ラックは2月1日、同社が運営する緊急対応サービス「サイバー119」で調査した複数の案件において、企業内部で暗躍する遠隔操作ウィルスに対する指令の伝達手段としてDNSパケットを悪用する事案を初めて確認したとして、注意喚起情報を公開した。
今回の事案は、2015年後半に複数の大手企業より依頼を受け、不審なソフトウェアが動作しているPCをラックのフォレンジック担当者が調査し、判明したもの。解析したところ、この不審なソフトウェアは企業内の情報を盗み出す目的で使用される遠隔操作ウィルス(RAT:リモートアクセスツール)であり、攻撃者との指令伝達にDNS(Domain Name System)の通信を使用するDNSトンネリングとも言われる手口であることが確認された。
ウェブ閲覧における通常のDNSの動きと、
遠隔操作ウィルスの制御にDNSを用いた不正な行動の動き
具体的には、攻撃者がDNSサーバを模した指令サーバ(C2サーバやC&Cサーバとも呼ばれる)を構築し、企業内部で活動する遠隔操作ウィルスが、通常のDNS要求を模したリクエストを指令サーバのドメインに送り、指令の伝播を実現していた。ラックが緊急対応した事案では、この手口が使用されたケースは初という。
今回確認されたDNS通信による指令伝達には、以下のような深刻な特徴がある。
- DNSはインターネット接続を実現する重要な技術で、DNSサービスはPCやスマートフォンなどインターネット接続機能を持つ機器であれば必ず使用しなければならず、影響を受ける可能性のある機器が非常に多い
- DNSサービスへのアクセスを防ぐには、攻撃者が用意したDNSサーバのドメイン名を知る必要があるうえに、ドメイン名を知っていてもそのアクセスの制限は容易ではない
- DNSサーバを企業内部のネットワークに構築していても、DNSの動作の履歴をログとして記録することはほとんどの企業で実施していないため、不正なDNSアクセスについて把握できない
- ウェブブラウザやメール、メッセンジャーなどのアプリケーションを制限した業務端末であっても、遠隔操作ウィルスが実行できる機器であればDNSプロトコルを介して遠隔操作される危険がある
企業にとってDNSプロトコルを悪用した脅威への対応が困難な理由
上記のような理由から、本件のような脅威への対応は困難ではあるが、少なくとも遠隔操作ウィルスの不正なDNS通信の有無を調査し、不正な通信が発見された場合には、速やかに遠隔操作ウィルス対策をする必要があるとしている。
本件に関する技術的な説明と、対策の方法の詳細は注意喚起本文で解説されている。
