基本的に LOIC はターゲットサーバに大量のリクエストを絶えず送信しますこのようなリクエストはターゲットサーバに対する複数の HTTP パケット UDP パケットまたは TCP リクエストである場合があります JS LOIC JS LOIC は LOIC の JavaScript バージョンで

Barracuda Web Application Firewall アノニマスによる攻撃に対して準備および防御するためのベストプラクティスバラクーダセントラルのセキュリティアナリストはオンライン犯罪者政治的攻撃ハッカーおよび国家さえもが引き起こす最近相次ぐ DDoS( 分散型サービス拒否 ) 攻撃を絶えず監視しています本書では政治的ハッカーが引き起こす攻撃の概要についてツールと攻撃方法を含めて説明しますまたこのような攻撃を防御するためのベストプラクティスをご紹介します非常に曖昧に連携する政治的攻撃ハッカー集団のメンバー達はアノニマス (Anonymous) と自称していますアノニマスが好む攻撃ベクトルは LOIC(Low Orbit Ion Cannon) による DDoS 攻撃および情報搾取に使用される SQL インジェクション攻撃であり通常アノニマスは従来のハイメンテナンスなボットネットを攻撃に使用しませんアノニマスとそのターゲットの詳細についてはこれまでも解説されているため本書では割愛します Barracuda Web Application Firewall はこのような脅威に対抗するためにレイヤ 3~7 の構造に対する完全な可視性をこのような攻撃の阻止に利用できる強力なプロキシアーキテクチャの WAF/ADC です LOIC アノニマスはターゲットサーバに対して DDoS 攻撃を行うためのツールとして LOIC を使用します攻撃の発案者はソーシャルネットワーキングなど様々な手段で攻撃に参加する多数のボランティア攻撃者を募集しますボランティア攻撃者は LOIC の攻撃クライアントをダウンロードするか LOIC の JavaScript バージョン JS LOIC をコンテンツとして保有する Web ページにアクセスします JS LOIC の場合はクライアント PC に何もインストールする必要がありません LOIC のようなツールを利用することで技術力の乏しいボランティア攻撃者を攻撃の輪に加えることを可能にしています

基本的に LOIC はターゲットサーバに大量のリクエストを絶えず送信しますこのようなリクエストはターゲットサーバに対する複数の HTTP パケット UDP パケットまたは TCP リクエストである場合があります JS LOIC JS LOIC は LOIC の JavaScript バージョンですこれを使用するにはボランティア攻撃者が JS LOIC をコンテンツとして公開しているページの URL にアクセスするだけですユーザには Twitter などのソーシャルメディアで URL が通知されますボランティア攻撃者がその URL にアクセスすると JavaScript がブラウザで自動的に実行されます本書の執筆時点では LOIC の JavaScript バージョンは HTTP 攻撃の実行に制限されていますこの攻撃ベクトルは PC ラップトップ Mac スマートフォンタブレットなどすべてのデバイスのすべての種類のブラウザですべてのユーザが攻撃の一部になる可能性があるため非常に危険ですアノニマスによる攻撃を防御するためのベストプラクティスこのような攻撃を防御するための主な目標は Web サイトの正規のユーザを攻撃者と区別することです Barracuda Web Application Firewall は必要な " 敵味方 " の識別を実行するために下記のような攻撃に対する多層的な防御を実装していますステップ 1: プロトコルの基本を検証標準的なブラウザは長い間 HTTP プロトコルを実装してきたため HTTP プロトコルの規格に確実に準拠しています一方攻撃中に使用されるツールの多くは HTTP プロトコルの詳細を十分に調査していないため正しく解釈されていません Barracuda Web Application Firewall のプロトコル検証エンジンはこのような差異を検出し攻撃の開始前の阻止にさえ利用しますステップ 2: GeoIP インテリジェンスを利用アノニマスによる攻撃では攻撃の深刻性が地域的か世界的かに関係なく参加者は通常 2

