考察:DDoS攻撃の踏み台になる挙動は“脆弱性”といえるか?

錦化成 踏み台 ハローキティ ツー・ステップ レッド
DNS ampや、NTPのmonlistのようなリフレクション攻撃もしくはDRDoS攻撃の踏み台となる挙動は、“脆弱性”と呼ぶべきだろうか?わたしは脆弱性ではなく、"不具合"もしくは"仕様の誤り/不適切な仕様"が正しいと考える。

考察

まずは脆弱性の一般的な定義を参照する。

脆弱性
ソフトウエア等において、コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所。ウェブアプリケーションにあっては、ウェブサイト運営者がアクセス制御機能により保護すべき情報等に誰もがアクセスできるような、安全性が欠如している状態を含む。


ソフトウエア等脆弱性関連情報取扱基準

この定義における、「機能や性能」とは、セキュリティの定義である機密性、完全性、可用性の3つと解釈して差し支えあるまい。すなわち機密性、完全性、可用性を低下させない挙動は、脆弱性とはいえない。

リフレクション攻撃の踏み台となるような挙動は、機密性と完全性を低下させないことは明らかである。故に残りのひとつ、可用性が鍵といえる。システムの可用性が踏み台となることで低下する場合は脆弱性といえ、逆に低下しない場合は脆弱性ではなく、単に不具合と呼ぶべきだ。多くのシステムの場合、UDPのパケットを返答するぐらいでは、CPUやメモリの消費は低く、システムの可用性には影響がない。

DDoS攻撃を受けて、システムの可用性が低下した場合は、その原因を脆弱性と呼んでもよい。しかし他システムへの攻撃の踏み台となる挙動は、加害者の加担をしているという社会的な責任はあるとはいえ、脆弱性とは呼べないと考える。


相当する共通脆弱性タイプ一覧:CWE-406 Insufficient Control of Network Message Volume (Network Amplification)
関連する脆弱性:CVE-1999-0513、CVE-2013-5211

2018-06-11追記

この記事を書いてから4年たち、振り返ってみる。脆弱性という言葉の定義はひとまずおいて考えると、この事象が原因となって、各種組織における対応が必要になっているのは事実であり、(日本国憲法下において天皇が元首であるか否かの議論みたいなもので、脆弱性に該当するか否かはないかは、重要ではないと言える。