Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ある日突然あなたが管理しているサーバーにDDoSが来たらどうなるでしょう?知ってるようで何も知...

akase244
December 22, 2024

ある日突然あなたが管理しているサーバーにDDoSが来たらどうなるでしょう?知ってるようで何も知らなかったDDoS攻撃と対策 #phpcon.2024

PHPカンファレンス2024で発表したスライドです。

akase244

December 22, 2024
Tweet

More Decks by akase244

Other Decks in Programming

Transcript

  1. @akase244 December 22, 2024. PHP Conference Japan 2024 <?php var_dump(

    (new Me(‘akase244’)) ->WebApplicationEngineer() ->InfrastructureEngineer() );
  2. December 22, 2024. PHP Conference Japan 2024 • DoS /

    DDoS攻撃とは • DDoS攻撃についての記事を紹介 • サイバー犯罪のビジネス化 • DDoS攻撃のターニングポイント • DDoS攻撃の目的 • DDoS攻撃の手法とOSI参照モデルの関係性 • DDoS攻撃の対策 Agenda
  3. December 22, 2024. PHP Conference Japan 2024 • 「DDoS攻撃を代行で請け負う海外サービス業者 」を利用

    • 代行業者が提供する「月額1,000円程度のプラン 」を契約 • 「セキュリティの弱そうな中小企業 」を狙った • 東京都内の出版社のwebサイトを約1時間半ダウンさせた • 「ストレス発散だった 」と容疑を認めている DDoS攻撃についての記事(2024年8月)
  4. DDoS攻撃についての記事(2024年12月) December 22, 2024. PHP Conference Japan 2024 引用元: 「日テレNEWS

    NNN」 https://news.ntv.co.jp/category/society/9fc7c9694a1f40b78f5fc3b1072644d2
  5. December 22, 2024. PHP Conference Japan 2024 • 中学生2人が書類送検や児童相談所へ通告 •

    1人の中学生は通っていた学校に関連するサイトや一般企業 のサイトを攻撃 した • もう1人の中学生はウェブサービスを使って政府機関や一般企 業のサイトを攻撃 した • 「DDoS攻撃」でサイトがダウンすれば面白いなどと考えて犯 行に及んだ DDoS攻撃についての記事(2024年12月)
  6. December 22, 2024. PHP Conference Japan 2024 • 誰でも(専門知識が必要ない) •

    安価に(サブスク並の料金) • 安易な考えで (ストレス発散といった理由) DDoS攻撃が可能な状態 私達が開発・運用しているwebサイトは
  7. December 22, 2024. PHP Conference Japan 2024 • DDoS as

    a Service(DDoS攻撃) • Ransomware as a Service(ランサムウェア攻撃) • Phishing as a Service(フィッシング攻撃) • Access as a Service(アクセス権獲得) 犯罪組織が提供する as a Service
  8. Mirai(2016年) マルウェアを使った史上最大規模のDDoS攻撃 エストニア(2007年) 政府機関、金融機関、メディアを標的とした大規 模なDDoS攻撃 SQL Slammer(2003年) Microsoft SQL Server

    2000 の脆弱性 Code Red(2001年) Microsoft IIS の脆弱性 Mafiaboy(2000年) 大学のネットワークに侵入して、学内のサーバー からDDoS攻撃を行った Melissa(1999年) MS Office文書のマクロ機能を使って感染 Morris worm(1988年) 世界初(諸説あり)のインターネットワーム 分散型サイバー攻撃の歴史 December 22, 2024. PHP Conference Japan 2024
  9. Mirai(2016年) マルウェアを使った史上最大規模のDDoS攻撃 エストニア(2007年) 政府機関、金融機関、メディアを標的とした大規 模なDDoS攻撃 SQL Slammer(2003年) Microsoft SQL Server

    2000 の脆弱性 Code Red(2001年) Microsoft IIS の脆弱性 Mafiaboy(2000年) 大学のネットワークに侵入して、学内のサーバー からDDoS攻撃を行った Melissa(1999年) MS Office文書のマクロ機能を使って感染 Morris worm(1988年) 世界初(諸説あり)のインターネットワーム 分散型サイバー攻撃の歴史 December 22, 2024. PHP Conference Japan 2024
  10. December 22, 2024. PHP Conference Japan 2024 • 当時、21歳のParas Jhaと20歳のJosiah