世界中に存在しますたとえば Visa/MasterCard に対する攻撃の参加者は世界中に分散していましたアノニマスは国籍に関係なく怒りの矛先をすべての国家主体と大企業に向けているため世界中の人が攻撃に参加していますこのような攻撃を軽減する簡単で有効な方法は Web アプリケーションの主要なユーザではない地域からのクライアントトラフィックをブロックすることです Barracuda Web Application Firewall には攻撃者の IP アドレスを地理的場所にマップできる GeoIP モジュールが組み込まれています約 30~70% の攻撃トラフィックは GeoIP を制御するだけでブロックできますルールはすべての大陸または選択した複数の国に設定できます ( 本 GUI は入稿時には英語画面ですが将来的に日本語 GUI で提供されます ) ステップ 3: デフォルトの LOIC 署名を使用するリクエストをブロック上記のスクリーンショットが示すとおり JS LOIC ではランダムな文字とメッセージをリクエストに追加できますこれは報復メッセージの送信のみのためではありませんブラウザのローカルキャッシュがレスポンスに使用されないように技術的な理由でも必要ですそうしないとリクエストがターゲットに到達しません Barracuda Web Application Firewall の強力な拡張マッチエンジンはこのような署名に対する許可 / 拒否 ACL を非常に簡単に作成できます LOIC ツールで追加されるパラメータの名前が "msg" と "id" であり追加されるメッセージが "anonymous_msg" である場合は下記のマッチを含む拒否 ACL を簡単に定義できます (Parameter msg ex ) (Parameter id ex ) (URI-path co anonymous_msg) すべての構文を記憶する必要はありませんこの拡張マッチウィザードでは WYSIWYG の UI でこのようなカスタムシグネチャを定義できます 3

この設定ではアプリケーションをターゲットにする可能性がある攻撃スクリプトでデフォルト設定が使用されませんしかし能力の高い攻撃者はパラメータを頻繁に変更してこのような検出とブロックの基本的な機能を阻止できますこのため速度に基づく高度な制御でこのルールセットを強化する必要があります 4

ステップ 4: 不正なリクエストを送信する高速な攻撃者を識別およびブロック Web サイトには 1 日に数十万人の一意のユーザがアクセスする可能性があります通常アノニマスによる攻撃は数千人の攻撃者が一斉に引き起こします MegaUpload の閉鎖に抗議する攻撃の際には約 5,000 人 ( 一意の IP アドレス ) が攻撃に参加しましたこの 5,000 個の IP アドレスを識別できるとサイトにアクセスする他のユーザはサービスを確実に使用できますブルートフォース防御機能ではこのような IP アドレスを簡単にブロックしブラックリストに記載できます LOIC ツールでは有効な Cookie と Referrer が存在しない大量のリクエストが送信されます下記のブルートフォース防御ルールではこのようなリクエストがキャッチされてブロックされますまた有効な Cookie と Referrer ヘッダがなくても特定のクライアント IP からのすべての受信リクエストが検証されますリクエスト数が 30 秒の間隔以内にしきい値 5 を超過した場合は設定可能な間隔でその IP がブロックされますこの間攻撃者の IP からの後続のすべてのリクエストはレイヤ 4 で拒否されます URL マッチ /* 拡張マッチ (Header Cookie nex ) (Header Referer nex) シーケンス番号 1 カウント間隔 30 IP ごとの最大許容アクセス数 5 正規のクライアントは影響を受けません新しいクライアントからの最初のリクエストは後続のリクエストと異なり Cookie と参照元がなくても受信できるためですステップ 5: 攻撃者をロックアウト攻撃者と認定されたクライアントからの通信を指定の間隔で確実にブロックする必要があります Barracuda Web Application Firewall のアクションポリシーはすべての攻撃タイプのロックアウトをサポートしています 5

