DDoS攻撃を検出していかに対応をとったのか?Azure Security Centerのその実際

DDoS攻撃を検出していかに対応をとったのか?Azure Security Centerのその実際

画像提供:マイナビニュース

Microsoftは6日(現地時間)、自社パブリッククラウドのセキュリティ脅威の防止と検出・対応を行うAzure Security Centerが、DDos攻撃を検出する仕組みを公式ブログで解説した。DDoS(Distributed Denial of Service attack: 分散型サービス妨害攻撃)は、サイバー攻撃者が大量のマシンを不正利用して一斉でアクセスし、サーバーリソースの枯渇を狙うのが一般的な攻撃手法である。

上図はAzure Security CenterがRDPに対するブルートフォース(総当たり)攻撃を検知したものだが、Microsoftはユニーク(一意)なIPアドレスが攻撃元であり、ブルートフォース攻撃成功後、攻撃者が3つの新しいユーザーアカウントを作成し、すべて同じパスワードを使用していることを確認した。

続いてサイバー攻撃者はユーザーアカウントの一時フォルダーに未知のバイナリーファイル「wrsd.exe」を実行して何らかのデータをダウンロード。whoamiコマンドでドメインとユーザーアカウントを確認してから、NLA(ネットワークレベル認証)をバイパスするレジストリエントリーを加えている。その結果、攻撃した仮想マシンにRDPクライアントからログイン可能となった。

Azure Security Centerはサイバー攻撃者侵入後、1時間以内に自社の脅威情報を使用して、攻撃者が利用しているサブスクリプションがマルウェアのダウンロード元となるシャドーサーバーとして使用される可能性があること検知。Microsoftの担当者は顧客へ連絡し、対応と改善策を講じたという。

Microsoftはサイバー攻撃の一例を示しつつ、仮想マシンに対するパスワードポリシーの強化やNSGs(Network Security Groups)を使ったエンドポイントの適用、ネットワークセキュリティグループを有効化、そしてVPNの使用を推奨している。

阿久津良和(Cactus)
(阿久津良和)