HTTP/2に対する分散型サービス拒否 (DDoS) 攻撃に対するマイクロソフトの対応について
本ブログは、Microsoft Response to Distributed Denial of Service (DDoS) Attacks against HTTP/2 の抄訳版です。最新の情報は原文を参照してください。
概要
2023年9月以降、マイクロソフトは、HTTP/2プロトコルを標的とした分散型サービス拒否(DDoS)攻撃の新たな手法が確認されたことについて、業界パートナーから知らせを受けました。この脆弱性(CVE-2023-44487)は、インターネットに公開されているHTTP/2エンドポイントに影響を与えます。業界のリーダーとして、マイクロソフトは速やかに調査を開始し、協調的な情報開示と緩和計画のために業界のパートナーと協力しました。マイクロソフトは、お客様のサービスがこのDDoS攻撃の手法から完全に保護されるよう、このブログで提供されるガイダンスに従うことを推奨します。
このDDoS攻撃は“HTTP/2 Rapid Reset”として知られ、HTTP/2の実装の欠陥を利用しています。マイクロソフトは、IIS(HTTP.sys)、.NET(Kestrel)、およびWindows向けの緩和策を速やかに作成し、2023年10月10日(米国時間)のセキュリティアップデートとしてリリースしました。
このDDoSはサービスの可用性に影響を与える可能性がありますが、顧客データの漏洩につながることはなく、現時点では顧客データの漏洩は確認されていません。
攻撃の詳細
このHTTP/2の脆弱性により、悪意のあるアクターはHTTP/2サーバーを標的としたDDoS攻撃を仕掛けることができます。この攻撃は、HEADERSに続いてRST_STREAMを使用したHTTPリクエストを一定数送信し、このパターンを繰り返すことで、標的となるHTTP/2サーバーに大量のトラフィックを発生させます。1つの接続に複数のHEADERSとRST_STREAMフレームを詰め込むことで、攻撃者は1秒あたりのリクエスト数を大幅に増加させ、サーバーのCPU使用率を高くし、最終的にリソースの枯渇を引き起こすことができます。
CVE-2023-44487からサービスを守るために
このHTTP DDoS活動は、レイヤー3や4ではなく、主にレイヤー7を標的としています。マイクロソフトは、このDDoS攻撃からお客様をより保護するために、マイクロソフトのWebサービスにおけるレイヤー7の保護を強化し、パッチを適用しました。このツールや技術は、大半の障害を軽減する上で非常に効果的ですが、マイクロソフトは一貫してハードニング機能のパフォーマンスをレビューし、その有効性を改善および向上させるために学習内容を取り入れています。
Webアプリケーションをホスティングするために使用されているマイクロソフトのサービスは、この攻撃に対する緩和策を提供するセキュリティ更新プログラムを適用しています。
マイクロソフトでは、Webアプリケーションをセルフホストしているお客様には、Windows Updateまたはオープンソースソフトウェア(OSS)を使用してWebサーバー/プロキシにCVE-2023-44487の修正パッチを適用し、できるだけ早く環境を保護することを推奨します。お客様による対応が必要な、影響を受ける製品は、マイクロソフトセキュリティ更新プログラムガイドで公開されています。
マイクロソフトでは、Azure Front DoorまたはAzure Application GatewayでAzure Web Application Firewall(WAF)を有効にして、さらにセキュリティを強化することを推奨します。WAFのレート制限ルールは、これらの攻撃に対する追加の保護をする上で効果的です。詳細については、“推奨される対処”のセクションまたはこのブログを参照してください。
マイクロソフトでは、可能な限りWebアプリケーションへのインターネットアクセスを制限することを推奨します。
適切なパッチを適用せず、WebアプリケーションがAzure Front DoorまたはApplication GatewayのWAFで保護されていない場合、WebサービスのHTTP2を無効にすることを検討してください。お客様の環境でHTTP2プロトコルを無効にすることは、パフォーマンスやサービスに大きな影響を与える可能性があるため、お客様の製品やサービスへの潜在的な影響を慎重に評価し、慎重に決定する必要があります。
推奨される対処 - レイヤー7 DDoS攻撃から保護するためのヒント