ステップ 6: SYN フラッド攻撃を防御 LOIC ツールの 1 つのオプションは TCP SYN フラッド攻撃です数千人の攻撃者が SYN フラッドを送信するとターゲットサーバの TCP バッファが消耗されその結果新しいリクエストを処理できなくなりますこのような攻撃を防御するには Barracuda Web Application Firewall で SYN Guard を確実にオンにしますステップ 7: UDP/ICMP フラッドを防御このステップはこのようなフラッドがサーバまたはアプリケーションファイアウォールに到達する前にネットワーク境界で実行することが最適ですしかし Barracuda Web Application Firewall はこのようなトラフィックをブロックするための ACL( アクセス制御リスト ) を作成できるフル機能のネットワークファイアウォールを実装していますステップ 8: ISP およびアップストリームネットワークと連携全容量が 3 Mbps の T1 回線が 2 本ある一方攻撃トラフィックが 100 Mbps であるなど受信回線がパケットフラッドで完全に消耗されている場合はネットワーク境界または ISP レベルで攻撃に対処する必要があります ISP が DDoS 対策ソリューションを準備し適切な連絡先を用意していることを確認する必要があります他の DDoS 軽減戦略通常アノニマスによる攻撃は一時的ですアノニマスは十分な時間十分な人数のボランティア攻撃者を募集できる場合攻撃でサイトを使用不能にすることができますしかしそのほとんどがデスクトップクライアント PC やモバイルデバイスを使用するボランティア攻撃者であるため攻撃は長時間持続しませんしかしボットネットからの攻撃ははるかに攻撃的ですこのような攻撃はゾンビマシンのインフラストラクチャと攻撃の動機がはるかに大規模であるため数日間持続する可能性があります Barracuda Web Application Firewall の主要なプロキシアーキテクチャは他のソリューションと異なり複数のアプリケーション DDoS 攻撃の軽減に役立ちますステップ 9: " スロークライアントアタック " をブロックこれは下記の理由で検出とブロックが非常に困難な " 低速 " のアプリケーションレイヤ攻撃ですプロトコルに準拠しているため警告が表示されないネットワーク帯域を占有せずターゲットサーバのリソースをひそかに浸食し停止させるたとえば Slowloris と RUDY(R-U-Dead-Yet) による攻撃では HTTP の部分的な GET または POST リクエストをコネクションを維持する為に非常にゆっくりした速度でサーバに送信し続けますこのため Web サーバはタイムアウトで切断できずコネクションのクローズを永久に迎えることができませんこのため断片的なリクエストにリソースが割り当てられたままになりサーバは最終的にリソースの消耗で停止します Barracuda Web Application Firewall はサーバが攻撃されないように高度なアダプティブタイムアウトアルゴリズムを駆使しこのようなリクエストをプロキシアーキテクチャでバッファして監視しますステップ 10: IP レピュテーションを利用して不正なトラフィックを拒否ボットネット攻撃では C&C サーバ ( コマンド & コントロールサーバ ) がゾンビマシンにターゲットサーバの攻撃を指示しますスパムバンキング系トロイの木馬 DDoS などによる 6

