あなたの愛するサービスを止めないため、あなた自身ができること
【重要】新しいBlogに移転しています:あるネットゲーマーの日常
2014年06月20日 (金)
今日は直接的にはROと関係ない話かもしれませんが、
ぜひ皆さんにも考えていただきたいと思い、
ちょっと長くなりますが書いていきます...φ(・ω・`)
メインの部分が「皆さん」向けで、
おまけ側にもうちょっと技術寄りの話を書きます
メインの部分だけでも読んでいただければと
先に結論から書いてしまうと、皆さんに以下のことをお願いしたいのです
・WindowsUpdateを拒絶しない
・セキュリティ系ソフトをインストールする
・特にWin7以下の場合
・使わないソフトはアンインストールする
・特にJava
・インストール済みのソフトをアップデートする
・特にJavaとFlash
なぜこんなことを言いだしたのかというと、
現在こういう事件が起こっているからです
「ファンタシースターオンライン2」DDoS攻撃でサービス一時停止 サイトにも攻撃
www.itmedia.co.jp/news/articles/1406/20/news077.html
「DDoS攻撃」というのは、正確ではない表現なのを承知で書くと、
「超洗練された大量PCからのF5アタック」だと思ってください
もちろん、手動でなにかしているわけではなく、
乗っ取った大量のPC群(以下「ボットネット」と書きます)に、
攻撃者が命令を送り、一斉にサーバアタックをかけている、というわけです
ポイントは「大量のPC」のかなりの割合が、「家庭用のPC」ということです
密かに進入され、攻撃者からの命令を待ち続けているPCが、
世界中に山ほどあるのですΣ(゚Д゚)ガーン
昔の「ウィルス」は感染するとPCに悪さをするので、
すぐに「感染したこと」がわかりました
そもそも、目的も「いたずら」がメインでした
しかし、もはやネット犯罪は「組織」によるものになり、
その多くは「金銭目的」に変わっています
あらかじめ感染したPCのネットワーク=ボットネットを構築しておき、
自分たちでどこかの脅迫に使ったり、
あるいはそこで不正プログラムを実行する権利を売ったりしています
なので、感染がばれて駆除されてしまい、
使いたいときに使えないのも困るので、
どんどん巧妙に隠されるようになり、感染していても全く気づけなくなっています(lll゚Д゚)
PSO2に限らず、LoLのような海外のゲームや、
Evernoteのような皆が使うWebサービスも、同じような攻撃にさらされており、
Evernoteの事例ではもろに脅迫されています
Game 4 Broke: ここ最近の北米サーバーに対するDDoS攻撃について
game4broke.blogspot.jp/2014/02/naddos.html
(LoLの事例)
feedlyとEvernote、脅迫的DDoS攻撃から復旧、金銭要求に屈せず
internet.watch.impress.co.jp/docs/news/20140612_652997.html
ご覧の通り、LoLへの攻撃は、PSO2へのものと酷似しています
おそらく同じ手法によるものでしょう
ところで、先ほどDDoSとは「大量PCからのF5アタック」と書きましたが、
それならばアタックしてきているIPをサーバで弾いてしまえば、
多少障害は残っても回復するのでは・・・と思うかもしれません
実際、私も最初はそう思っていたのですが、
最近見つかった「Webサーバの穴」(つまり、Windowsでも家庭用でもない)により、
IPそのものをごまかして、しかも数百倍の効率で攻撃が可能になっています(; д ) ゚ ゚
正直、現時点で効率のよい対策はありません
おそらく攻撃側が圧倒的優位であり、
セガさんも相当頑張っているとは思いますが、かなり分の悪い勝負です
(しかも、今週末にリアルイベントが控えており、
もしかすると攻撃者はそれを知っていてこのタイミングにした可能性も)
さらにいえば、今回たまたまPSO2が標的になりましたが、
ROのようなMMOどころか、皆さんが普段使っているサービス、
例えば「ニコニコ」が攻撃される可能性も十二分にあります(lll゚Д゚)
一度攻撃が始まってしまえば、攻撃に対処するのが非常に難しいので、
最大の対策は「攻撃させないこと」になります
言い換えれば、私達の扱っているPCのセキュリティレベルを上げることです
先ほども書いたように、最近における攻撃の起点はボットネットです
PSO2が落ちて文句をつけている方のPCが、
ボットネットの一部として攻撃に荷担している可能性は十分にあります
以前、ROのセキュリティについて書いていた時期、
「対策をしないことで、加害者になるかもしれない」と書いてましたが、
まさにそういった時代が到来した、ということです(´-ω-)
では、どうやってセキュリティレベルを上げればいいのでしょう?