マイクロソフトでは、Azure Web Application Firewall(WAF)(Azure Front Door、Application Gatewayで利用可能)などのレイヤー7保護サービスを使用して、Webアプリケーションを保護することを推奨します。レイヤー7 DDoS攻撃の影響を軽減するために、以下の緩和ガイダンスを確認してください:アプリケーション(レイヤー7)DDoS保護
Azure Front DoorまたはApplication GatewayでAzure WAFを使用する場合:
- ボット保護マネージドルールセットを使用すると、既知の悪質なボットに対する保護が提供されます。詳細については、「Azure Front Doorでボット保護を構成する」および「Azure Application Gatewayでボット保護を構成する」を参照してください。
- 悪質であると識別したIPアドレスとIPレンジはブロックする必要があります。詳細については、「Azure Front Doorのカスタム規則」および「Application Gatewayのv2カスタム規則」の例を参照してください。
- 定義された地域外または地域内からのトラフィックは、ブロック、レート制限、または静的なWebページへのリダイレクトが必要です。詳細については、「Azure Front Doorのカスタム規則」および「Application Gatewayのv2カスタム規則」の例を参照してください。
- レート制限カスタムルールを作成して、既知のシグネチャを持つHTTPまたはHTTPS攻撃を自動的にブロックし、レート制限します。詳細については、「Azure Front Doorのレート制限」および「Application Gatewayのレート制限」の例を参照してください。
Azure API Managementを使用する場合は、WAFに加えて、次の設定を有効にする必要があります:
- API Managementインスタンスを仮想ネットワークにデプロイし、DDOS保護を有効にする。
- L7レート制限ポリシーを適用し、過剰なHTTPトラフィックをブロックする。
AzureとM365
クラウドにおける共同責任モデルに基づき、マイクロソフトは、マイクロソフトが管理するSaaSおよびPaaSサービス、ならびに安全なデプロイプラクティスを使用して自動パッチ適用が有効なIaaSサービスに適切なセキュリティアップデートを適用します。さらに、これらのサービスはDDoSサービスによっても保護されます。IaaSサービスにて手動でパッチを適用しているお客様は、上記のガイダンスに基づいて更新プログラムを適用することをお勧めします。
マイクロソフトは、セキュリティ脆弱性の発見、報告、修復を体系的かつ責任を持って管理するCVD(Coordinated Vulnerability Disclosure)に従っています。CVDにより、マイクロソフトは、ユーザーのセキュリティとシステムの完全性を優先する形で、研究者や幅広いセキュリティコミュニティと協力することができます。協調的なアプローチに従うことで、研究者や業界パートナーと協力して、潜在的な脆弱性が公開される前に確実に対処し、悪用のリスクを低減することができます。
堅牢なセキュリティ体制の一環として、研究者と協力して脆弱性の発見に貢献しているため、脆弱性の詳細が広く知られ、悪用される前に、発見された問題を修正することができます。本脆弱性をCVD(Coordinated Vulnerability Disclosure)の下で報告してくれたAmazon、Cloudflare、Googleに感謝します。また、マイクロソフト・セキュリティ・レスポンス・センター(MSRC)と協力して更新プログラムを開発し、マイクロソフトの顧客の安全確保に貢献してくれたオープンソース・コミュニティのパートナーにも感謝します。
参考
- アプリケーション DDoS 保護 - Azure Web Application Firewall | Microsoft Learn
- DDoS protection on Azure Front Door | Microsoft Learn
- 2022 in review: DDoS attack trends and insights | Microsoft Security Blog
- Joint CISA FBI MS-ISAC Guide on Responding to DDoS Attacks and DDoS Guidance for Federal Agencies | CISA