DNSトンネリングとは

ドメイン ネーム システム(DNS)は、人間が理解するURL (例: paloaltonetworks.com)を機械が理解できるIPアドレスに変換するプロトコルです(例: 199.167.52.137)。サイバー攻撃する側は、DNSが広く使用されて信頼されていることを知っています。さらに、DNSはデータ転送用ではないため、多くの組織はDNSトラフィックで悪意のあるアクティビティを監視していません。この結果、企業ネットワークに対して実行されると有効な、DNSベースのさまざまな種類の攻撃が生み出されています。このような攻撃の一つがDNSトンネリングです。

DNSトンネリングの仕組み

DNSトンネリングは、DNSプロトコルを悪用し、クライアント サーバ モデルを通してマルウェアなどのデータをトンネリングします。

1. 攻撃者はbadsite.comなどのドメインを登録します。ドメインのネーム サーバは、トンネリング マルウェア プログラムがインストールされている攻撃者のサーバを指しています。
2. 攻撃者は、企業のファイアウォールの背後に設置されていることが多いコンピュータを感染させます。DNS要求は常にファイアウォールを出入りすることが許可されているため、感染したコンピュータはDNSリゾルバにクエリを送信できます。DNSリゾルバとは、IPアドレスに対する要求を、ルートおよびトップレベルのドメイン サーバに中継するサーバです。
3. DNSリゾルバは、トンネリング プログラムがインストールされている攻撃者のコマンドアンドコントロール サーバにクエリをルーティングします。これにより、DNSリゾルバを通して、被害者と攻撃者との間に接続が確立されます。このトンネルがデータの盗み出しなどの悪意のある目的で使用されます。攻撃者と被害者との間に直接の接続はないため、攻撃者のコンピュータの追跡はより困難になります。

DNSトンネリングはおよそ20年前から存在しています。DNSトンネリングにはMortoとFeederbotの両方のマルウェアが使用されてきました。最近のトンネリング攻撃には、2018年の中東の政府機関を標的とした脅威グループDarkHydrusによるものや、2016年から活動していて今もなお活発であるOilRigによるものなどがあります。

DNSを悪用した攻撃を阻止するにはどうすればよいでしょうか。DNS攻撃を阻止するためのステップについては、こちらのホワイト ペーパーをお読みください。