memcachedのセキュリティの話

平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。

 このたび、適切なアクセス制限を設定していないmemcachedがリフレクションDDoS攻撃 発信の踏み台として悪用されている事例がJPCERTコーディネーションセンターより報告 されました。

 ▼「memcachedのアクセス制御に関する注意喚起」(JPCERTコーディネーションセンター)
 https://www.jpcert.or.jp/at/2018/at180009.html

 アクセス制限をせずにmemcachedを運用した場合、DDoS攻撃のほか、キャッシュデータ を第三者に参照され、情報漏洩が発生する可能性もございます。

 お客さまにおかれましては、memcachedに適切なアクセス制限が設定されているかを今 一度ご確認いただき、不正に利用されないよう対策をお願いいたします。

【重要】memcachedのアクセス制御に関する注意喚起 | さくらインターネット


そう言えばそんな話あったけど最近サーバの存在忘れてたなあと思って、久々に設定見直してみたらそもそもmemcached使ってなかったです。うちのサイトのキャッシュはKyotoTycoonでやってたんだった。そんで、今見てみたらKyotoTycoon、6年くらい開発止まってました。そうかー。6年もあるといろいろ変わるのですね。まあ今さら調べてテストして選定してコード書き換えてってするモチベーションが無いのでしないけど。

ていうかこの間、ちょっとした修正をする必要があったので仕方なくEclipse開いて(重い!)、コミットしたらそうだったSubversion使ってたんだったってなった。今仕事では全部Gitでやってるんだけど、そうだ昔はSubversionの方が多かったんだなあと遠い目になりました。Eclipseに比べるとAtomは軽くて良いなあ。Eclipseの方が多機能ではあるけど、Atomで十分やれてるし。Gitも慣れると使いやすくて気に入ってます。GitHub便利だし。コンフリクト怖くないし。



まあそういうわけなので、件名に戻ると、うちには関係なかったですということでした。


仕事で使ってるサーバの方は知らんけど、まあ多分なんかやってるでしょう。僕より全然優秀なエンジニアが管理してるので。