Microsoftの一連のサービス障害 脅威アクターによるDDoS攻撃と判明

Microsoftは2023年6月初旬から一部のサービスで発生しているトラフィックの急増について、Storm-1359によるレイヤー7を標的としたDDoS攻撃であったことを公表した。

[後藤大地，有限会社オングス]

　Microsoftは2023年6月16日（現地時間）、同年6月初旬から一部のサービスで発生しているトラフィックの急増について、脅威アクター「Storm-1359」によるレイヤー7（アプリケーション層）を標的としたDDoS攻撃だったことを明らかにした。

　最近発生していた「Outlook.com」や「Microsoft OneDrive」「Microsoft Azure Portal」におけるアクセス障害の原因についてハクティビストの関与が疑われていたが、これが事実だったことをMicrosoftが認めたことになる。

Microsoftは一部のサービスで発生しているトラフィックの急増についてDDoS攻撃によるものだったと明らかにした（出典：MicrosoftのWebサイト）

Storm-1359が実行したDDoS攻撃の詳細

　今回Storm-1359が引き起こしたアクセス障害は、最近主流のレイヤー3（ネットワーク層）やレイヤー4（トランスポート層）を標的としたDDoS攻撃ではなく、レイヤー7を標的としたものだった。Storm-1359が実行した主な攻撃は以下の通りだ。

• HTTP（S）フラッド攻撃：SSL/TLSハンドシェイクとHTTP（S）リクエスト処理を高負荷にさせてシステムリソースを使い果たすことを目的とした攻撃。サイバー攻撃者は異なるソースIPから世界中に分散した数百万単位という高負荷のHTTP（S）リクエストを送信し、アプリケーションバックエンドのコンピューティングリソース（CPUおよびメモリ）を使い果たす
• キャッシュバイパス：コンテンツデリバリーネットワーク（CDN）レイヤーをバイパスする攻撃。サイバー攻撃者は生成されたURLに対して一連のクエリを送信し、フロントエンド層がキャッシュされたコンテンツを使うことなく全てのリクエストをオリジンに転送するように強要し、オリジンサーバに高負荷をかける
• Slowloris：サイバー攻撃者はWebサーバに接続してリソースを要求した後で、ダウンロードを受け付けない、または低速でダウンロードを受け付ける。こうすることでWebサーバはコネクションを張ったままになり、コンピューティングリソースの消費を続けることになる

　Microsoftはレイヤー7に対するDDoS攻撃への影響を軽減する方法として、「Microsoft Azure Web Application Firewall」などレイヤー7保護サービスを使用してWebサービスを保護することをアドバイスしている。

　今回アクセス障害を引き起こした脅威アクターは効果的なレイヤー7攻撃を実行できる技術や人材、インフラへのアクセスを保有していることが予測される。今後も同様の手順を使ってMicrosoftや他の企業を標的とする可能性があり、今後の動向が注目される。