米国家安全保障局(NSA)は米国時間1月14日、「DNS-over-HTTPS」(DoH)などをはじめとするDNSプロトコルの暗号化が持つメリットとリスクを説明するアドバイザリーを公開した。DoHはこの2年ほどでかなり普及している。
提供:ZDNet
NSAは、DoHなどの技術を利用すれば、ユーザーのDNSクエリーを暗号化することでその内容をネットワークを監視している攻撃者から隠すことができるものの、社内ネットワークの内部で使用する場合にはデメリットもあると警告している。
NSAは、同日公開したセキュリティアドバイザリーで「DoHは万能薬ではない」と述べ、DoHの使用は、企業に偽りの安心感を与えてしまうと主張している。
NSAによれば、DoHを使用しても攻撃者がユーザーのトラフィックを完全に見られなくなるわけではない上に、ネットワークの内部で使用した場合、従来の(平文の)DNSトラフィックを調べることで脅威を検知している多くのセキュリティツールの働きを阻害する可能性があるという。
また、今日のDoHを使用可能なDNSサーバーの多くは、社内ネットワークの外部にホストされているため、企業の制御下にはなく監査を行うこともできない。
サードパーティーのものではなく、自前のDoHサーバーを使用すべき
NSAは企業に対して、社内ネットワークでは暗号化されたDNSを使用するのを避けるか、DoHを使用可能なDNSサーバーを使用する場合には、少なくとも社内でホストし、自社の制御下に置くべきだと述べている。
さらにこのアドバイスは、DoHを使用可能なDNSサーバーだけでなく、従来のDNSサーバーにも当てはまるという。
「企業ネットワークのDNSトラフィックは、暗号化されているかどうかに関わらず、指定されたDNSリゾルバーだけに送信するようにすることを勧める」とNSAは述べている。
「これによって、エンタープライズセキュリティの重要な制御手段を適切に使用することができ、ローカルネットワークのリソースへのアクセスを促進し、ネットワーク内の情報の保護につなげることができる」(NSA)
「他の全てのDNSサーバーは無効化するか、ブロックすべきだ」(同)
NSAのアドバイザリーが公開される前には、イランの攻撃者が、DoHを悪用してハッキングされたネットワークから検知されずにデータを抜き出していた事例が見つかっている。
また、GitHubで入手できる無料のツールを使えば、簡単に暗号化されたDoH接続を乗っ取って盗んだデータを秘密裏に送信し、従来のDNSを利用したセキュリティ対策を迂回することができる。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。