    Whiteが作成 • マルウェアを使った史上最大規模の DDoS攻撃 • 脆弱なIoT機器でボットネット を構築 • 膨大な数の IPアドレスからの攻撃 • Miraiを使ってDDoS攻撃を行い、彼らの会社で提供している DDoS緩和サービスを売り込んでいた Mirai(2016年)
  11. December 22, 2024. PHP Conference Japan 2024 • Miraiのソースコード公開によりMiraiの亜種が登場 •

    ボットネット構築のための標的がLinuxサーバー、 IoT機器だけでなく、携帯電話なども対象へ • Miraiの設定代行サービスを販売している業者が存在 • DDoS攻撃の代行サービス(DDoS as a Service)は10年程 前から存在しているが、低価格化が進んでいる • DDoS攻撃は年々増加傾向にある 現在(Mirai登場以降)
  12. December 22, 2024. PHP Conference Japan 2024 • 脅迫行為(身代金を要求) •

    競合企業による営業妨害 • 国家間のサイバー攻撃 • 抗議活動(ハクティビズム、社会・政治問題など) • 嫌がらせ(怨恨、愉快犯など) DDoS攻撃を行う目的
  13. アプリケーション層(第7層) HTTP Flood、Slow HTTP Attack プレゼンテーション層(第6層) セッション層(第5層) トランスポート層(第4層) SYN/FIN/ACK Flood、UDP

    Flood ネットワーク層(第3層) Ping Flood、SMURF攻撃 データリンク層(第2層) 物理層(第1層) OSI参照モデルとDDoS攻撃の例 December 22, 2024. PHP Conference Japan 2024
  14. December 22, 2024. PHP Conference Japan 2024 • Yahoo!ニュースなどの大手メディア掲載による影響 •

    テレビで放送された影響 • 会員数が多いメルマガの配信後のアクセス • 大規模イベントのチケット販売によるアクセス • あけおめLINE • 災害発生時の緊急情報へのアクセス • 金ロー見ながら日本中で唱える滅びの言葉 これはDDoS攻撃でしょうか?
  15. December 22, 2024. PHP Conference Japan 2024 XXX.XXX.XXX.1 - -

    [22/Dec/2024:14:55:00 +0000] "GET / HTTP/1.1" 200 35 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36" とあるwebサーバーのアクセスログ
  16. December 22, 2024. PHP Conference Japan 2024 XXX.XXX.XXX.1 - -

    [22/Dec/2024:14:55:00 +0000] "GET / HTTP/1.1" 200 35 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36" XXX.XXX.XXX.2 - - [22/Dec/2024:14:55:00 +0000] "GET / HTTP/1.1" 200 35 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36" XXX.XXX.XXX.3 - - [22/Dec/2024:14:55:00 +0000] "GET / HTTP/1.1" 200 35 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36" ・ ・ ・ ・ 同じ時間帯に秒間1万リクエストが来ていた ・ ・ ・ ・ XXX.XXX.XXX.252 - - [22/Dec/2024:14:55:00 +0000] "GET / HTTP/1.1" 200 35 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36" XXX.XXX.XXX.253 - - [22/Dec/2024:14:55:00 +0000] "GET / HTTP/1.1" 200 35 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36" XXX.XXX.XXX.254 - - [22/Dec/2024:14:55:00 +0000] "GET / HTTP/1.1" 200 35 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36" とあるwebサーバーのアクセスログ
  17. December 22, 2024. PHP Conference Japan 2024 • 平常時のリクエスト数を把握することで、大量リクエスト発生時 に異常か否かの判断材料とすることができる

    • コインチェック社の例(2020年6月) ◦ https://internet.watch.impress.co.jp/docs/event/12961 89.html ◦ SREチームがモニタリングを日頃から行っていたおかげで「ド メイン名ハイジャック」の早期発見に繋がった ①モニタリング
  18. December 22, 2024. PHP Conference Japan 2024 • 地道な対策だが効果は期待できる •

    ただし、膨大な数のIPアドレスを相手に手作業で対応していた ら間に合わない • DDoS攻撃の対策としては厳しそう 攻撃が来てから1件ずつ対応すると。。。
  19. December 22, 2024. PHP Conference Japan 2024 • 国外展開しているwebサービスの場合は、一般のユーザーが 利用できなくなってしまう

    • 国内のIPアドレスを保持するボットネットが増加傾向にあるた め、国外のIPを拒否しても効果が薄い可能性がある 国外のIPアドレスを全拒否してみたら?
  20. December 22, 2024. PHP Conference Japan 2024 • EDoS攻撃とは、クラウドサービスの利用者に金銭的な負担を かけさせるサイバー攻撃

