HTTP/2 ゼロデイ脆弱性 (CVE-2023-44487) が史上最大のサービス拒否攻撃を引き起こした

8 月 28 日から 29 日にかけて、アマゾン ウェブ サービス、Cloudflare、Google Cloud は、それぞれ数分しか続かない複数のトラフィックの波が発生する DDoS フラッド攻撃を独自に観測しました。この攻撃は、クラウドおよびネットワーク インフラストラクチャ プロバイダーを標的としています。事件の背後に未知の犯人がいますが、彼らが HTTP/2 プロトコルの脆弱性を悪用したことは明らかであり、CVE-2023-44487 として追跡されており、重大度は高いです。CVSS スコアは次のとおりです。 10点中7.5点。このインシデントは「HTTP/2 Rapid Reset」ゼロデイ攻撃と呼ばれています。

Cloudflare によると、HTTP/2 はインターネットとほとんどの Web サイトの動作の基礎です。 HTTP/2 は、ブラウザーが Web サイトと対話する方法を担当し、ブラウザーが画像やテキストなどのコンテンツを表示するために迅速に「リクエスト」できるようにし、Web サイトがどれほど複雑であっても、すべてを一度に実行できます。

Cloudflareによると、HTTP/2高速リセット攻撃手法には、一度に数十万のHTTP/2リクエストを送信し、すぐにキャンセルすることが含まれているという。 Cloudflareの10月10日のラピッドリセット攻撃に関する勧告では、この「リクエスト、キャンセル、リクエスト、キャンセル」パターンを大規模に自動化することで、脅威アクターがWebサイトを圧倒し、HTTP/2を使用するすべての人が「Webサイトがオフライン」になる可能性があると説明しています。

HTTP/2 プロトコルは、約 60% Web アプリケーションで使用されます。 Cloudflareは、8月の活動のピーク時に1秒あたり2億100万リクエスト（rps）を超えるリクエストを受け取ったことがわかっています。 Cloudflareによると、一部の組織では緩和策を講じるとリクエスト数が増加するという。 2022 年の DDoS 攻撃のピークは 7,100 万 RPS で、Cloudflare が受け取った 2 億 100 万 RPS は昨年の 3 倍でした。

同時に、Google はリソースに対する前回の攻撃の 7.5 倍である 3 億 9,800 万 RPS のピークを観測し、AWS は Amazon CloudFront サービスに対して 1 億 5,500 万 RPS 以上のピークを検出しました。

Googleはその投稿の中で、規模の大きさを考慮すると、この2分間の攻撃により、Wikipediaが報告した9月全体の記事閲覧数の合計よりも多くのリクエストが生成されたと指摘した。

クイックリセットは強力な武器であるだけでなく、効率的な武器でもあります。 AWS、Cloudflare、Google は、他のクラウド、DDoS セキュリティ、インフラストラクチャプロバイダーと連携して、主に負荷分散やその他のエッジ戦略を通じて、急速なリセット攻撃の影響を最小限に抑えます。しかし、それはネットワークが保護されることを意味するものではありません。多くの組織は依然として攻撃ベクトルに対して脆弱であり、脅威から安全を保つために HTTP/2 に積極的にパッチを適用する必要があります。

Cloudflareは、このインシデントはDDoS攻撃の状況における重要な進化を表しており、これまでに観察された最大規模でもあると述べた。同社は、比較的小規模なボットネットがこのような大量のリクエストを出力すると、HTTP/2 をサポートするほぼすべてのサーバーやアプリケーションをダウンさせる可能性があると考えており、保護されていない場合の CVE-2023-44487 の脆弱性が浮き彫りになっています。脅威はインターネットですか？

これまでのところ、HTTP/2 高速リセット攻撃は、背後にいるサイバー攻撃者が期待していたほどの重大な影響を与えていません。DDoS 攻撃は依然としてサイバー攻撃者が好んで使用するツールの 1 つであるため、この攻撃手法には細心の注意を払う必要があります。時間の経過とともに、さらに強力かつ複雑になるだけです。

保全に関するアドバイス
企業および個人ユーザーにとって、最も効果的な保護方法はアップデートとパッチです。ベンダーがパッチをリリースしたら、すぐに適用する必要があります。クラウド サービス プロバイダーやネットワーク インフラストラクチャ ベンダーは、HTTP/2 プロトコルの脆弱性に対するパッチのリリースを開始しています。ビジネスでこれらのサービスを使用している場合は、これらのパッチが適用されていることを確認してください。

さらに、企業には次のことを推奨します。

ネットワークとシステムを安全に保ちます。これには、攻撃の可能性を最小限に抑えるためにハードウェアとソフトウェアを定期的に更新およびアップグレードすることが含まれます。

DDoS 防御ツールを使用します。これらのツールは、ネットワーク トラフィックを監視し、異常なアクティビティが検出されたときにアラートを提供するのに役立ちます。

強力な安全文化を構築します。スパムへの対処方法やフィッシング攻撃の特定方法など、サイバー攻撃を認識して防止できるように従業員を教育することが不可欠です。

ネットワークで多層セキュリティ戦略を使用します。これには、ファイアウォール、侵入検知システム (IDS)、侵入防止システム (IPS)、その他のセキュリティ対策の使用が含まれます。

個々のユーザーの場合、次のことができます。

機器を常に最新の状態に保ちます。攻撃される可能性を減らすために、コンピューター、スマートフォン、その他のデバイスのソフトウェアが最新であることを確認してください。

ウイルス対策ソフトウェアをインストールします。これは、マルウェアの検出とブロックに役立ちます。

不明なソースからのリンクをクリックしないでください。これらのリンクはマルウェアのダウンロードにつながる可能性があります。

強力なパスワードを使用し、定期的に変更してください。これは防止に役立ちますハッカーパスワードを推測して情報を取得します。

将来的には、DDoS 攻撃は進化し続けることが予想されますが、継続的な教育と予防策を講じることで、これらの脅威から身を守ることができます。