DNS攻撃の種類:仕組みと保護方法
著者: Milena Baghdasaryan
翻訳: 逆井 晶子
この記事はPowerDMARCのブログ記事 Types of DNS Attacks: How They Work & How to Stay Protected の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
Domain Name System(DNS)は、人間が読みやすいドメイン名を機械が読み取れるIPアドレスに変換することで、ユーザーとWebサイトがスムーズかつシームレスにやり取りできるようにします。
デジタル通信においてDNSの重要性が高いため、DNSはしばしば攻撃の標的となり、データ漏洩やサービス停止を引き起こします。
2022年には、世界中の組織の88%がDNS攻撃の被害を受けました。
1件あたりの平均被害額は94万2,000ドルでした。
企業がデジタルプラットフォームへの依存を深める中で、DNSの脆弱性を理解し対策を講じることは、ネットワークのセキュリティを維持し、機密データを保護するために非常に重要になっています。
重要なポイント
- DNS攻撃は、ネットワークのドメインネームシステムサービスの安定性や機能性を狙うものです。
- 一般的なDNS攻撃の種類には、DNSスプーフィング(キャッシュポイズニング)、DNSハイジャック、DNSトンネリング、DNSアンプリフィケーション攻撃、サブドメインテイクオーバー、NXDOMAIN攻撃、中間者(MITM)DNS攻撃などがあります。
- DNS攻撃の影響は、財務的、レピュテーション、セキュリティ面で壊滅的なものになり得ます。
- DNSSECの実装、安全なDNSリゾルバの利用、DNS構成の定期的な監視と更新など、DNS攻撃を防止または軽減するための手段は多数あります。
DNS攻撃とは?
DNS攻撃とは、特定のネットワークにおけるドメインネームシステムサービスの安定性や機能性を標的とした攻撃を指します。
より広い目的としては、ユーザーを疑わしい、しばしば有害なWebサイトへリダイレクトしたり、機密情報への不正アクセスを得たりすることがあります。
代表的なDNS攻撃の種類
1.DNSスプーフィング(キャッシュポイズニング)
2020年にSAD DNSと呼ばれる重大なDNSキャッシュポイズニングの脆弱性が発見されました。
これは数百万台のデバイスに影響を与え、広範なパッチ対応が必要とされました。
DNSスプーフィングまたはキャッシュポイズニングとは、DNSリゾルバのキャッシュに偽の情報を注入する悪意のある手法です。
この偽装により、DNSクエリに対して誤った応答が返され、ユーザーは不正なWebサイトに誘導されます。
DNSシステムが侵害されると、Webトラフィックは意図しない宛先にルーティングされますが、正規のWebサイトのIPアドレス自体は変更されません。
DNSキャッシュの脆弱性は、キャッシュされたデータを独立して検証できないことに起因します。
そのため、TTL(有効期間)が切れるか手動で削除されるまで、誤ったDNS情報がキャッシュ内に残り続けます。
2.DNSハイジャック
DNSのハイジャックとは、攻撃者がDNSクエリの解決方法を意図的に改竄するDNS攻撃のことを指します。
これにより、ユーザーは悪意のあるWebサイトに誘導されます。
攻撃者は、ユーザーのPCにマルウェアをインストールしたり、ルーターを乗っ取ったり、DNS通信を傍受するなどの手法を用いて攻撃を実行します。
攻撃者はフィッシングやファーミングの目的でもDNSハイジャックを利用します。
正規のWebサイトのDNSをハイジャックした後、見た目が似ている偽のWebサイトにユーザーを誘導し、ログイン情報の入力を促します。
一部の政府や検閲を行う政府機関では、市民を国家承認のWebサイトへ誘導するためにDNSハイジャックを使用することもあります。
3.DNSトンネリング
DNSトンネリングは、DNSプロトコルを悪用して、ポート53を通じてDNS以外のトラフィックを送信する攻撃です。
この手法は、ファイアウォールやセキュリティ対策をすり抜けるために使われ、データの持ち出しやC2(コマンド&コントロール)通信に利用されます。