実はそう難しいことではありません
WindowsUpdateを欠かさないだけでも、
相当なレベルで防御ができます
しかも、Win8以降にはMS謹製の無料対策ソフトがインストール済みで、
Win7以下にも同じソフトが提供されていますので、
有料ソフトを買わなくても、最低限の対策ができます
Microsoft Security Essentials - Microsoft Windows
windows.microsoft.com/ja-jp/windows/security-essentials-download
最近のOSは特にセキュリティレベルが高く、
OSそのものに穴があっても被害は最小限ですし、
対策ソフトさえあれば相当防げます
なので、攻撃対象はWindowsではなく、
皆がインストールしているけど、Updateしていないソフト、
特に「Java」と「Flash」に集中していますΣ(・ω・ノ)ノ
JavaやFlashの脆弱性放置、依然として多数の状況――Websense調査
www.itmedia.co.jp/enterprise/articles/1309/09/news026.html
JavaやFlashはMacでも使われているため、
これらの穴をつくことで、Win/Mac両対応が可能な場合もあり、
その意味でも相当に狙われています
まずJavaですが、PCで「マインクラフト」でもプレイしていない限り、
おそらくWebサイトでJavaを要求されることはほ、ぼなくなっていると思われます
(「Java」と「JavaScript」は全くの別物です)
にもかかわらず、メーカー製PCには良くインストールされていたりするので、
とりあえずアンインストールを検討してください
必要ならばまた最新版を入れればいいので
あとFlashですが、IE10/11かChromeを使っていれば、
ブラウザ内でFlashが管理されているため、
自動Updateで更新されるのでかなり安心です(`・ω・´)
しかし、それ以外のブラウザ、例えばIE9以下やFirefox等々の場合、
外部からFlashをインストールしなければならず、
Updateしてない方が相当な数いると思われます
できるだけ定期的にFlashの更新をチェックしてもらうか、
面倒ならば先ほど挙げた「組み込み済みのブラウザ」、
IE11やChromeを使うことも検討してください
以前なら、(対策しなくても)危ないサイトに行かなければ大丈夫、
なんてことも言われておりました
しかし、もうそんなのが通用する時代ではありませんΣ(゚Д゚;≡;゚д゚)
niconicoなどのサイトに不正プログラムへの誘導広告
マイクロアドの広告配信サービス経由で表示
nlab.itmedia.co.jp/nl/articles/1406/20/news045.html
「ニコニコ」のような、多くのネットユーザが使うサービスで、
このようにトロイがばらまかれる時代です
もはや「危なくないサイト」なんて存在しません
もう一度まとめます
・WindowsUpdateを拒絶しない
・セキュリティ系ソフトをインストールする
・特にWin7以下の場合
・使わないソフトはアンインストールする
・特にJava
・インストール済みのソフトをアップデートする
・特にJavaとFlash
あなたの愛するサイトを守るため、
そしてあなた自身がその攻撃の加害者にならないため、
是非とも考えていただければと思います(-人-)
ぜひ皆さんにも考えていただきたいと思い、
ちょっと長くなりますが書いていきます...φ(・ω・`)
メインの部分が「皆さん」向けで、
おまけ側にもうちょっと技術寄りの話を書きます
メインの部分だけでも読んでいただければと
先に結論から書いてしまうと、皆さんに以下のことをお願いしたいのです
・WindowsUpdateを拒絶しない
・セキュリティ系ソフトをインストールする
・特にWin7以下の場合
・使わないソフトはアンインストールする
・特にJava
・インストール済みのソフトをアップデートする
