【重要】memcachedのアクセス制御に関する注意喚起

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 　  2018年2月27日
お客さま各位
　　　　　　　　　　　　　　　　　　　　　　　　　　さくらインターネット株式会社


　平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。

　このたび、適切なアクセス制限を設定していないmemcachedがリフレクションDDoS攻撃
発信の踏み台として悪用されている事例がJPCERTコーディネーションセンターより報告
されました。

　▼「memcachedのアクセス制御に関する注意喚起」（JPCERTコーディネーションセンター）
　　https://www.jpcert.or.jp/at/2018/at180009.html

　アクセス制限をせずにmemcachedを運用した場合、DDoS攻撃のほか、キャッシュデータ
を第三者に参照され、情報漏洩が発生する可能性もございます。

　お客さまにおかれましては、memcachedに適切なアクセス制限が設定されているかを今
一度ご確認いただき、不正に利用されないよう対策をお願いいたします。

　なお、対策の例として詳細情報を下記にご案内いたしますのでご参照ください。

　さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、精一杯努
めて参ります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。


　　　　　　　　　　　　　　　　　　＜記＞


■memcachedのアクセス制御対応について

　▼対象サービス
　　・さくらのVPS
　　・さくらのクラウド
　　・さくらの専用サーバ（専用サーバ、専用サーバPlatformを含む）

　▼対応方法の例
　　【方法1】
　　　memcachedにアクセス可能なIPアドレスをlocalhost（127.0.0.1）に限定する設定、
　　　UDPを無効にする設定、またはその両方の設定を実施する。

　　【方法2】
　　　memcachedを使用していない場合、停止して自動起動を無効にする。不要であれ
　　　ばアンインストールする。

　　【方法3】
　　　ファイアウォールを設定し、memcachedが使用するポートへのアクセスを制限する。

　▼CentOS7における【方法1】の設定例
　　以下に CentOS7 における【方法1】の具体的な設定例を示しますのでご参考ください。

　　1. CentOS7におけるmemcached動作状態を確認する
　　　 rootユーザーにてコマンド「systemctl status memcached」を実行します。
　　　 コマンドの結果 "Active: active (running)" と表示された場合、memcachedが動
　　　 作していますので、アクセス制限の対応が必要となります。

　  2. /etc/sysconfig/memcachedファイルの「OPTIONS」を以下内容に変更
       IPv4のみ使用する場合　OPTIONS="-l 127.0.0.1 -U 0"
       IPv4とIPv6を使用する場合　OPTIONS="-l 127.0.0.1,::1 -U 0"

 　 3. memcached を再起動
　　　 rootユーザーにてコマンド「systemctl restart memcached」を実行します。

  　4. 変更が適用されたことを確認
　　　 rootユーザーにてコマンド「curl memcached-udp-check.dns.ne.jp」を実行し
　　   ます。
   　  コマンドを実行した結果、SAFEと表示された場合は設定完了です。VERSIONから始
　　　 まる行が表示された場合、memcachedが外部からUDPでアクセス可能となっており、
　　　 DDoS攻撃に悪用される恐れがあります。
　　　 アクセス制限が正しく適用されていない可能性がありますので、再度設定をお確
　　　 かめください。

■本件に関するお問い合わせ
  メールアドレス : support@sakura.ad.jp