調査によると、46%の組織がDNSトンネリング攻撃の被害を経験しています。
4.DNSアンプリフィケーション攻撃
DNSアンプリフィケーションは、DDoS(分散型サービス拒否)攻撃の一種であり、インターネットの電話帳の仕組みを悪用します。
標準的なDNSクエリを利用して、大量の不要なトラフィックを発生させます。
攻撃者はオープンリゾルバを悪用し、攻撃の規模を増幅させることで、ターゲットのシステムを過負荷に陥らせ、正常なサービス提供を妨害します。
攻撃者は、被害者のIPアドレスを偽装して小さなクエリを送信し、サーバーが大きな応答をターゲットに返すように仕向けます。
このため、この攻撃は「アンプリフィケーション」と呼ばれています。
5.サブドメインテイクオーバー
2021年の調査では、Alexaトップ50,000ドメインのうち15%がサブドメインテイクオーバーの脆弱性を抱えていました。
サブドメインテイクオーバーとは、攻撃者がターゲットドメインのサブドメインを乗っ取る攻撃を指します。
これは、サブドメインにCNAMEレコードが存在しているものの、ホスト側でコンテンツが提供されていない場合に発生します。
理由としては、ホスト側がまだ公開されていないか、既に削除されているケースが挙げられます。
このような場合、攻撃者は自身の仮想ホストを介してサブドメインにアクセスし、悪意のあるコンテンツをホスティングすることが可能になります。
6.NXDOMAIN攻撃
DNS NXDOMAIN攻撃はフラッド攻撃の一種であり、無効または架空のレコードを大量にリクエストすることで、DNSサーバーを過負荷にし、Web上での応答を不能にさせようとするものです。
DNSサーバーは、存在しないレコードの検索にリソースを浪費し、正規のリクエストに対応する処理能力を失ってしまいます。
その結果、DNSサーバーのキャッシュは不正な要求で溢れかえり、クライアントは目的のサーバーや名前解決に必要な情報へアクセスできなくなります。
7.中間者(MITM)攻撃
MITM(Man-in-the-Middle、中間者)攻撃とは、犯罪者がWebベースのプロトコルの脆弱性を悪用し、デジタル通信チャネル内の当事者間に割り込んで、重要な機密情報や金融情報にアクセスするサイバー攻撃を指します。
2021年以降、MITMにより侵害されたメールは35%以上増加しています。
DNS攻撃の影響
- ビジネスおよび財務上の影響
-
2019年、金融サービス業界では、1件のDNS攻撃からサービスを復旧させるために、平均で1,304,790ドルを費やしました。
これは前年から40%の増加であり、現在では、1件あたりの平均被害額は100万ドルを超えています。 - レピュテーションへのダメージ
- 即時的な財務的影響に加え、DNS攻撃は深刻なレピュテーションの損失を引き起こす可能性があり、お客様の信頼を損ない、長期的なビジネス損失へとつながります。
- フィッシングおよびマルウェアの脅威の増加
-
DNS攻撃は、他のサイバー脅威を助長することもあります。
例えば、DNSハイジャックが成功すると、フィッシングキャンペーンの効果が大幅に高まります。
DNS攻撃から守るためには
DNSの脆弱性が悪用されると、マルウェア感染、データ漏洩、サービス停止、金銭的損失など、重大な結果を引き起こす可能性があります。
攻撃者はDNSサーバーを利用して、ユーザーを危険なWebサイトへ誘導したり、機密データを盗んだり、重要なサービスを利用不能または機能不全にしたりします。
DNS攻撃を防ぐために講じるべき重要な対策は次のとおりです。
DNSSEC(Domain Name System Security Extensions)の実装
DNSSECを使用すると、DNS応答の正当性を暗号的に認証・検証できます。
DNSSECは、WebブラウザにURLを入力した際に、正しい正規のWebサイトへ誘導されることを保証するセキュリティ拡張です。
その結果、偽装された不正なWebサイトや、潜在的に危険なサイトへのアクセスを防止できます。
