CISPA Helmholtz Center for Information Securityは3月19日(現地時間)、「Loop DoS: New Denial-of-Service attack targets application-layer protocols」において、エンドツーエンド通信にUDPを利用するアプリケーションから「アプリケーション層ループDoS攻撃」の脆弱性を発見したと報じた。この脆弱性を悪用されると攻撃者ですら停止できない無限ループのUDP通信が開始され、いずれかの端末(アプリケーション)が停止するまで止まらないという。
-
Loop DoS: New Denial-of-Service attack targets application-layer protocols
「アプリケーション層ループDoS攻撃」とは
通常のサービス運用妨害(DoS: Denial of Service)攻撃では、攻撃者の管理下にあるデバイスから大量の通信パケットを標的に送信し、帯域を圧迫するなどして正常なサービスの運用を妨害する。今回発見された攻撃手法では、最初の1回だけ攻撃者がUDPパケットを送信する。その後、標的2台のデバイス間で無限に応答が繰り返され、その結果、通信帯域やリソースが圧迫され運用を妨害される。
攻撃者は、最初に送信するUDPパケットにIPスプーフィング(送信元IPアドレスの詐称)を悪用する。具体的な攻撃手順は次のとおり(標的の2台のデバイスをそれぞれA、Bと呼称する)。
- 攻撃者は標的(A)のIPアドレスを詐称した無効な要求をするUDPパケットを構築し、もう一方の標的(B)に送信する
- 要求を受け取った標的(B)は無効な要求のためエラーを標的(A)に送信する
- エラーを受け取った標的(A)は身に覚えのない通信のためさらにエラーを標的(B)に送信する
- エラーを受け取った標的(B)は身に覚えのない通信のためさらにエラーを標的(A)に送信する
- すると、双方ともに身に覚えのない通信のためエラーを送信し合う状態(上記3、4の繰り返し)に陥り、リソースを消費し尽くすかアプリケーションを停止するまで通信を終了することができなくなる
脆弱性の影響と対策
CISPAの研究者の調査によると、この攻撃の影響を受けるインターネット上のホストは推定で約30万台とされる。また、この脆弱性の影響を受けるアプリケーションおよびプロトコルとして次の9つを報告している。
- TFTP
- DNS
- NTP
- Daytime
- Time
- Active Users
- Echo
- Chargen
- QOTD
この攻撃は既知のネットワーク層のループ攻撃とは異なるため、従来のパケット有効期間による保護では攻撃を阻止できない。CISPAの研究者は「私達が知る限り、まだこの攻撃は確認されていない。しかしながら、リスクを軽減するための措置を講じなければ、攻撃者はこの脆弱性を容易に悪用できる」と述べており、通信事業者や影響を受ける可能性のある企業に対策を推奨している。
また、この攻撃に対するアドバイザリーを「CISPA Advisory on Application-layer Loop DoS - Google Document」にて公開しており、必要に応じて活用することが望まれている。
