技術解説

Cricket Liu 氏によるDNSサイバー攻撃対策セミナーレポート

去る6月9日にInfoblox社のチーフDNSアーキテクトを務めるクリケット・リウ氏が来日し、Infoblox社主催でセミナーが開催されました。

DNSに対する『DDoS攻撃』が未だにDNS最大の脅威

 

このセミナーでDNS&BINDの著者でありDNSの第一人者として知られるクリケット・リウ氏がDNSサイバー攻撃について講演したのでその内容をレポートします。

 セミナー全体

 

 

当日は、多くのエンドユーザー様が会場を埋め、盛況でした。クリケット・リウ氏は、DNSに対する最新の脅威とその対処法について熱く講演されました。やはり、DNSに対する『DDoS攻撃』が未だにDNS最大の脅威であるとの事です。

主な手法は2つ。『DNSサーバーに向けたDDoS攻撃』『DNSサーバーを悪用するDDoS攻撃』です。

DNSサーバーに向けたDDoS攻撃被害が深刻になっているのは、DNSサービスの特性上、権威DNSサーバーが公開されているためターゲットにしやすいためです。

 

そして権威DNSサーバーが停止すると、お客様はウェブサイトが停止してメールの受信もできなくなるなど、そのサイトのサービスが大きな影響を受けてしまうというところに攻撃者は魅力を感じているのです。

 

一方、DNSサーバーを悪用するDDoS攻撃が行われる理由は、DNSサーバーは通信のアンプ(増幅器)として使えるからです。

これは、DNSクエリに対するレスポンスが数十倍の通信になるという性質を悪用した攻撃です。

攻撃の際には、ほとんどの場合オープンリゾルバーが利用されます。攻撃者がオープンリゾルバーを利用するのは、多数の踏み台を容易に作れること、そして攻撃者を特定することがほぼ不可能となることが理由です。

 

DNSアンプ攻撃では、攻撃者はオープンリゾルバーに対してDNSの問い合わせを送ります。このとき、問い合わせパケットに設定する送信元IPアドレスを偽り、「攻撃したいコンピューターのIPアドレス」にしておくのです。すると、DNSレスポンスは偽装されたIPアドレスに対して送信されます。

 

踏み台にされた多数のオープンリゾルバーからこの様な多量のレスポンスが攻撃対象となるコンピューターに送り込まれ、トラフィックジャムを引きおこします。

最悪の場合、攻撃されたコンピューターはダウンしてしまうでしょう。

 

 

新たな脅威「DNSトンネリング」

これらのDDoS攻撃に対して、実装可能な対策とInfobloxアプライアンスを利用した場合のアーキテクチャ上の優位性、操作の簡素さがわかりやすく説明されていました。対策技術としてはクエリのモニタリング、Anycast、レスポンス・レート・リミッティング(RRL)、Infobloxの攻撃対策専用アプライアンスADPなどが紹介されました。

また、新たな脅威として、『DNSトンネリング』を解説しました。

 

このDNSトンネリングという手法は、今年の2月に株式会社ラックから注意喚起されたものですが、C&Cサーバーがマルウェアの遠隔操作にDNS通信を悪用して情報漏えいを引き起こすというものです。例えば、以下の様に利用されます。

 

  • ボットネットとC&Cサーバー間のチャネルとして利用
  • 既に社内に侵入したマルウェアが新たな指令やコードをダウンロードする事に利用
  • 機密情報の盗み出しに利用

 

なぜこの様な手法が使われるかというと、DNS再帰クエリの通信は組織の境界を越えて行き来します。DNS通信はどの組織でも当たり前の通信であり、普通は誰も気にしません。

 そしてDNSクエリとレスポンスはほとんどの場合監視されていないので不正通信に利用しても発覚しにくい上に、もし気付かれてもログを記録していることがほとんど無いのでトレースできないという実情があります。このため攻撃者がマルウェアのバックドア通信として利用するのに好都合となっているのです。

 

DNSトンネリングの場合、DNSを媒介としているため、ファイアウォールやその他のセキュリティ製品を導入していても、DNSクエリとレスポンスをモニタリングしていない限り見つけることは非常に困難であるというのがこの手法の特徴です。この、DNSトンネリングに対してもInfobloxは対策を持っています。

レピュテーションによる検査を行うInfoblox DNS Firewallと、リアルタイムの挙動解析によるInfoblox DNS Threat Insightの2種類です。

 

 Infobloxが実施するセキュリティ診断サービスとは

この仕組みを利用して、Infobloxではセキュリティ診断サービスを無償で行っています。

お客様のDNS通信データをpcap形式でお預かりして、Infobloxが提供している最新のレピュテーションフィードを基にマルウェアやランサムウェアの活動を分析し、考察レポートを提供します。

 

クリケット・リウ氏は今回の講演で、DNSセキュリティに関する脅威とその対策の必要性、そして解決策、実装方法や運用方法に関して提言をしました。

参加者の中にはDNSに関するセキュリティ対策を気にしていたもののその重大性について具体的な情報がなく、漠然とした不安にとどまっていた方もいらっしゃったようです。この講演と、別セッションで登壇された導入ユーザーによる事例報告を聞くことで具体的にイメージできて満足度の高いセミナーとなりました。

 

今回のセミナー映像ではありませんが、クリケット・リウ氏が5月に米国で行われたユーザー会でセキュリティ診断サービスについて話しているビデオがありますので、合わせてご覧ください。  

 

ビデオ

 クリケット・リウ氏の米国での講演ビデオ

 

掲載製品の特長・仕様はこちらから

キーワード「サイバー攻撃」に関連する製品・サービス