    • クラウドのオートスケーリング機能が有効な場合、DDoS攻撃 を受けきってしまう可能性がある • これにより高額な利用料金を請求されてしまう • サービス利用料金のアラート設定をあわせて行う EDoS(Economic Denial of Sustainability)攻撃
  21. December 22, 2024. PHP Conference Japan 2024 • CDN(Content Delivery

    Network) ◦ 第3層、第4層の攻撃対策 ◦ 第7層に対応しているものもあり • WAF(Web Application Firewall) ◦ 第7層の攻撃対策 ⑤リバースプロキシを配置する
  22. December 22, 2024. PHP Conference Japan 2024 リバースプロキシの配置例 引用元: 「Cloudflare」

    https://www.cloudflare.com/ja-jp/learning/cdn/glossary/reverse-proxy/ クライアント
  23. December 22, 2024. PHP Conference Japan 2024 リバースプロキシの配置例 引用元: 「Cloudflare」

    https://www.cloudflare.com/ja-jp/learning/cdn/glossary/reverse-proxy/ インターネット
  24. December 22, 2024. PHP Conference Japan 2024 リバースプロキシの配置例 引用元: 「Cloudflare」

    https://www.cloudflare.com/ja-jp/learning/cdn/glossary/reverse-proxy/ リバースプロキシ
  25. December 22, 2024. PHP Conference Japan 2024 リバースプロキシの配置例 引用元: 「Cloudflare」

    https://www.cloudflare.com/ja-jp/learning/cdn/glossary/reverse-proxy/ クラウド事業者の回線
  26. December 22, 2024. PHP Conference Japan 2024 リバースプロキシの配置例 引用元: 「Cloudflare」

    https://www.cloudflare.com/ja-jp/learning/cdn/glossary/reverse-proxy/ オリジンサーバー
  27. December 22, 2024. PHP Conference Japan 2024 リバースプロキシの配置例 引用元: 「Cloudflare」

    https://www.cloudflare.com/ja-jp/learning/cdn/glossary/reverse-proxy/ オリジンサーバー はこの位置
  28. December 22, 2024. PHP Conference Japan 2024 リバースプロキシの配置例 引用元: 「Cloudflare」

    https://www.cloudflare.com/ja-jp/learning/cdn/glossary/reverse-proxy/ リバースプロキシは この位置
  29. December 22, 2024. PHP Conference Japan 2024 どこで防御すべきか? 引用元: 「Cloudflare」

    https://www.cloudflare.com/ja-jp/learning/cdn/glossary/reverse-proxy/ ここよりも
  30. December 22, 2024. PHP Conference Japan 2024 どこで防御すべきか? 引用元: 「Cloudflare」

    https://www.cloudflare.com/ja-jp/learning/cdn/glossary/reverse-proxy/ ここが良い
  31. December 22, 2024. PHP Conference Japan 2024 どこで防御すべきか? 引用元: 「Cloudflare」

    https://www.cloudflare.com/ja-jp/learning/cdn/glossary/reverse-proxy/ ここよりも
  32. December 22, 2024. PHP Conference Japan 2024 どこで防御すべきか? 引用元: 「Cloudflare」

    https://www.cloudflare.com/ja-jp/learning/cdn/glossary/reverse-proxy/ ここが良い
  33. December 22, 2024. PHP Conference Japan 2024 ⑥クラウド事業者が提供するDDoS攻撃対策を契約 引用元: https://www.iij.ad.jp/biz/ddos/

    引用元: https://www.ntt.com/business/services/network/internet-connec t/ocn-business/security/ddos.html 引用元: https://biz.kddi.com/service/ddos/
  34. サービス名 防御対象 料金 AWS Shield Advanced 第3、4、7層 3,000ドル/月 別途データ転送使用料金あり Google

    Cloud Armor Enterprise 第3、4、7層 3,000ドル/月 別途データ転送使用料金あり Azure DDoS Protection 第3、4、7層 2,944ドル/月 3大クラウドが提供するサブスクリプション型のDDoS対策 December 22, 2024. PHP Conference Japan 2024
  35. December 22, 2024. PHP Conference Japan 2024 • 各種ソフトウェアは最新版を利用する ◦

