Cloudflareの大規模障害、“迂回”が不正アクセスの引き金に？ 「ネットワーク侵入テスト」になったとの指摘も：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　世界中の大手WebサイトやSNSをダウンさせたコンテンツデリバリーネットワーク（CDN）大手米Cloudflareの大規模障害。これに関連して、一部のWebサイトが運用を継続するため一時的にCloudflareのサービスを迂回したことで防御が手薄になり、この間に不正侵入された恐れがあるとして、専門家がログなどを確認するよう促している。

　Cloudflareの障害が発生したのは協定世界時の11月18日。障害は数時間にわたって続き、影響はChatGPTやX、Spotify、Zoom、Microsoft Teams、Canva、Visaなどの大手サービスにも及んだ。

　セキュリティジャーナリストのブライアン・クレブス氏が運営するブログ「Krebs on Security」は専門家の話として、今回の障害は組織にとって、思いがけない形で攻撃に対する耐性が試される「ネットワーク侵入テスト」になった可能性があると指摘している。

Krebs on Securityの記事

　専門家によれば、Cloudflareのアプリケーションファイアウォール（WAF）は不正なトラフィックを遮断して、情報窃盗を目的としたクロスサイトスクリプティング攻撃や、SQLインジェクション攻撃、bot攻撃といった一般的なサイバー攻撃を防ぐ役割を果たしている。

　そうした形でCloudflareに守られているWebサイトの多くは、今回の障害に伴ってCloudflareのポータルにアクセスできなくなったり、CloudflareのDNSサービスが利用できなくなったりして、影響を回避できなかった。

　一方、自社のドメインを一時的にCloudflareから切り離してWebサイトの運用を続けることに成功した企業もあった。しかしそうすることでCloudflareによる防御も無効になり、その間にインフラが露呈されて不正侵入された可能性があるという。

　「障害が続いた約8時間の間に複数の大手サイトが運用を継続するためCloudflareを迂回したようだ」。米国の調査会社であるIANS Researchのアーロン・ターナー氏はそう語る。それらの企業に対して、障害時のWAFログを念入りにチェックして、Cloudflareの防御が再び有効になるまでの間に侵入された形跡がないかどうかを確認するよう促した。

　今回の障害の間にログの量の急増が確認され、それが攻撃によるものだったのか、それとも単なるノイズだったのかを見極めようとしている企業もあるという。「今回の障害は、Cloudflareの助けなしではアプリやWebサイトを防御できない可能性を顧客が認識する好機になった」とターナー氏は言う。

Cloudflareの大規模障害は「無料の机上演習」

　サイバー犯罪集団側も今回の障害に乗じて、日頃から狙っていた標的がCloudflareのサービスを停止した隙に付け入ろうとした可能性は大きいという。

　「例えば自分が攻撃者だったとして、それまではCloudflareに邪魔されて標的に侵入するチャンスが訪れなかった。そこへ今回の障害が発生し、DNSの変更を見て標的とする相手がCloudflareをWebスタックから外したことを知る。これで保護層が存在しなくなり、新たな攻撃を次々に仕掛けられる状態になった」（ターナー氏）

　米国のサイバーセキュリティ企業であるReplica Cyberのニコール・スコット氏も、今回の障害は意図してもしなくても、組織のセキュリティ対策が試される「無料の机上演習」になったと見る。

　組織に対しては、対策が手薄になっていた間のトラフィックを調べるだけでなく、社内でどんな対策を講じたのか、緊急措置としてDNSやルーティングの変更を行ったのか、従業員の私物端末や自宅のWi-Fi、未承認のSaaSなどを使ったのかどうかなどを検証するよう呼び掛けている。