・特にJavaとFlash
なぜこんなことを言いだしたのかというと、
現在こういう事件が起こっているからです
「ファンタシースターオンライン2」DDoS攻撃でサービス一時停止 サイトにも攻撃
www.itmedia.co.jp/news/articles/1406/20/news077.html
「DDoS攻撃」というのは、正確ではない表現なのを承知で書くと、
「超洗練された大量PCからのF5アタック」だと思ってください
もちろん、手動でなにかしているわけではなく、
乗っ取った大量のPC群(以下「ボットネット」と書きます)に、
攻撃者が命令を送り、一斉にサーバアタックをかけている、というわけです
ポイントは「大量のPC」のかなりの割合が、「家庭用のPC」ということです
密かに進入され、攻撃者からの命令を待ち続けているPCが、
世界中に山ほどあるのですΣ(゚Д゚)ガーン
昔の「ウィルス」は感染するとPCに悪さをするので、
すぐに「感染したこと」がわかりました
そもそも、目的も「いたずら」がメインでした
しかし、もはやネット犯罪は「組織」によるものになり、
その多くは「金銭目的」に変わっています
あらかじめ感染したPCのネットワーク=ボットネットを構築しておき、
自分たちでどこかの脅迫に使ったり、
あるいはそこで不正プログラムを実行する権利を売ったりしています
なので、感染がばれて駆除されてしまい、
使いたいときに使えないのも困るので、
どんどん巧妙に隠されるようになり、感染していても全く気づけなくなっています(lll゚Д゚)
PSO2に限らず、LoLのような海外のゲームや、
Evernoteのような皆が使うWebサービスも、同じような攻撃にさらされており、
Evernoteの事例ではもろに脅迫されています
Game 4 Broke: ここ最近の北米サーバーに対するDDoS攻撃について
game4broke.blogspot.jp/2014/02/naddos.html
(LoLの事例)
feedlyとEvernote、脅迫的DDoS攻撃から復旧、金銭要求に屈せず
internet.watch.impress.co.jp/docs/news/20140612_652997.html
ご覧の通り、LoLへの攻撃は、PSO2へのものと酷似しています
おそらく同じ手法によるものでしょう
ところで、先ほどDDoSとは「大量PCからのF5アタック」と書きましたが、
それならばアタックしてきているIPをサーバで弾いてしまえば、
多少障害は残っても回復するのでは・・・と思うかもしれません
実際、私も最初はそう思っていたのですが、
最近見つかった「Webサーバの穴」(つまり、Windowsでも家庭用でもない)により、
IPそのものをごまかして、しかも数百倍の効率で攻撃が可能になっています(; д ) ゚ ゚
正直、現時点で効率のよい対策はありません
おそらく攻撃側が圧倒的優位であり、
セガさんも相当頑張っているとは思いますが、かなり分の悪い勝負です
(しかも、今週末にリアルイベントが控えており、
もしかすると攻撃者はそれを知っていてこのタイミングにした可能性も)
さらにいえば、今回たまたまPSO2が標的になりましたが、
ROのようなMMOどころか、皆さんが普段使っているサービス、
例えば「ニコニコ」が攻撃される可能性も十二分にあります(lll゚Д゚)
一度攻撃が始まってしまえば、攻撃に対処するのが非常に難しいので、
最大の対策は「攻撃させないこと」になります
言い換えれば、私達の扱っているPCのセキュリティレベルを上げることです
先ほども書いたように、最近における攻撃の起点はボットネットです
PSO2が落ちて文句をつけている方のPCが、
ボットネットの一部として攻撃に荷担している可能性は十分にあります
以前、ROのセキュリティについて書いていた時期、
「対策をしないことで、加害者になるかもしれない」と書いてましたが、
まさにそういった時代が到来した、ということです(´-ω-)
では、どうやってセキュリティレベルを上げればいいのでしょう?
