新種のDdoS攻撃“NAPTHA”（BindView社）

　BindView社のRAZORセキュリティ・チームがDoS（サービス使用不能）攻撃に悪用される恐れのある脆弱性を発見し、それらの脆弱性をNapthaと名づけた。
DoS攻撃とは攻撃対象となるシステムに膨大なアクセス要求を送りつけて相手のリソースを消費させ、サービスの機能を低

製品・サービス・業界動向業界動向

2000.12.14 Thu 12:00

　BindView社のRAZORセキュリティ・チームがDoS（サービス使用不能）攻撃に悪用される恐れのある脆弱性を発見し、それらの脆弱性をNapthaと名づけた。
DoS攻撃とは攻撃対象となるシステムに膨大なアクセス要求を送りつけて相手のリソースを消費させ、サービスの機能を低下もしくは停止させる悪意ある行為だ。同チームによると、Napthaは、TCP/IPスタックとネットワーク・アプリケーションのTCPコネクションの状態を処理する方法にある。

　TCPコネクションに膨大な量が送信されると、個々のアプリケーションもしくはOSは過度にリソースを消費し、機能停止に陥る。過去に、この様なTCPコネクションを利用した攻撃手法が成功した例はなかった。理由は、攻撃対象のリソースを消費するのと同様に攻撃者のリソースも食い尽くすからである。
しかし、このNapthaを悪用した手法の場合、攻撃者側は僅かなリソースを消費するだけで容易にターゲットとなるシステムにDoS攻撃をしかけることができる。

　Napthaが悪用されることで影響を受ける可能性のあるOSは、Compaq社のTru64 UNIX V4.0F、FreeBSD社のFreeBSD 4.0-REL、General Linux社のLinux 2.0 kernel-based systems、Hewlett-Packard社のHP-UX 11.00、Microsoft社のWindows 95,98,98SE,MeとWindows NT 4.0 SP6aなどがあり、現在調査中だ。殆どのベンダーはまだNapthaのパッチを作成していないが、Microsoft社はWindows NT 4.0 SP6aのパッチ（英語版）を公開した。

　対応策として同チームは下記の措置を推奨している。
1.Naptha攻撃を受ける恐れのある全てのシステムについて、動作しているサービスを限定する。とくに公開されているシステムは注意する。
2.ファイアウォール技術を使用して露呈されているICPポートへの接続を制限する。公開されているシステムにおいては、この措置は非実用的であるが、可能な限り制限すべきである。
3.外部との接続領域（ルータやファイアウォールなど）を適切に設定し、出入りをフィルタリングする。
4.Unixシステムにおいては、inetdもしくは可能ならばDan Bernstein氏（米イリノイ大学の準教授）のtcpserverを使用して大量に生成されるデーモンプロセスを制限する。この方法では、特定のデーモンのリソースが過剰利用されるのを防ぐことはできない。しかし、デーモンがサーバをクラッシュするのを防ぐことができる。つまり、サーバの復旧が可能となる。
5.システムにおいて、種々のTCPタイムアウトやキープアライブを適切に調整する。それにより、短時間で復旧が可能になる。
　現在（11月30日）のところ、Napthaを悪用した被害報告は受けていない。
　