WS-Discoveryを利用する、新型DDoS攻撃。プリンターやIPカメラが攻撃に利用される。

誤った設定でインターネットに公開されている機器をDDoSツールに変化させる(写真:アフロ)

 ローカルネットワーク上のサービスや、近くのデバイスを見つけるために使用されるマルチキャスト検出プロトコルのWS-Discovery。Windows Vista以降のパソコンや、2008年以降に出荷されたプリンターやIPカメラ等にも利用されている。このWS-Discoveryを悪用したDDoS攻撃が今年に入ってから数件確認されるようになり、関心が高まっている。

■WS-Discoveryを利用した新型DDoS攻撃

 WS-Discoveryは、本来で有ればLANで利用されることを想定したプロトコルだが、「誤った設定の機器」が多数存在しており、インターネット上でWS-Discoveryに応答するように構成された機器が、DDoS攻撃に利用されている。

 WS-DiscoveryをUDPプロトコルで利用すると、攻撃者はUDPフラッド攻撃を実行することが可能だ。例えば、WS-Discoveryの送信元IPアドレスを攻撃対象のIPアドレスに偽装してUDPパケットを多数の機器に送信する。攻撃用WS-Discoveryパケットを受け取った機器は、一斉に攻撃対象のIPアドレスへと返信を行う。

 更に、WS-Discoveryの応答は、受信パケットの数倍のサイズに増幅させることが可能だ。攻撃者はこれらの特性を利用して、攻撃対象のIPアドレスに大量のWS-Discoveryの応答パケットを投げつけることで、サービス提供不能な状態にする。

■大量のIPカメラやプリンタがDDoS攻撃に利用される

 WS-Discoveryを使用した最初のDDoSキャンペーンは、2019年5月にTucker Prestonによって発見され、350 Gbpsを超える130のDDoS攻撃が確認された。最初の攻撃はその後数か月で沈静化したが、2019年8月にZeroBSによって2回目のDDoSキャンペーンが確認された。2回目の攻撃は、最大40 Gbpsに達し、5,000台のデバイスを使用するボットネットが関与した。そのほとんどはIPカメラとプリンターであった。

 DDoS攻撃対策大手のアカマイ社も本攻撃を検出しており、警鐘を鳴らしている。

■緩和策

 本DDoS攻撃に対して、FWやルータ等でUDP送信元ポート3702をブロックすることで、攻撃トラフィックがサーバーに到達するのを防ぐことが可能だ。

・シスコスタイルのACL

 ipv4 access-list[ACCESS-LIST NAME]1 udp any eq 3702 host[TARGET IP]

 ipv4 access-list[ACCESS-LIST NAME]2 udp any host[TARGET IP]フラグメントを拒否

・Linux iptables ACL

 iptables-A INPUT-i[インターフェイス]-p udp-m udp--sport 3702-j DROP

出典:https://blogs.akamai.com

 ただ、増幅されたトラフィックがネットワークの輻輳状態を作り出す問題は解決されないので、ACL以外にも、DDoS対策ソリューションを導入する等の対策を検討することが望ましい。

 IoT時代には、様々な機器が通信機能を有するようになり、利便性が向上する一方で、脆弱な仕様は今回のような攻撃に利用されるリスクが存在する。新たな機器をネットワークに繋げる時には、自社のインフラ保護という観点だけでなく、攻撃ツールとして利用されるリスクについても考慮する必要が有るだろう。