実はそう難しいことではありません
WindowsUpdateを欠かさないだけでも、
相当なレベルで防御ができます
しかも、Win8以降にはMS謹製の無料対策ソフトがインストール済みで、
Win7以下にも同じソフトが提供されていますので、
有料ソフトを買わなくても、最低限の対策ができます
Microsoft Security Essentials - Microsoft Windows
windows.microsoft.com/ja-jp/windows/security-essentials-download
最近のOSは特にセキュリティレベルが高く、
OSそのものに穴があっても被害は最小限ですし、
対策ソフトさえあれば相当防げます
なので、攻撃対象はWindowsではなく、
皆がインストールしているけど、Updateしていないソフト、
特に「Java」と「Flash」に集中していますΣ(・ω・ノ)ノ
JavaやFlashの脆弱性放置、依然として多数の状況――Websense調査
www.itmedia.co.jp/enterprise/articles/1309/09/news026.html
JavaやFlashはMacでも使われているため、
これらの穴をつくことで、Win/Mac両対応が可能な場合もあり、
その意味でも相当に狙われています
まずJavaですが、PCで「マインクラフト」でもプレイしていない限り、
おそらくWebサイトでJavaを要求されることはほ、ぼなくなっていると思われます
(「Java」と「JavaScript」は全くの別物です)
にもかかわらず、メーカー製PCには良くインストールされていたりするので、
とりあえずアンインストールを検討してください
必要ならばまた最新版を入れればいいので
あとFlashですが、IE10/11かChromeを使っていれば、
ブラウザ内でFlashが管理されているため、
自動Updateで更新されるのでかなり安心です(`・ω・´)
しかし、それ以外のブラウザ、例えばIE9以下やFirefox等々の場合、
外部からFlashをインストールしなければならず、
Updateしてない方が相当な数いると思われます
できるだけ定期的にFlashの更新をチェックしてもらうか、
面倒ならば先ほど挙げた「組み込み済みのブラウザ」、
IE11やChromeを使うことも検討してください
以前なら、(対策しなくても)危ないサイトに行かなければ大丈夫、
なんてことも言われておりました
しかし、もうそんなのが通用する時代ではありませんΣ(゚Д゚;≡;゚д゚)
niconicoなどのサイトに不正プログラムへの誘導広告
マイクロアドの広告配信サービス経由で表示
nlab.itmedia.co.jp/nl/articles/1406/20/news045.html
「ニコニコ」のような、多くのネットユーザが使うサービスで、
このようにトロイがばらまかれる時代です
もはや「危なくないサイト」なんて存在しません
もう一度まとめます
・WindowsUpdateを拒絶しない
・セキュリティ系ソフトをインストールする
・特にWin7以下の場合
・使わないソフトはアンインストールする
・特にJava
・インストール済みのソフトをアップデートする
・特にJavaとFlash
あなたの愛するサイトを守るため、
そしてあなた自身がその攻撃の加害者にならないため、
是非とも考えていただければと思います(-人-)
<おまけ>
以下、技術がわかる方向けの詳細です
今回の攻撃は「NTPリフレクション」という手法と思われます
悪用される時刻同期(NTP)サーバー、新手のDDoS攻撃で“加害者”になる
itpro.nikkeibp.co.jp/article/COLUMN/20140122/531463/
脆弱性のあるNTPサーバに対し、ボットネットからリクエストを送りつけ、
その「応答」を攻撃対象(今回ならばPSO2のサーバ)に向けることで、
数百倍に増幅したDDoSを仕掛ける・・・というのが今回の攻撃です
この辺から私もちょっと怪しくなってきますが、
UDPプロトコルは信頼性を犠牲にしているため、
IPの偽装が簡単に行えるため、IPによる対策は難しくなってます
しかも、送ったパケットに対して、応答が200倍以上になるそうなので、
サーバが過負荷というよりは、
ネットワーク自体が過負荷で詰まった可能性が大です
サーバに到達していないのであれば、
アクセスログ等から解析も難しいでしょうし、
そもそも「応答パケット」なので「アクセス」ですらないのです
DNSの脆弱性でも同じ攻撃は可能だそうですが、
DNSをわざわざ立てている人は少数だと思いますし、
逆にNTPを使ってないサーバなんてほとんどないはずです
よって、もし今回の攻撃で増幅元になっているサーバを押さえたとしても、
別の増幅元を探すことは容易なので、
このままではどうしようもありません(´-ω-)
企業のサーバは専任の管理者がいて、
この手の情報を集めて対策していると思いますが、
問題は個人のサーバです
昔と違い、安いVPSがずいぶん出てきまして、
私もいくつか契約しております
ただ、VPSって家庭内サーバと違い、
基本的にはデフォルトで全てのポートが空いており、
iptables等によるパケット制御を自前でやらないといけません
家庭用ルータはデフォルトで外からアクセスできないので、
サーバのiptablesを止めるとかよくありますが、
VPSでそれをやってしまうと致命的です
安かったので契約したものの、結局使わず放置しており、
ポートも開けっ放しでアップデートもしていない・・・
そんなサーバはないでしょうか?
