GoogleによるKrebsOnSecurity保護の背景

昨秋(2016年9月)、ブログ「KrebsOnSecurity」がIoTボットネットの非常に強力な攻撃を受け、Akamaiが対応しきれないと判断、その後Googleが「Project Shield」を適用して復活した、という件がありました。

先日、Enigmaセキュリティ会議において、Google側の関係者により、背後の事情が発表されました。

「いかにしてGoogleはIoTボットネットに反撃、勝利したのか」

arstechnica.com

  • 最初に打診を受けた時、Googleのセキュリティ技術者の間では「この影響でgoogle.comが落ちたら大問題だ」というリスクを懸念していたが、その後「もしボットネットで落ちるなら、今回の打診を受けなくても、そのうち落とされる。それなら失うものは何もない」という意見が優勢になり、1時間で打診を受ける決定に至った。
  • 実は、打診の時点で別の問題もあった。Project Shieldでは「申し出る側がサイトのコントロールをもつこと」が前提。にも関わらず、このときサイトは落ちており、DNSも奪取を恐れてロックされていた。しかし最終的にはGoogle側はProject Shieldの適用を決断した。
  • 小さなサイトの防衛は、実は難しい。サイトのサーバの能力が低く、対応可能なリクエスト数の上限が小さいため。Googleはサーバに届く前に攻撃アクセスを全て識別、遮断する必要があった。
  • ただし、小さなサイトでもキャッシュサーバは有効。
  • Akamai(Prolexic)が防御しきれず、Googleが耐えられたのは、Googleの方が元々の防御規模が大きかったため。
  • 今でもKrebsOnSecurityへの攻撃は続いている。

というわけです。

しかし、IoTボットネットが手軽な攻撃手段になった一方で、誰もがProject Shieldの守護を得られるわけではない以上、今後はやはり大変と言わざるを得ませんね。