先日、メールでさくらインターネットから注意喚起の記事が届きました。
【重要】memcachedのアクセス制御に関する注意喚起 – さくらインターネット
WebサーバーなどでWebページ表示の高速化を行う目的で、memcachedというプログラムを利用することがあります。
このmemcachedですが、実はローカルにある必要はなく、例えばWebサーバーが動作している環境とは別のマシンにmemcachedをインストールし、Webサーバーから参照する…ということも可能になっています。
このmemcachedの機能を悪用して踏み台とし、特定のホストに対してDDoS攻撃を仕掛けることができてしまうようです。
memcachedを悪用する攻撃は国内でも多数観測–IIJ – ZDNet
memcachedが初期設定ではホスト上の全てのネットワークインターフェースでTCPやUDPの11211ポートに対する着信を受け付けるため、インターネット上の不特定多数のホストからの通信を受け付けてしまう可能性があると解説。リクエストに対してレスポンスにおけるメッセージサイズが大きくなるため、これを悪用して通信量を増幅させることでDDoS攻撃を仕掛けることが可能になる。
対策前のmemcachedはデフォルトで外部からの通信を受け付ける設定になっていたとのことで、入れっぱなしでアクセス制限などを設けていないと、DDoS攻撃に悪用されてしまう可能性があるとのこと。
ごくごく一般的に使われているものなので、最近のディストリビュージョンではパッケージマネージャーなどでサクッとインストールできるようになっているものが多いです。
使っていなくても、何かの機会にインストールしている可能性もありうるので、サーバー管理者の方は一度確認をされた方がいいかもしれません。