いい機会だと思いますので、一通りチェックしてみて、
使ってないVPSについては停止するといった、
技術者として可能な対策を、ぜひ検討してみてください
<2014/06/25追記>
どうもDNSの脆弱性を突いた増幅版DDoS攻撃らしく、
秒間9000万リクエスト、110Gbpsの規模だそうです(; д ) ゚ ゚
http://thehackernews.com/2014/06/dns-flood-ddos-attack-hit-video-gaming.html
</追記>
以下、技術がわかる方向けの詳細です
今回の攻撃は「NTPリフレクション」という手法と思われます
悪用される時刻同期(NTP)サーバー、新手のDDoS攻撃で“加害者”になる
itpro.nikkeibp.co.jp/article/COLUMN/20140122/531463/
脆弱性のあるNTPサーバに対し、ボットネットからリクエストを送りつけ、
その「応答」を攻撃対象(今回ならばPSO2のサーバ)に向けることで、
数百倍に増幅したDDoSを仕掛ける・・・というのが今回の攻撃です
この辺から私もちょっと怪しくなってきますが、
UDPプロトコルは信頼性を犠牲にしているため、
IPの偽装が簡単に行えるため、IPによる対策は難しくなってます
しかも、送ったパケットに対して、応答が200倍以上になるそうなので、
サーバが過負荷というよりは、
ネットワーク自体が過負荷で詰まった可能性が大です
サーバに到達していないのであれば、
アクセスログ等から解析も難しいでしょうし、
そもそも「応答パケット」なので「アクセス」ですらないのです
DNSの脆弱性でも同じ攻撃は可能だそうですが、
DNSをわざわざ立てている人は少数だと思いますし、
逆にNTPを使ってないサーバなんてほとんどないはずです
よって、もし今回の攻撃で増幅元になっているサーバを押さえたとしても、
別の増幅元を探すことは容易なので、
このままではどうしようもありません(´-ω-)
企業のサーバは専任の管理者がいて、
この手の情報を集めて対策していると思いますが、
問題は個人のサーバです
昔と違い、安いVPSがずいぶん出てきまして、
私もいくつか契約しております
ただ、VPSって家庭内サーバと違い、
基本的にはデフォルトで全てのポートが空いており、
iptables等によるパケット制御を自前でやらないといけません
家庭用ルータはデフォルトで外からアクセスできないので、
サーバのiptablesを止めるとかよくありますが、
VPSでそれをやってしまうと致命的です
安かったので契約したものの、結局使わず放置しており、
ポートも開けっ放しでアップデートもしていない・・・
そんなサーバはないでしょうか?
いい機会だと思いますので、一通りチェックしてみて、
使ってないVPSについては停止するといった、
技術者として可能な対策を、ぜひ検討してみてください
<2014/06/25追記>
どうもDNSの脆弱性を突いた増幅版DDoS攻撃らしく、
秒間9000万リクエスト、110Gbpsの規模だそうです(; д ) ゚ ゚
http://thehackernews.com/2014/06/dns-flood-ddos-attack-hit-video-gaming.html
</追記>