    Code Red、SQL Slammerは脆弱性パッチを適用していな かったので発生した • セキュアコーディングを徹底する ◦ SQLインジェクション ◦ CSRF ◦ XSS などの対策 • セキュリティ対策ソフトを利用する ⑦セキュリティリスクを軽減する
  36. December 22, 2024. PHP Conference Japan 2024 • DDoS攻撃が来た際にトラフィック制限されるだけでなく、クラウ ド事業者によっては、払い出されているIPアドレスが一発で

    BANされることもある • DDoS攻撃が来た際にどのような措置が取られるのかをクラウ ド事業者に事前に確認しておく クラウド事業者によっては。。。
  37. • サイバー犯罪のビジネス化による影響でDDoS攻撃が身近に • DDoS攻撃は年々増加傾向 • DDoS攻撃を完璧に止める方法はない • DDoS攻撃を緩和するためには様々な手法あり • 攻撃手法は進化している

    • DDoS攻撃対策はコストが掛かる • ビジネスにどのような影響があるのかを考慮して対策を検討する December 22, 2024. PHP Conference Japan 2024 まとめ
  38. • DDoS 攻撃への対策について ◦ https://www.npa.go.jp/bureau/cyber/koho/caution/caution20230501.html • IoT機器を悪用した史上最大DDoS攻撃「Mirai」とは? 日本でも感染確認 ◦ https://news.mynavi.jp/techplus/article/20161006-a195/

    • DoS攻撃・DDoS攻撃とは?意味と対策方法をわかりやすく解説 ◦ https://www.shadan-kun.com/waf_websecurity/dos_ddos_attack/ • さらに巧妙化する「DDoS攻撃」についておさらいしよう ◦ https://ascii.jp/elem/000/004/152/4152492/ • DDoS攻撃とは?被害リスクや今すぐやるべき4つの対策を解説 ◦ https://www.lanscope.jp/blogs/cyber_attack_pfs_blog/20231024_15726/ • DDoS 攻撃とは? ◦ https://aws.amazon.com/jp/shield/ddos-attack-protection/ December 22, 2024. PHP Conference Japan 2024 参考資料
  39. • 分散型サービス拒否(DDoS)攻撃とは ◦ https://www.ibm.com/jp-ja/topics/ddos • DDoS攻撃とは? ◦ https://www.cloudflare.com/ja-jp/learning/ddos/what-is-a-ddos-attack/ • ランサムDDoS攻撃とは?

    ◦ https://www.cloudflare.com/ja-jp/learning/ddos/ransom-ddos-attack/ • Mirai ボットネットとは? ◦ https://www.cloudflare.com/ja-jp/learning/ddos/glossary/mirai-botnet/ • 「“バルス”は迷惑?」「大喜利タグって日本独特?」――Twitter本社でいろいろ聞いてきた ◦ https://www.itmedia.co.jp/news/articles/1410/29/news035.html December 22, 2024. PHP Conference Japan 2024 参考資料
  40. • DDoS攻撃の歴史をおさらい ◦ https://eugene.kaspersky.co.jp/2016/12/15/a-brief-history-of-ddos-attacks/ • インターネット以前から存在した「DDoS的なもの」――DDoS攻撃の本質と対策を考える ◦ https://atmarkit.itmedia.co.jp/ait/articles/1601/27/news001.html • 有名なDDoS攻撃:史上最大のDDoS攻撃

    ◦ https://www.cloudflare.com/ja-jp/learning/ddos/famous-ddos-attacks/ • AWS環境でのDDoS対策はどうすればいい?3つのセキュリティサービスをわかりやすく解説 ◦ https://www.wafcharm.com/jp/blog/aws_ddos/ • AWS WAFとAWS Shieldどちらを入れるべき?違いをわかりやすく解説! ◦ https://www.wafcharm.com/jp/blog/aws-waf-vs-aws-shield-for-beginners/ • DDoS対策はCloudflareのCDNだけで大丈夫か? ◦ https://nw.t-spirits.com/cloudflare/cloudflare-ddos/ December 22, 2024. PHP Conference Japan 2024 参考資料
  41. • DoS攻撃とは?DDoS攻撃との違いや効果的な対策方法を紹介 ◦ https://www.gmo.jp/security/cybersecurity/vulnerability-assessment/blog/denial-of-service- attack/ • 史上最大のDDoS攻撃に使用された「Mirai」ボットネットとは? 攻撃手法やIoT機器に与えた影響を解 説 ◦ https://ascii.jp/elem/000/004/114/4114245/

