誰もが接続しやすいコネクティビティクラウドのリーディングカンパニーであるCloudflare(クラウドフレア)は本日、「HTTP/2 Rapid Reset」と呼ばれる新しいZero-Day脆弱性の顕在化に貢献したことを発表しました。この世界規模の脆弱性を悪用すると、攻撃者はインターネット史上最大規模の攻撃を行うことができます。Cloudflareではインターネットエコシステム全体に対するこの新たな脅威の影響を軽減するため、このRapid Resetを悪用した攻撃を自動的に阻止できる専用技術を開発しました。
Cloudflareはこうした問題の緩和に成功し、すべてのお客様に対する悪用の可能性を阻止すると同時に、他の2つの主要なインフラプロバイダーとの間で、責任ある開示プロセスを立ち上げ、脅威の存在が一般に公開される前に、この脆弱性の軽減策をインターネットの大部分に拡充しました。
Cloudflareの共同創設者兼最高経営責任者(CEO)であるマシュー・プリンス(Matthew Prince)は、「あらゆる重要なインフラ企業、お客様、インターネット全般に対するこの脅威をうまく軽減することが、Cloudflareの存在価値といえます。Cloudflareは、インターネットの完全性を維持するために必要なスピードで、この規模の脅威を特定し、対処できる数少ない企業の一社であると自負しています。このDDoS攻撃と脆弱性は、それ自体が互いに関連しているかもしれませんが、他にもZero-Day脆弱性は常に存在し、進化し続ける攻撃者による戦術、そして新しい攻撃と技術が生み出されています。これらへの継続的な準備と対応は、より良いインターネットを構築する私たちの使命の中核に位置します」と述べています。
HTTP/2 Rapid Resetの分析
2023年8月下旬、Cloudflareは未知の攻撃者によるZero-Day脆弱性を悪用した攻撃の兆候を発見しました。この脆弱性は、インターネットやほとんどのWebサイトがどのように動作するかの基本的な部分を担う標準のHTTP/2プロトコルを悪用したものです。HTTP/2は、ブラウザとWebサイトとの対話を取り仕切り、画像やテキストなどのコンテンツをすばやく、またWebサイトがいかに複雑なものであっても一度に「リクエスト」できるようにするものです。この新たな攻撃は、何十万もの「リクエスト」を作成し、直 ちにそれらを取り消すという仕掛けです。この「リクエスト、取り消し、リクエスト、取り消し」の一連のパターンを膨大な規模で自動化することにより、攻撃者はWebサイトを過負荷状態に陥れ、HTTP/2を使用するサービスすべてを停止に追い込みます。
「Rapid Reset」を利用することで、攻撃者は、インターネット史上観測された最大規模よりもさらに規模の大きい攻撃でインターネット上のターゲットを攻撃する強力な新手法を手にすることができます。HTTP/2はWebアプリケーション全体の約60%で使用されており、利用者のWebサイトのブラウズや、Webサイト上での操作の速度と品質を決定します。
Cloudflareのデータによると、Rapid Resetを利用するいくつかの攻撃は、インターネット史上最大のDDoS攻撃のほぼ3倍に達することがわかりました。Cloudflareは、このDDoS攻撃のピーク時に、1秒当たり2億1,000万件(Mrps)以上のリクエストを記録・処理し、それに続く何千件もの追加の攻撃を軽減しました。
Cloudflareのトラフィックパターンのタイムライン:2023年8月下旬~2023年10月初旬
Cloudflareが同業他社と協力し、攻撃を阻止した方法
過去に例を見ない規模の攻撃手法を持つ攻撃者は、自らの攻撃を吸収できるだけのインフラを保有していないため、攻撃効果について検証・把握することが極めて困難です。このため攻撃者は、攻撃の能力を把 握する目的で、Cloudflareのようなプロバイダーに対して試験的な攻撃を仕掛けることがよくあります。
Cloudflareの最高安全責任者(CSO)であるグラント・ブルジカス(Grant Bourzikas)は、「Rapid Resetのような脆弱性を利用した大規模な攻撃は複雑で軽減が困難である一方、攻撃者が攻撃の開発初期に、それまでにはなかった、新たな手口の『前兆』のようなものを見せることがあります。「完全な開示」のようなものはなく、その途中でダウンタイムや問題が生じることもありますが、攻撃を阻止し、突発的なインシデントに対処するには、Cloudflareチームの奨励する『侵害を想定する』というマインドセットに従って行動することが、組織やセキュリティチームに求められます。最終的には、このことによって、インターネットを安全なものにする、信頼に足るパートナーとなることができます」と指摘します。
