systemdown ukraine DoS 
親ロシア派のKillnet と呼ばれるグループが国内の政府や企業に攻撃を行っていていくつかのサイトがダウンしているようなのでメモ。
eLTAX などに接続しようとすると画面のようにタイムアウトしてしまうことが確認できます。
政府運営「e-Gov」などにサイバー攻撃か ロシア支持のハッカー集団「KILLNET」が声明 mixiやJCBへの攻撃にも言及 - ITmedia NEWS
ロシアを支持しているというハッカー集団「KILLNET」は9月6日、日本政府運営の行政情報の総合窓口サイト「e-Gov」などのWebサービスにサイバー攻撃を行ったと、メッセージアプリ「Telegram」上に投稿した。
DoS 詐欺 以前、警察が振り込め詐欺に利用されている電話番号に対して集中的に電話をかけて回線を飽和させることによって振り込め詐欺を力ずくで妨害するシステムを兵庫県警が導入していることが話題になりましたが、同様の DoS 攻撃システムが京都府警にも導入されたようなのでメモ。
PCから集中的に電話かけ特殊詐欺に“反撃” | NHKニュース
振り込め詐欺などの特殊詐欺による被害を減らそうと、京都府警は詐欺グループが使った電話番号にパソコンから集中的に電話をかけ続け、次の犯行に悪用されないようにするシステムを12日から導入しました。
こうしたシステムの導入は兵庫と長野に続き、京都府警が全国で3番目です。
そもそも電話を集中的にかけるという行為は、偽計業務妨害罪に問われたりすることもあることもある行為なわけで、詐欺を防ぐためとはいえ決して褒められたものではありません。回線の停止ができない理由は、以下のような総務省の電気通信事業法の解釈にあるわけですが、このあたりの立法的な措置は相変わらず進んでいないようです。
詐欺電話回線、停止に法の壁 : 科学 : 読売新聞(YOMIURI ONLINE)
総務省の解釈では、契約を拒否できるのは「天災や事故でサービス不能になった」「通信事業者や他の利用者に著しい不便をかける」場合などに限られ、「犯罪に利用されているというだけでは『正当な理由』とは認められない」(事業政策課)という。
bind jpcertcc cve DoS DNS サーバとしてよく使われているISC BIND 9 の 脆弱性に対する注意喚起を JPCERT/CC が出していたのでメモ。
ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって named が終了する可能性があります。なお、ISC は、脆弱性 CVE-2017-3137 に対する深刻度を、「高 (High)」、脆弱性 CVE-2017-3136 及び CVE-2017-3138 に対する深刻度を、「中 (Medium)」、と評価しています。
問題になっているのは CVE-2017-3136、CVE-2017-3137, CVE-2017-3138 の3つ。
それぞれのオリジナルのセキュリティアドバイザリと、JPRS が出している日本語の解説は下記のとおり。
BIND を使った DNS サーバを立てている場合には速やかに対策済みのバージョンにアップデートしておきましょう。
bind rhel jpcertcc cve DoS jprs BIND 9.0.0 以降のすべてのバージョンの BIND 9 に影響する DoS 攻撃を受ける脆弱性(CVE-2016-2776)が見つかったようです。
JPCERT/CC や JPRS から以下の注意喚起が出ています。
BIND の開発元の ISC によるアドバイザリはこちら。
RHEL については RHEL4~RHEL7 の bind (もしくは bind97)パッケージに影響がある(Affected)ようですが、RHEL4 はサポート終了のため対応しない(Will not fix)となっているので注意が必要です*1。
systemdown DoS congestion ケイオプティコムの eo 光の DNS サーバが DDoS 攻撃を受けて、利用者のネットが繋がりづらくなっていたようなのでメモ。