    • 「史上類を見ないレベル」のDDoS攻撃を実行可能と評されるマルウェア「Mirai」を10代の少年3人が構 築した経緯とは? ◦ https://gigazine.net/news/20230603-mirai-bot-net/ • 史上最悪規模のDDoS攻撃 「Mirai」まん延、なぜ? ◦ https://www.itmedia.co.jp/news/articles/1802/21/news034.html December 22, 2024. PHP Conference Japan 2024 参考資料
  42. • IoTマルウェア「Mirai」の亜種が活発化--100Gbps級のDDoS攻撃も ◦ https://japan.zdnet.com/article/35112184/ • Miraiの亡霊たち ◦ https://www.fortinet.com/jp/blog/threat-research/the-ghosts-of-mirai • Minecraftサーバ、マルウェアMiraiの亜種から大規模なDDoS攻撃受けていた

    ◦ https://news.mynavi.jp/techplus/article/20221016-2482289/ • 防御が難しいDDoS攻撃からWebサイトを守れるか?CDN導入のメリット ◦ https://www.ntt.com/bizon/protect-ddos-cdn.html • Cloudflareが1秒あたり7,100万件のリクエストを送信する記録的なDDoS攻撃を軽減 ◦ https://blog.cloudflare.com/ja-jp/cloudflare-mitigates-record-breaking-71-million-request-p er-second-ddos-attack/ December 22, 2024. PHP Conference Japan 2024 参考資料
  43. • 高校生がDDoS攻撃で国内初検挙! 青少年のサイバー犯罪の驚異 ◦ https://ascii.jp/elem/000/000/937/937111/ • 「DDoS攻撃、800円でやってあげる」が成り立つワケ ◦ https://www.itmedia.co.jp/bizid/articles/1503/23/news073.html •

    ゲーム会社に“DDoS攻撃” 16歳少年を書類送検 ◦ https://news.tv-asahi.co.jp/news_society/articles/000034860.html • MasterCardサイトにDDoS攻撃--WikiLeaksへの支払い停止で ◦ https://japan.zdnet.com/article/20423901/ • EDoS Attack: クラウド利用料金でサービスを止められるって本当? ◦ https://blog.flatt.tech/entry/edos_aws December 22, 2024. PHP Conference Japan 2024 参考資料
  44. • DDoS攻撃の8割はゲーム業界に…サイバー攻撃に晒される業界の現状と対策とは? ◦ https://www.gamebusiness.jp/article/2017/12/20/13906.html • 高度化が続くDDoS攻撃 ~ MiraiによるDDoS攻撃はIoTからLinuxサーバーに移行 ~ ◦

    https://kyodonewsprwire.jp/release/201907098478 • “安価でカジュアル”なDDoS攻撃の増加、どう対抗する? ◦ https://ascii.jp/elem/000/001/036/1036012/ • DDoS攻撃のピークは週末?代行サービスの費用など実態も--海外調査 ◦ https://japan.zdnet.com/article/35079388/ • 米国で「大規模DDoS攻撃」発生:Netflix、Twitter、Spotifyがダウン ◦ https://wired.jp/2016/10/24/internet-down-dyn-october-2016/ • IoT関連のアンダーグラウンド市場調査――攻撃代行などビジネスが活発化 ◦ https://monoist.itmedia.co.jp/mn/articles/1911/01/news068.html December 22, 2024. PHP Conference Japan 2024 参考資料
  45. • 米国司法省がDDoS攻撃代行サービスの6人を起訴、48ドメイン押収 ◦ https://news.mynavi.jp/techplus/article/20221218-2539538/ • 米英蘭の法執行機関、15のDDoS代行サービスのドメインを差し押さえ ◦ https://japan.cnet.com/article/35130478/ • サイバー攻撃「代行」の衝撃

    ◦ https://www.sankei.com/article/20240901-DF4LHZ2O7BMXDCD7GVCY7TX5R4/ • DDoSのジレンマ:どうすればDDoS攻撃を防ぎ、減らせるのか ◦ https://bs-square.jp/blog/index.php/2022/11/02/the-ddos-dilemma-how-to-prevent-mitigat e-ddos-attacks/ • 続々、Publickeyが受けたDDoS攻撃。DDoS対策に効果を発揮した設定紹介編 ◦ https://www.publickey1.jp/blog/24/publickeyddosddos2.html December 22, 2024. PHP Conference Japan 2024 参考資料