知って得するセキュリティのはなし その40
DDoS攻撃を示唆し仮想通貨を要求する脅迫メールに注意喚起
1.このニュースをざっくり言うと
- DDoS攻撃を示唆して仮想通貨を要求する脅迫メールが出回っているとして、10月24日(現地時間)にドイツのセキュリティベンダLINK11より、同30日にはJPCERT/CCより、相次いで注意喚起等が出されています。
- 脅迫メールは、対象組織が管理および利用するWebサイトやIPアドレスに対しDDoS攻撃を行うとの予告と、攻撃を回避するために仮想通貨を期日内に支払うよう要求する内容が含まれているとのことです。
- 単なる脅しに留まらず、実際に最大60GbpsのDDoS攻撃が行われたケースもある模様で、JPCERT/CCでは、「決して攻撃者の要求には応じず、冷静に対応を行うこと」「攻撃が発生した場合の対応体制、攻撃への対策および利用している対策サービスの状況を確認すること」および「外部から接続可能なサーバーやインフラについて、使用するポートやサービスを制限すること」等を呼び掛けています。
2.執筆者からの所感等
- 攻撃者が行うDDoS攻撃手法としては、DNS(ポート53番)・NTP(ポート123番)・WS Discovery(ポート3702番)・Apple Remote Management Service(ポート3283番)といったUDPサービスを悪用し、膨大な量に増幅したパケットの送受信を行わせる、いわゆる「リフレクション攻撃」が主とみられます。
- プライベートIPアドレスとNATを利用しているため「たまたま」外部からは直接パケットを送信できない社内LANであっても、利用しているサーバー等を踏み台に攻撃を受ける可能性もあるため、社内LANの前面のルーターやUTM等におけるフィルタリングでそういったケースについても対応されていることが望ましいでしょう。
- 当然ながら各サーバーについても、明示的に外部に提供しているサービスポート以外はアクセスを遮断するよう設定を行い、かつその設定が行われているか適宜見直しをかける、あるいは第三者機関による診断を受けることを推奨致します。
