Microsoftの一連のサービス障害 脅威アクターによるDDoS攻撃と判明
Microsoftは2023年6月初旬から一部のサービスで発生しているトラフィックの急増について、Storm-1359によるレイヤー7を標的としたDDoS攻撃であったことを公表した。
Microsoftは2023年6月16日(現地時間)、同年6月初旬から一部のサービスで発生しているトラフィックの急増について、脅威アクター「Storm-1359」によるレイヤー7(アプリケーション層)を標的としたDDoS攻撃だったことを明らかにした。
最近発生していた「Outlook.com」や「Microsoft OneDrive」「Microsoft Azure Portal」におけるアクセス障害の原因についてハクティビストの関与が疑われていたが、これが事実だったことをMicrosoftが認めたことになる。
Storm-1359が実行したDDoS攻撃の詳細
今回Storm-1359が引き起こしたアクセス障害は、最近主流のレイヤー3(ネットワーク層)やレイヤー4(トランスポート層)を標的としたDDoS攻撃ではなく、レイヤー7を標的としたものだった。Storm-1359が実行した主な攻撃は以下の通りだ。
- HTTP(S)フラッド攻撃:SSL/TLSハンドシェイクとHTTP(S)リクエスト処理を高負荷にさせてシステムリソースを使い果たすことを目的とした攻撃。サイバー攻撃者は異なるソースIPから世界中に分散した数百万単位という高負荷のHTTP(S)リクエストを送信し、アプリケーションバックエンドのコンピューティングリソース(CPUおよびメモリ)を使い果たす
- キャッシュバイパス:コンテンツデリバリーネットワーク(CDN)レイヤーをバイパスする攻撃。サイバー攻撃者は生成されたURLに対して一連のクエリを送信し、フロントエンド層がキャッシュされたコンテンツを使うことなく全てのリクエストをオリジンに転送するように強要し、オリジンサーバに高負荷をかける
- Slowloris:サイバー攻撃者はWebサーバに接続してリソースを要求した後で、ダウンロードを受け付けない、または低速でダウンロードを受け付ける。こうすることでWebサーバはコネクションを張ったままになり、コンピューティングリソースの消費を続けることになる
Microsoftはレイヤー7に対するDDoS攻撃への影響を軽減する方法として、「Microsoft Azure Web Application Firewall」などレイヤー7保護サービスを使用してWebサービスを保護することをアドバイスしている。
今回アクセス障害を引き起こした脅威アクターは効果的なレイヤー7攻撃を実行できる技術や人材、インフラへのアクセスを保有していることが予測される。今後も同様の手順を使ってMicrosoftや他の企業を標的とする可能性があり、今後の動向が注目される。
関連記事
- Microsoft Azure Portalで2時間にわたるアクセス障害 その原因は?
Microsoftは2023年6月9日15時10分から17時10分の2時間にわたり、Microsoft Azure Portal(https://portal.azure.com/)でアクセス障害が発生したと伝えた。 - Outlookに続きOneDriveでアクセス障害が発生 DDoS攻撃の影響か
2023年6月9日、OneDriveにおいてアクセス障害が発生した。ハクティビストによるDDoS攻撃が原因である可能性が指摘されている。 - Outlook.comでアクセス不具合が断続的に発生 ハクティビストが関与をほのめかす
Outlook.comでアクセス不具合が断続的に発生しており、全世界のOutlookユーザーが影響を受けている。Microsoftはこの原因について公式な見解を発表していないが、ハクティビストの関与が疑われている。 - Windows 11のアップデート適用でChromeがクラッシュする恐れ 解決策は今のところ不明
Microsoftの累積更新プログラム「KB5027231」適用後、Windows 11でマルウェア対策ソフト「Malwarebytes」と「Google Chrome」がコンフリクトする問題が発生している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.