プロバイダへの攻撃なので、DDoS 対象はルータなのかと思っていましたが、DNS のキャッシュサーバだったようですね。ちょっと知識があればGoogle Public DNSあたりを使うという選択肢もあったのでしょうが、普通の人は「DNS サーバが使えない」=「(名前解決できずに)ネットつながらない」なので、どうしようもない感じの人も多かったのだろうと思います。
現在はほぼ正常にもどっているみたいですね。
「eo光」のDNSサーバーがDDoS攻撃被害、ほぼ復旧するも正式発表はまだ -INTERNET Watch
株式会社ケイ・オプティコムの光ファイバーインターネット接続サービスにおいて、加入者向けDNSサーバーに対するDDoSとみられる攻撃が6月29日から断続的に続き、ウェブ閲覧やメール送受信に時間がかかる症状が発生した。技術的対応などを進めた結果、7月3日16時30分ごろの段階では正常な通信が可能となっているが、状況を見守る必要があるため、完全復旧を発表していないという。
DoS 詐欺 兵庫県警がいわゆる振り込め詐欺(現在は特殊詐欺というようですが)に対して、電話をかけまくる攻撃をしかけてケータイを実質的に使用不能にする方法で被害を押さえ込んでいることがニュースになっていました。この手法はインターネット上のサービスで話題になることが多いサービス拒否 (DoS) 攻撃*1そのものですが、こんな使いかたがあるとは思いませんでしたね。
犯行グループに電話かけ続け「回線封じ」 兵庫県警の新作戦、特殊詐欺阻止に効果、3月以降「被害ゼロ」に(1/2ページ) - MSN産経west
捜査員は電話番号を自動的に発信する架電システムも利用して発信を続け、相手側回線を占拠。相手の電源が切れるまで繰り返す。着信を拒否されても別の回線で徹底してかけ続ける。
この作戦が奏功し、兵庫県内の還付金詐欺被害は、1~2月の計26件(被害額約1900万円)に対し、3月以降はゼロになった。市民からの相談件数も大幅に減ったという。
ニュース中の架電という用語がちょっと耳についたので調べてみたら、電話をかけるという言い方のちょっと専門的な言葉みたいですね。
IT業界にいますが、初めて聞きました。発呼は知ってるんですけどね。。。
架電 とは - コトバンク
[名](スル)《電話業界の用語からか》電話をかけること。電話すること。
サービス妨害攻撃またはサービス不能攻撃などと呼ばれる、インターネット経由での不正アクセスの1つ。大量のデータや不正パケットを送りつけるなどの不正な攻撃を指す。
cve bind DoS jprs JPRS から BIND が DoS 攻撃を受ける脆弱性について注意喚起*1を出しています。
対象となるバージョンはBIND 9.7.0以降のすべてのバージョンのBIND 9ですが、サポートが終了している 9.7に関してはパッチはリリースされていないことに注意が必要です。今回の脆弱性が面倒なのは、注意喚起文書の影響範囲に記載されているとおり、namedの設定ファイル(named.conf)によるアクセスコントロール(ACL) の設定では、影響を回避・軽減できません。よって、選択肢は速やかにパッチ済みのバージョンにアップグレードするしかありません。
今回の脆弱性はCVE - CVE-2013-4854*2 に起因するのようですが、RHEL のデータベースで CVE-2013-4854 について調べてみるとRHEL5 の bind パッケージや RHEL5, RHEL6 bind97 パッケージについては影響を受けないと記載されているので、RHEL5 で bind パッケージを使っている人は一安心ということでしょうか。
access.redhat.com | CVE-2013-4854
This issue did not affect the versions of bind as shipped with Red Hat Enterprise Linux 5. It does affect the versions of bind97 as shipped with Red Hat Enterprise Linux 5 and the versions of bind as shipped with Red Hat Enterprise Linux 6.