また、DNSポイズニングやスプーフィングなど、DNS応答の改竄を検知し、正当性を確認するのにも有効です。
DNSSECは、既存のDNSレコードに暗号署名を追加し、正当性を検証可能にする複数のセキュリティ拡張で構成されています。
PowerDMARCのDNSSECチェッカーツールを使用すれば、自身のDNSSECが有効かどうかを迅速かつ正確に確認できます。
このツールは、手動でのミスのリスクなしに、DNSSEC実装の信頼性の高いステータスを提供します。
安全なDNSリゾルバの使用
DNSリゾルバを適切に構成することで、Webを閲覧するユーザー(エンドユーザー)に対してセキュリティソリューションを提供できます。
DNSリゾルバは、スパムやウイルスの拡散、他のサイバー攻撃に関与しているWebサイトをブロックするスマートコンテンツフィルタリングなどの機能を備えていることがあります。
一部のDNSリゾルバは、悪意のあるボットネットとの通信を遮断するボットネット保護機能も提供します。
DNS構成の定期的な監視と更新
PowerDMARCのDNSタイムライン機能では、以下を含むDNSレコードの網羅的かつ詳細な監視が可能です。
- DMARC、SPF、DKIMのDNSレコード
- BIMI、MTA-STS、TLS-RPTレコード
- MX、A、AAAA、PTR、FcrDNS、NS、TXT、CNAMEレコードなど
このツールは各変更をわかりやすい形式で記録し、タイムスタンプ付きで包括的な監視を提供します。
DNSタイムライン機能では、古いレコードと新しいレコードを並べて比較することも可能です。
また、SPFやDMARCなどのレコードタイプ、ドメインやサブドメイン、時間範囲、その他の要素でDNS変更をフィルタリングできます。
セキュリティスコア履歴タブでは、ドメインのセキュリティ評価を時系列で視覚的に表示し、変化を追跡できます。
DDoS対策ソリューションの導入
DDoS対策ソリューションには、オンプレミス型のDDoS対策ハードウェア、クラウドベースのDDoS対策サービス、NTA(Network Traffic Analyzers)、ウイルス対策ソフトウェア、Webアプリケーションファイアウォールなどが含まれます。
これらはDDoS攻撃の検出および軽減を行い、システムを悪意のある攻撃者から保護します。
メール認証によるセキュリティ強化
メール認証プロトコルは、フィッシングやスパム、スプーフィングなど、さまざまな不正なメールの送信手法から保護します。
また、これらのプロトコルはDNSベースの攻撃の軽減にも、間接的に貢献します。
具体的には以下の通りです。
- 攻撃者は、フィッシング攻撃でスプーフィングされたドメインを使用することがよくあります。
DMARCは認証を強制することで、攻撃者があなたのドメインを悪用して悪質なメールを送信するリスクを減らします。 - 正規の送信元だけがあなたのドメインを使ってメールを送信できるよう制限することで、攻撃者によるフィッシング目的の悪意あるDNSレコードの注入リスクを低減できます。
- これらのプロトコルは、DNSSECのようなDNSベースのセキュリティ対策と連携し、DNS改竄やハイジャックから保護します。
- MTA-STSやDANEといったプロトコルは、DNSを使用して安全なTLSメール転送を強制し、中間者(MITM)攻撃から保護します。
追加の推奨事項
- DNSソフトウェアの包括的なパッチ管理プロセスを導入してください。
- アクセス制御を厳格にし、DNSサーバーのセキュリティ設定を強化してください。
- DNSトラフィックをリアルタイムで継続的に監視し、不審な挙動や潜在的な攻撃を早期に検知してください。
- DNSインフラストラクチャの脆弱性を把握するために、定期的にスキャンを実施してください。
まとめ
DNS攻撃は、システムの安定性とセキュリティを脅かすため、即座に深刻な業務障害やお客様対応の混乱を招く可能性があります。
その影響範囲は、財務面、レピュテーション面、安全性の面にまで及ぶため、多くの企業にとって非常に深刻な問題となり得ます。
しかし、攻撃を受けた際には過度に恐れず、適切な対策と仕組みを導入することで、被害を予防・軽減することが可能です。