ブログ

L7 DDoS 攻撃から Microsoft アプリを保護する

ジェイ・ケリー サムネイル
ジェイ・ケリー
2023年6月29日公開

最近、私たちの多くは、組織や個人が個人的に、または仕事で毎日使用しているコア アプリケーションの一部にアクセスする際に困難を経験しました。 6 月初旬には、 Microsoft Outlook.com Web ポータル、 OneDrive 、そして最後にMicrosoft Azure ポータルへのアクセスに、多くのユーザーが次々と問題を抱えるようになりました。

重要な Microsoft アプリケーションにアクセスできないのは、設定ミスが原因かもしれないと推測する人もいました。 サイバー攻撃だった可能性があるという意見もあった。 Microsoft は、重要なアプリケーションへのトラフィック レートの増加を管理し、バランスをとっていると発表しました。 

その後、6 月 16 日金曜日に、Microsoft セキュリティ レスポンス センター (MSRC) が「レイヤー 7 分散型サービス拒否 (DDoS) 攻撃に対する Microsoft の対応」と題したブログを投稿し、6 月 7 日から 6 月 9 日まで続いた Microsoft アプリケーションの停止の根本原因について概説しました。

ブログでは、マイクロソフトがレイヤー 7 (L7) DDoS 攻撃の被害に遭い、他の出版物で Outlook.com、OneDrive、Microsoft Azure Portal として特定されているサービスに一時的にアクセスできなくなったことを確認しました

ブログ投稿では、マイクロソフトは「一部のサービスに対するトラフィックの急増が一時的に可用性に影響を与えたことを確認した」と述べている。 また、マイクロソフトは「直ちに調査を開始し、進行中のDDoS活動の追跡を開始した」とも述べている。 MSRC のブログでは、この攻撃はマイクロソフトが追跡し、Storm-1359 (別名 Anonymous Sudan) として特定した脅威アクターによって実行されたと説明している。 ブログでは、マイクロソフトは顧客データにアクセスされたり侵害されたりした証拠は見つからなかったと強調した。 DDoS 攻撃は、攻撃者 Storm-1359 (別名: ) を混乱させ、注目を集め、宣伝することを目的としていました。 匿名スーダン。

多くの DDoS 攻撃は OSI (Open Systems Interconnection) モデルのレイヤー 3 (ネットワーク層) またはレイヤー 4 (トランスポート層) をターゲットとしますが、L7 (アプリケーション層) DDoS 攻撃はまったく別のものです。 L7 DDoS 攻撃は複雑で、隠れて、正当な Web アプリケーション トラフィックと区別がつかない傾向があるため、L3 または L4 DDoS 攻撃よりも検出がはるかに困難です。 攻撃はアプリケーション サーバーの特定のコンポーネントをターゲットにし、過負荷になってトラフィックに応答できなくなるまでリクエストを集中的に送りつけます。 これらの攻撃は変形も行い、攻撃は頻繁に、そして何度もランダムに変化します。 

マイクロソフトによると、同社のサービスに対する L7 DDoS 攻撃では「ボットネットとツールの集合」が活用され、攻撃者は仮想プライベート サーバー、クラウド環境、オープン プロキシ、購入または取得した DDoS ツールを利用して、複数のクラウド サービスと「オープン プロキシ インフラストラクチャ」から攻撃を開始できたという。

Storm-1359 (別名 Anonymous Sudan) は、Microsoft に対して 3 つの異なるタイプの L7 DDoS 攻撃を実行しました。

  • HTTP(S) フラッド攻撃は、さまざまな地域や送信元 IP アドレスにわたるさまざまなデバイスからの SSL/TLS ハンドシェイクや HTTP(S) リクエストを含む大量のリクエストによって、CPU やメモリなどのシステム リソースが過負荷になり、アプリケーション サーバーがリクエストの処理を停止する攻撃です。
  • キャッシュ バイパスは、攻撃者によって作成および生成された URL に対してリクエストを開始することでコンテンツ配信ネットワーク (CDN) を回避し、アプリケーションにすべてのリクエストをオリジン サーバーに転送するように指示します。
  • Slowloris は単一のシステムを利用して Web サーバー接続を開始し、リソース要求の受け入れを承認しないか、受け入れを遅らせることで、接続を強制的に開いたままにします。

マイクロソフトはブログ投稿で、「Azure Web アプリケーション ファイアウォール (WAF) の調整を含め、DDoS 攻撃から顧客をより適切に保護するためにレイヤー 7 の保護を強化した」と述べています。

Microsoft は、L7 (アプリケーション層) DDoS 攻撃に対する保護をさらに強化するために、次のようないくつかの推奨事項を顧客に提示しました。

  • Azure WAF または他の L7 サービスを使用して Web アプリを保護する
  • Azure WAF または他のサービスでボット保護を使用して悪意のあるボットから防御する
  • 悪意のあるIPアドレスと範囲を特定し、ブロックする
  • 定義された地理的領域外または特定された領域内からのトラフィックをブロック、レート制限を設定、またはリダイレクトする
  • 既知の攻撃シグネチャを活用してカスタムWAFポリシーを作成し、悪意のあるHTTP(S)トラフィックを自動的にブロックまたはレート制限する

F5 Web アプリおよび API セキュリティ (WAAP) は、すでに多くの Microsoft ユーザーと顧客が、複雑で検出が困難な L7 DDoS 攻撃から Web アプリケーションを保護するのに役立っています。 F5 WAAP は、F5 WAF エンジンとその定評ある検出および監視機能に基づいて構築されており、使い慣れた操作が可能です。 F5 WAAP は、必要なあらゆる配信モデル (ハードウェア、SaaS、Microsoft Azure 上の仮想エディションとしてのソフトウェア) とあらゆる組み合わせで利用可能であり、アプリがホストされている場所であればどこにでも導入でき、連携して L7 DDoS 攻撃からの包括的な保護を実現します。

また、世界最大手の銀行、小売業者、航空会社を防御する、F5 の SaaS ベースのボット緩和および防御ソリューションである、受賞歴のあるF5 Distributed Cloud Bot Defenseもご利用いただけます。 Distributed Cloud Bot Defense は、自動化を明らかにするデバイスと動作信号の比類のない分析に基づいて、悪意のあるボットから保護します。
 

F5 WAAP および DDoS 保護ソリューションとボット防御の詳細については、以下をご覧ください。