† 2013/07/29 追記
すいません。英語を読み間違えていたようです。
影響をうけないは RHEL5の bind だけで, RHEL5 の bind97 や RHEL6 の bind はdoes affect なので影響を受けるようですね。
† 2013/07/30 追記
RedHat からRHEL5 (bind97) と RHEL6 (bind) 向けのエラータ(RHSA-2013:1115,RHSA-2013:1114)が出ました。
† 2013/07/31 追記
CentOS5 で bind97 32:9.7.0-17.P2.el5_9.2 が配信されていることを確認できました。
bind dns jpcertcc DoS jprs checker 
DNS サーバーを運用している場合にそれがオープンリゾルバになっていないかどうかについて JPCERT/CC から注意注意喚起が出ています。
DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
運用管理対象のキャッシュサーバにおいて再帰的な問い合わせを受け付ける 範囲を確認し、必要最小限になるようアクセス制限を施してください。また、この機会に DNS サーバの設定を確認し、意図した動作をしているか見直すことをお勧めします。
さっそく JPRS の資料*1に従って、 BIND の設定を確認してみました。この資料に出てくるTest for Open Resolvers というサービスに IP アドレスを打ち込むと自分のサーバーがオープンリゾルバかそうでないかすぐに分かります。画像のようにclosed の表示が出れば設定は問題ありません。
こういう問題が起きる前から、再帰的クエリは第三者から受け付けるようにしてはいけないと言われていたような気がするんですよね。出所が思い出せませんが、確かバッタ本に書いてあったような気がします。また、以前にDNS のチェックサイトを紹介したときにも、このような再帰クエリを第三者に許可していないかどうかはチェック対象になっていて、そのサービスのチェック結果が"Good. Your nameservers (the ones reported by the parent server) do not report that they allow recursive queries for anyone." となっていたのでした。
† 参考
jpcertcc bind cve DoS jprs JPCERT/CC が BIND 9 の脆弱性について注意喚起を行っていたので、 サーバの BIND をアップデートしました。
それにしても BIND の脆弱性はなかなか無くならないものですね。
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2012-4244) に関する注意喚起
ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があります。BIND が RDATA フィールドの長さ 65,535 バイトを超えるレコードを読み込んだ後、このレコードに対する問い合わせが行なわれると、BIND が停止する可能性があります。
ISC 社の情報によると、本脆弱性に対する攻撃は確認されていませんが、すべての ISC BIND 9 を使用した DNS サーバ (権威 DNS サーバ、キャッシュDNS サーバ) が対象となること、攻撃手法が比較的容易であることから、「III. 対策」を参考に、修正済みのバージョンの適用について検討してください。
† 参考
・CVE - CVE-2012-4244 (under review)
・CVE-2012-4244: A specially crafted Resource Record could cause named to terminate | Internet Systems Consortium Knowledge Base
・(緊急)BIND 9.xの脆弱性(サービス停止)について
php DoS PoC ウェブアプリケーションに共通する DoS 攻撃手法として hashdos というものが出現しているらしいのでメモ。
徳丸浩の日記: Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策
連想配列の実装には、高速な検索が要求されるためハッシュテーブルが用いられます。ハッシュテーブルは、文字列を整数値(ハッシュ値)に変換するハッシュ関数を用いて、平均的には一定時間に検索・挿入・削除が行えるデータ構造です。しかし、ハッシュ値が一致する(衝突する)キー文字列については、通常ハッシュテーブルは順次的な探索となり、検索・挿入などが遅くなります。
hashdosは、ハッシュ値が同じになるキーを多数POSTパラメータに含ませることにより、CPU資源を枯渇させる攻撃です。
試しにローカルで exploit を実行してみましたが CPU を使い切ってしまいました。
mod_security によって対策できるようなので、下記のルールを有効にしておきました。
とりあえずこれで急場はしのげそうです。
Academic[574]
Book[155]
Diary[522]
Disaster[101]
Foodlogue[1425]
Game[284]
Goods[805]
Healthcare[341]
Hobby[32]
IT[1195]
Military[343]
misc.[1570]
Mobile[510]
Music[38]
Neta[106]
News[95]
Photo[391]
RealEstate[120] Security[1178]
SEO Contest[36]
Software[634]
Tips[1886]
Travelogue[1238]
Web[675]
Work[193]
