認識していようといまいと、すべての組織はドメインネームシステム (DNS) に依存しています。DNSは、人々があなたのウェブサイトを見つけ、eコマースアプリで買い物をし、あなたにメールを送ることを可能にするものです。ビジネスだけでなく、インターネット全体にとっても重要なサービスです。

そのため、DNSサーバーがサイバー犯罪者の標的になっているのは理にかなっています。

• 82%の企業が直近1年の間にDNS攻撃を受けています。
• 63%の企業が、DNS攻撃の結果としてアプリケーションのダウンタイムを経験しています。
• 広範なDNSハイジャックが2017年と2018年に報告されており、12カ国の複数のセクターが標的となっていました。
• マルウェアの80%は、データを盗んだりマルウェアを拡散したりするために、DNSを使用してコマンドアンドコントロール (C2) サーバとの接続を確立します。

DNSベースの攻撃に対処するために、Fully Qualified Domain Names (完全修飾ドメイン名、FQDN)をブラックリストに掲載することだけに依存している場合、ぜひこの記事をご覧ください。悪意のある攻撃者や攻撃の媒介者が巧妙化しているため、セキュリティも強化する必要があります。

一般的なDNS攻撃方法

DNSサーバ自体は、必ずしもDNSベースの攻撃のターゲットではありません。その代わりに、DNSプロトコルの機能が悪用されることがよくあり、それにより攻撃者が環境から機密データを取り出すことが可能になります。

ネットワーク内のユーザが意図せずに悪意のあるサイトにアクセスすると、接続しているマシンにマルウェアがインストールされることがよく見られます。マシンが感染すると、DNSを利用してC2サーバに接続し、命令を受信して処理します。攻撃者が環境に侵入すると、マルウェアが拡散する可能性が大幅に高まります。

その他の主なDNS攻撃方法は次のとおりです。

• ドメインハイジャック: DNSレコードやドメインレジストラへの不正な変更が含まれます。これにより、トラフィックは元のサーバから新しい(悪意のある可能性が高い)宛先に転送されます。
• DNS フラッド攻撃: 分散サービス拒否 (DDoS) 攻撃であり、DNSサーバの可用性に影響を与えます。
• DNSスプーフィング(キャッシュ・ポイズニング): 攻撃者は、システムの脆弱性を悪用して、悪意のあるデータをDNSリゾルバのキャッシュに注入しようとします。
• DNSトンネリング: 一度マシンが感染すると、このマルウェアはDNSを悪用して機密データを盗み、攻撃者のC2サーバから命令を受け取ります。

SecureListによって報告された最近のDNS違反は、この課題のスコープを示しています。

「5月中旬（2020年）、イスラエルの研究者が、DNSの権限委譲（delegation）プロセスに潜む新たなDNSサーバーの脆弱性を報告しました。この脆弱性の悪用スキームは「NXNSAttack」と名付けられました。ハッカーは、正規の再帰DNSサーバーに、自身の悪意のあるDNSサーバーの権威ゾーン内にある複数のサブドメインへのリクエストを送信します。これに対し、悪意のあるサーバーは、対象ドメイン内の多数の偽のNSサーバーに、IPアドレスを指定せずにリクエストを委譲します。その結果、正規のDNSサーバーは、提案されたサブドメインのすべてに問い合わせを行い、トラフィックが1620倍に増加します。」

DNSの脆弱性の原因

組織内のDNSの本質的な機能は、セキュリティに多くのリスクをもたらします。

• インターネットへのアクセスは24時間365日のアクセスが必要であるため、セキュリティ検査であっても、DNS操作が中断されないようにすることが一般的に求められています。
• ほとんどのDNS要求は制限されていないため、セキュリティデバイスを通過することが許可されており、攻撃者に悪用される可能性があります。
• 組織によっては、「不正なドメイン名」のブラックリストを作成してDNS攻撃をブロックしようとします。ただし、攻撃者はDomain Generation Algorithms (DGA) を使用して制限を回避します。Domain Generation Algorithmsを使用すると、ドメインの一部がブロックされている場合でも、数千のドメインを作成してローテーションし、クライアントとサーバ間のC 2をそのまま保持できます。
• 増え続ける悪意のあるドメインを手動でブラックリストに登録していると、管理上のオーバーヘッドが大幅に増加します。

DNS攻撃からシステムをセキュアにする方法

Palo Alto Networksはこの高まる脅威に対処するため、DNS Securityという新機能をリリースしました。この機能は、Threat Preventionライセンスを通じて提供されるスパイウェア対策機能と組み合わせて使用されます。この機能は、既知の悪意のあるドメイン、およびDomain Generation Algorithm (DGA) から作成されたドメインへのトラフィックを検出するために、さまざまなフィードからリアルタイムで更新されるクラウドサービスを使用します。

このDNS Security機能は、複数の信頼できる脅威インテリジェンスフィードから既知の悪意のあるドメインに関する重要な情報を取得し、それを機械学習および予測分析と組み合わせて、DGAによって作成されたドメインへのアクセスを動的に識別してブロックします。

クライアントが悪意のあるドメインに要求を送信すると、Palo Alto Next-Generation Firewall (DNS Securityが構成されている場合)がトラフィックを代行受信し、DNS要求をクラウドデータベース内の情報と比較します。要求が悪意のあるものとしてクラウドデータベースに表示された場合、またはDNSトンネリングが疑われる場合、DNS要求は自動的にドロップされます。これにより、接続を停止できるだけでなく、詳細な調査が必要なデバイスがネットワーク上にあることをアナリストに知らせることができます。

お気軽に専門家にご相談してください

当社は、すべてのクラウドアカウントに含まれる無料のDNS管理サービスを通じて、お客様がDNSを管理できるよう支援します。弊社のセキュリティソリューションをご覧ください。

また、もっと知りたいことやご興味のある方は、お気軽にお問い合わせください。

本記事の翻訳編集は、アイレット株式会社Rackspace 事業部ビルドエンジニアの知念梨果が担当いたしました。