攻撃に特化したボットネットが存在しますバラクーダセントラルはこの分野で数千のセンサを使用してボットネットを絶えず監視していますそうしてボットネットに感染した IP アドレスをブラックリストに記載する最新の IP レピュテーションデータベースになります Barracuda Web Application Firewall はボットネットだけでなく匿名でオープンなプロキシとサテライト ISP もブロック可能ですこれは予備調査や APTs( アドバンスドパーシスタントスレット攻撃 ) の実行にハッカーがよく使用しますステップ 11: サーバリソースと計算能力を最適化コンピュータリソースはインターネットの普及とモバイルおよびクラウドコンピューティングの増加が原因で窮地に立たされていますサーバのフロントエンドに Barracuda Web Application Firewall を設置することによって堅牢な ADC( アプリケーションデリバリーコントローラー ) に変貌しますこれによりサーバの負荷は大幅に削減され攻撃中のサーバの可用性は向上します下記のとおり複数の最適化機能が実装されています TCP 多重化 SSL オフロードキャッシュと圧縮インテリジェントコンテンツルーティング AAA( 認証承認およびアクセス制御 ) オフロード上記を組み合わせるとサーバの負荷を 50% 以上削減できますステップ 12: 拡張性の高いサーバインフラストラクチャを構築通常攻撃は広く認知されて強い影響を及ぼすようにアクセスが集中している時間帯に実行されます Barracuda Web Application Firewall を使用すると DDoS 攻撃を大幅に軽減できますしかし通常のアプリケーション Web データベースサーバなどの通信でさえサーバインフラストラクチャを停止させてしまいます Barracuda Web Application Firewall のモデル 460 以上にはサーバファーム間で負荷を分散するためのインテリジェントロードバランスとアプリケーションコンテンツルーティングが組み込まれていますバックアップコンピュータリソースを割り当てて予期しない負荷に対処することもできます SQL インジェクション攻撃アノニマスのハッカーは sqlmap Havij などのさまざまな自動 SQL インジェクションツールと手動の侵入テストでターゲットを予備調査しますバックエンドデータベースから情報を搾取し個人情報などの機密情報を外部に漏洩してターゲット組織を困惑させ危険にさらすことが主な目的です Barracuda Web Application Firewall はポジティブセキュリティとネガティブセキュリティを組み合わせる事によって SQL インジェクション攻撃をブロックしますネガティブセキュリティ Barracuda Web Application Firewall は Web アプリケーションの入力フィールドで SQL 言語の文法と構文を検出し高度に調整された正規表現の文法に基づいたシグネチャを利用しています例は下記のとおりです http://www.mydomain.com/products/products.asp?productid=123 UNION SELECT user-name, password FROM USERS "union" "select" などのみを検出してブロックすると誤検知が発生する可能性が十分ありますしかし Barracuda Web Application Firewall では UNION 英数字 SELECT 英数字 FROM などの順に構成されたコンテンツを検知する下記のような文脈検出シグネチャが利用されています 7

union.*[^[:alnum:]]select.*[^[:alnum:]]from[^[:alnum:]] 上記のようなシグネチャによって構文難読化コードにとらわれずに SQL インジェクションを確実にブロックしその一方で正しい SQL コマンドは通過させることで誤検知を最小限にとどめますさらに正規化モジュールはシグネチャルールマッチに先立ち UTF-8 コンテンツエンコードや SQL コマンドなどの難読化コードを無害化処理も行います新アプリケーションや既存のアプリケーションを更新しても他社のように " 再学習 " 期間を必要とせずすぐに防御されますこれにより高速なパフォーマンスを維持したままアプリケーションセキュリティの管理工数も非常に少なく押さえることが可能ですポジティブセキュリティポジティブセキュリティでは FORM および URL パラメータの値が事前に登録されたホワイトリストによって精査されますたとえばある入力フォームの "Age( 年齢 )" というパラメータには 0~120 の数値しか受け付けない設定としますそれ以外の他のすべては拒否されますこれをすべての URL パラメータに設定していくとなると大規模なサイトの管理工数は膨大になります Barracuda Web Application Firewall はアダプティブプロファイル機能を使用してリクエストとレスポンスのトラフィックからこのようなアプリケーションプロファイルを " 学習 " して自動生成できますまたこのプロファイルを適用しすべての異常をブロックしますしかも業界で唯一プロファイルの学習中でさえ完全なセキュリティを提供する事が可能です我々バラクーダネットワークスのセキュリティアナリストはアノニマスが使用するツールを絶えず評価し Barracuda Web Application Firewall ですべての攻撃を確実にブロックできるようにさまざまな防御技術の研究を日々行っていますお問い合わせ先 : バラクーダネットワークスジャパン株式会社 http://www.barracuda.co.jp/ E-mail: jpinfo@barracuda.com Tel: 03-5436-6235 8