DNS通信を悪用した新しいサイバー攻撃
サイバー攻撃は、従来と比べて高度かつ巧妙で、危険なものへと進化している。サイバー犯罪者は、あらゆる技術を駆使して情報窃取やサービス不能を図り、被害企業へ大きなダメージを与えてくる。近年、特に注意したいのが「DNS(Domain Name System)」を悪用したサイバー攻撃だ。
DNSは、ドメイン名とIPアドレスの対応を管理する分散データベースで、インターネットを構成する非常に基礎的な技術の1つである。あらゆるインターネットアクセスが、DNSからスタートすると言っても過言ではない。さらにDNSトラフィックは、コントロールプレーンに分類され、アプリケーションを監視するタイプのセキュリティゲートウェイをスルーする。サイバー犯罪者からすれば、監視カメラのない裏道のような存在だ。
あるマルウェアは、取得した機密情報を符号化したうえでDNSクエリに含ませて、外部へ送信するのに利用していた。また、DNSクエリでエクスプロイトコードをダウンロードし続けて、ファイルレスでマルウェアを実行し、被害企業内のデバイスを遠隔操作するというバックドアも発見されている。いずれの手法も既存のセキュリティシステムでは検知することが非常に難しい。
「DNSを悪用する手法としては、DDoS攻撃のようにインフラやサービスを直接的に狙うものが著名です。しかし近年は、ドメインというブランド価値を狙うものや、機密データそのものを狙うものが増えています。ところがDNSは、100%信頼された技術として利用されており、ログを取っている組織すら稀です。そもそもネットワークチームが管理するもので、セキュリティチームの目が届かないというケースが大半なのです」と、Infoblox ソリューション技術統括本部(日本・韓国) 本部長の髙橋徹氏は述べる。
DNSは分散データベースであり、“再帰的問い合わせ”と“反復的問い合わせ”によって名前解決を行うシステムである。複数の拠点を持つグローバル企業ともなれば、社内ネットワークを複雑かつ膨大なトラフィックが流れることになる。また、クラウド活用とテレワークが進む現代において、DNSトラフィックを把握することは極めて困難だ。