なぜMicrosoftは大規模サービス障害を防ぐことができなかったのか

DDoS攻撃は30年以上も前から存在する古典的な攻撃手法で、対策もある。このDDoS攻撃によって複数のMicrosoftのサービスがダウンした。何が起きたのか。

[David Jones，Cybersecurity Dive]

　Microsoftの顧客は2023年6月9日、「Microsoft Azure」のポータルサイトにアクセスできなくなった（注1）。「Microsoft Entra」の管理センターと「Microsoft Intune」へのアクセスにも影響があった。同じ週の初めには、「Microsoft OneDrive」「Microsoft Outlook」「Microsoft SharePoint」（注2）、「Microsoft Teams」をはじめとした一連のサービスも使えなくなった。

なぜ大規模な障害が広がったのか

　2023年6月16日、MicrosoftはDDoS（Distributed Denial of Service attack）攻撃によってAzureやOneDrive、Outlookを含む複数のサービスに障害が発生したと発表した（注3）。

　複数の仮想プライベートサーバやレンタルされたクラウドインフラストラクチャ、オープンプロキシ、DDoSツールを組み合わせた攻撃の可能性が高い。Microsoftによると、顧客データに対するアクセスや、データが漏えいした形跡はないという。

　Microsoftの研究者は侵害時に用いられた独自の用語体系から、Storm-135（別名、Anonymous Sudan）による攻撃だと特定した（注4）。Storm-135は社会的、政治的な目的を達成しようとするハクティビストグループだ。彼らは以前にも攻撃を自分たちが実行したと主張しており（注5）、Microsoftもこれらの脅威を認識していた。

最近のDDoS攻撃はレイヤー7を標的にしている

　最近のDDoS攻撃は、レイヤー3やレイヤー4ではなく、レイヤー7を標的にする。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によると（注6）、通信の階層のうち、レイヤー7（アプリケーション層）を標的とするDDoS攻撃は、アプリケーションにおけるサーバインフラストラクチャの要素をターゲットとする。レイヤー7に対する攻撃は特に複雑で見つけにくく、正規のWebサイトからのトラフィックに似ているため検知が難しいという。

　レイヤー3（ネットワーク層）またはレイヤー4（トランスポート層）を標的とする攻撃は、大量のデータを利用してネットワークのパフォーマンスを遅らせるか、圧倒する。

　Microsoftによれば、将来のDDoS攻撃から顧客を保護するために、Azure Web Application Firewall（Azure WAF）のチューニングをはじめとしたレイヤー7の保護を強化している。

　Storm-1359はbotネットやツールにアクセスしており、複数のクラウドサービスやオープンプロキシインフラストラクチャから攻撃を仕掛けることができるとMicrosoftは語る。同社は、Storm-1359がレイヤー7を標的とした次のような攻撃を仕掛けたことを仕掛けたことを確認した。

・HTTP／HTTPSフラッド攻撃　SSL/TLSハンドシェイクとHTTP／HTTPSリクエストでWebサーバに高い負荷を与えてシステムリソースを消耗させようとする攻撃で、世界中の何百万もの異なるソースIPからのリクエストによって実行される

・キャッシュバイパス攻撃　Webサーバーのキャッシュメカニズムを回避して、キャッシュに保存されたデータをバイパスして直接データを取得する攻撃だ。CDN（Content Delivery Network）レイヤーを迂回して目的のWebサーバに高い負荷をかける

・スローロリス攻撃　標的のWebサーバに対して複数の接続を開いたまま放置して、リクエストを長時間にわたって保持し続けることで、Webサーバのリソースを消耗する攻撃。画像を要求した後にダウンロードを開始しなかったり、極めてゆっくりとダウンロードしたりすることでWebサーバへのリソースを尽きさせる

　研究者は以前、ロシアに関連するハクティビストグループKillnetのサブグループの活動とAnonymous Sudanを結び付けた。

　Anonymous Sudanは最近、米国最大の貨物運送会社UPSなどで起きた混乱を引き起こしたと主張した。UPSの広報担当者によると、同社には2023年6月の初めに短時間の混乱があったが、顧客への影響はなかったという。同社は原因を調査中だ。

　サイバーセキュリティ事業を営むTruesecの研究者によると、最近、Killnetのグループは攻撃能力を誇示しており、RaaS（Ransomware as a Service）を用いたREvilに関連する元ジュニアメンバーを活動に加えた可能性があるという。KillnetとAnonymous Sudanは最近、国際銀行システムを崩壊させる計画を発表した。

出典：Microsoft confirms DDoS attacks caused Azure, OneDrive outages（Cybersecurity Dive）

注1：Microsoft says Azure disrupted after a week of repeated service outages（Cybersecurity Dive）

注2：Microsoft investigating threat actor claims following multiple outages in 365, OneDrive（Cybersecurity Dive）

注3：Microsoft Response to Layer 7 Distributed Denial of Service (DDoS) Attacks（msrc.microsoft）

注4：Microsoft summons weather events to name threat actors（Cybersecurity Dive）

注5：Microsoft says Azure disrupted after a week of repeated service outages（Cybersecurity Dive）

注6：DDoS QUICK GUIDE（cisa）