NSAが社内ネットワークでのDoHの利用に警告

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2021-01-18 11:19

 米国家安全保障局(NSA)は米国時間1月14日、「DNS-over-HTTPS」(DoH)などをはじめとするDNSプロトコルの暗号化が持つメリットとリスクを説明するアドバイザリーを公開した。DoHはこの2年ほどでかなり普及している。

DNS-over-HTTPS
提供:ZDNet

 NSAは、DoHなどの技術を利用すれば、ユーザーのDNSクエリーを暗号化することでその内容をネットワークを監視している攻撃者から隠すことができるものの、社内ネットワークの内部で使用する場合にはデメリットもあると警告している。

 NSAは、同日公開したセキュリティアドバイザリーで「DoHは万能薬ではない」と述べ、DoHの使用は、企業に偽りの安心感を与えてしまうと主張している。

 NSAによれば、DoHを使用しても攻撃者がユーザーのトラフィックを完全に見られなくなるわけではない上に、ネットワークの内部で使用した場合、従来の(平文の)DNSトラフィックを調べることで脅威を検知している多くのセキュリティツールの働きを阻害する可能性があるという。

 また、今日のDoHを使用可能なDNSサーバーの多くは、社内ネットワークの外部にホストされているため、企業の制御下にはなく監査を行うこともできない。

サードパーティーのものではなく、自前のDoHサーバーを使用すべき

 NSAは企業に対して、社内ネットワークでは暗号化されたDNSを使用するのを避けるか、DoHを使用可能なDNSサーバーを使用する場合には、少なくとも社内でホストし、自社の制御下に置くべきだと述べている。

 さらにこのアドバイスは、DoHを使用可能なDNSサーバーだけでなく、従来のDNSサーバーにも当てはまるという。

 「企業ネットワークのDNSトラフィックは、暗号化されているかどうかに関わらず、指定されたDNSリゾルバーだけに送信するようにすることを勧める」とNSAは述べている。

 「これによって、エンタープライズセキュリティの重要な制御手段を適切に使用することができ、ローカルネットワークのリソースへのアクセスを促進し、ネットワーク内の情報の保護につなげることができる」(NSA)

 「他の全てのDNSサーバーは無効化するか、ブロックすべきだ」(同)

 NSAのアドバイザリーが公開される前には、イランの攻撃者が、DoHを悪用してハッキングされたネットワークから検知されずにデータを抜き出していた事例が見つかっている。

 また、GitHubで入手できる無料のツールを使えば、簡単に暗号化されたDoH接続を乗っ取って盗んだデータを秘密裏に送信し、従来のDNSを利用したセキュリティ対策を迂回することができる。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]