HTTP/2 Rapid Resetの詳細とCloudflareが直面した状況:
Cloudflare(クラウドフレア)について
Cloudflare, Inc.(NYSE:NET / https://www.cloudflare.com/ja-jp/ )は、世界中のあらゆ る組織や個人、アプリケーション、ネットワークを高速かつ安全にするとともに複雑性やコストの削減を実現する、誰もが接続しやすいコネクティビティクラウドのリーディングカンパニーです。Cloudflareのコネクティビティクラウドは、最もフル機能かつ統一されたクラウドネイティブ製品と開発者ツールプラットフォームを提供し、業務、開発、ビジネスの加速に欠かせないコントロールをあらゆる組織にもたらします。
世界最大級で相互接続数も最多級のネットワークを誇るCloudflareは、お客様のために日々何十億件ものオンライン脅威をブロックしています。大手企業、起業家、小企業、非営利団体、人権団体、政府機関まで、世界中で数百万に上る組織から信頼をお寄せいただいています。
Cloudflareのコネクティビティクラウドの詳細についてはcloudflare.com/connectivity-cloud、インターネットの最新トレンドとインサイトについては、https://radar.cloudflare.comをご覧ください。
SNS:ブログ | X | LinkedIn | Facebook | Instagram
将来予想に関する記述
本プレスリリースには、将来予想に関する記述(1933年米国証券法第27A条および1934年米国証券取引所法21E条(いずれもその後の改正を含む)に該当)があり、それらには重大なリスクおよび不確定要因が含まれています。将来予想に関する記述は、「場合があります」、「つもりです、するでしょう」、「はずです」、「見込まれます」、「可能性を探ります」、「する計画です」、「予想します」、「かもしれません」、「意図しています」、「目標とします」、「見積ります」、「検討します」、「考えます」、「推測します」、「予測します」、「潜在的」、「引き続き」、またはそれらの否定表現、あるいは当社の予想、戦略、計画、または意図に関わるその他同様の用語もしくは表現によって識別することができます。しかし、すべての将来予想に関する記述にこうした語句が含まれているわけではありません。本プレスリリースにて明示または黙示されている将来予想に関する記述には、Cloudflareのグローバルネットワーク、およびインターネット攻撃をブロックするための製品と技術(HTTP/2 Rapid Resetを利用したものを含む)に関する計画や目標、インターネット攻撃(HTTP/2 Rapid Resetを利用したものを含む)を阻止するためのCloudflareの製品と技術の有効性、Cloudflareの技術開発、将来の事業展開、成長、イニシアチブ、戦略、CloudflareのCEO兼共同創設者のMatthew PrinceおよびCSO Grant Bourzikasその他のコメントに関する記述を含みますが、それらに限定はされません。当社が2023年8月3日に米国証券取引委員会(SEC)に提出した四半期報告書(フォーム10-Q)や当社がSECに随時提出するその他の文書で詳説するリスク(ただしこれらに限定はされない)をはじめ、さまざまな要因によって、上記の将来予想に関する記述で明示または黙示した結果と実際の結果との間に重大な相違が生じる可能性があります。
本プレスリリースに含まれる将来予想に関する記述は、あくまで記述当日現在の事象についてのみ言及しています。Cloudflareは、法律で義務付けられた場合を除き、本プレスリリースの日付以降の事象や状況を反映するために、あるいは新しい情報や予期しない事象の発生を反映するために、将来予想に関する記述を更新する義務を負いません。Cloudflareが将来予想に関する記述で開示した計画、意図、予想は実際に実行・達成されない場合があるため、Cloudflareの将来予想に関する記述に過剰に依存すべきではありません。
© 2023 Cloudflare, Inc.無断転載を禁じます。Cloudflare、Cloudflareのロゴ、およびその他のCloudflareのマークは、米国およびその他の法域におけるCloudflare, Inc. の商標や登録商標です。本書に記載されているその他の商標および名称は、各所有者の商標である可能性があります。