDNS デバイスをインターネット上で公開すべきではありません。必要な場合は、すべての着信クエリーをフィルタリングして、既知のソースのみを許可することを推奨します。さらに、Snort などの IDS を使用してこれらのクエリーを検出し、デバイスが DDoS 攻撃に利用されるのを緩和できます。Snort 検出ルールのサンプルを以下に示します。
mDNS 攻撃ベクトルの使用頻度は、現時点では限られています。SSDP と同様、このベクトルが利用される可能性が最も高いのは、家庭用ネットワーク内のデバイスにおいてです。初期の攻撃は限られた被害しかもたらしていませんが、当社の緩和プラットフォームでは、mDNS ポート 5353 のスキャンが日常的に観察されています。列挙されるデバイスの数が増えれば、より大規模な攻撃が発生する可能性もあります。SSDP と同様、このプロトコルは広く知られているため、ISP が家庭用ユーザー向けにこのポートのフィルタリングを導入すれば、mDNS は DDoS 攻撃ベクトルとしては生き残らないと考えられます。しかし残念ながら、SSDP はその誕生から数年が経過した現在でも日常的に利用されており、相当の DDoS 攻撃が可能となっています。そのため、有効なプロアクティブフィルタリングが適用される前に、mDNS 攻撃がより強力になる可能性も残されています。
