攻撃者すら停止できないDoS攻撃「Loop DoS」 推定30万インターネットホストが危険：セキュリティニュースアラート

UDPを利用するサービスを狙う新たなDoS攻撃「Loop DoS」が見つかった。この攻撃は推定30万のインターネットホストとそのネットワークを危険にさら可能性がある。

[後藤大地，有限会社オングス]

　ヘルムホルツ情報セキュリティセンター（以下、CISPA）は2024年3月19日（現地時間）、アプリケーション層プロトコルを標的とする新たなDoS攻撃「Loop DoS」を公表した。

攻撃者ですら停止不可能　推定30万のインターネットホストに影響

　Loop DoSはユーザーデータグラムプロトコル（UDP）を使用するサービスを対象に互いに無限に応答し続けることで大量のトラフィックを発生させてサービス拒否を引き起こす。特定のネットワークサービス間でループを形成し、一度ループが始まると攻撃者ですら停止できないという。推定で30万のインターネットホストやそのネットワークを危険にさらす可能性がある。この攻撃の詳細は次のようなものだ。

　Loop DoSはCISPAの研究者であるイェペン・パン氏とクリスチャン・ロッソー氏によって発見された。

　Loop DoSは2つのネットワークサービスをペアにして互いのメッセージに無限に応答し続けるようにすることで大量のトラフィックを発生させ、関係するシステムやネットワークのサービス拒否を引き起こす。仕組み上自己増殖型の攻撃であり、一度トリガーが注入されてループが動き出してしまうと、サイバー攻撃者ですらサイバー攻撃を停止できない。単一ネットワークのルーティング層で発生し、反復回数も有限だった従来型ループ攻撃と比べると、Loop DoSの攻撃性は高い。

　ロッソー氏は「サイバー攻撃者は単一のIPスプーフィングされたエラーメッセージを注入することで、2台の欠陥のあるTFTPサーバをループさせられる。ループ発生後、脆弱（ぜいじゃく）なサーバは互いにTFTPエラーメッセージを送信し続け、両方のサーバとサーバ間のネットワークリンクに負担をかけることになる」と話す。

　パン氏は「今回私達が発見したアプリケーション層のループは既存のネットワーク層のループとは異なる。このため、ネットワークレベルで採用されている既存のパケットライフタイムチェックではアプリケーション層のループを遮断できない」と述べる。

　研究者らによると、この攻撃はTFTPやDNS、NTPの実装系およびDaytime、Time、Active Users、Echo、Chargen、QOTDの6つのレガシープロトコルで実行可能だという。このサイバー攻撃自体はまだ観測されていないが、攻撃の難易度が高くないため実行される可能性があるとして注意が必要だ。

　対策方法などの情報は「VU#417980 - Implementations of UDP-based application protocols are vulnerable to network loops」にまとまっているため、こちらを参考に今後必要に応じて対策や更新を実施してほしい。