DNS:最も簡単なデータ窃取方法?
インターネット上のアクティビティの大半は、ドメイン・ネーム・システム(DNS)リクエストから始まります。したがって、攻撃者が DNS プロトコルを活用するのは驚くべきことではありません。DNS を悪用する方法には、分散型サービス妨害(DDoS)攻撃に使用される DNS 増幅や、良性 DNS リクエストを悪意のあるドメインにリダイレクトするために使用される DNS ハイジャックなど、さまざまな種類があります。DNS 窃取は件数が少ないものの、より高度で、標的を絞った手法です。
高スループット DNS トンネリングと低スループット DNS 窃取の類似点と相違点
高スループット DNS トンネリングと低スループット DNS 窃取は基本的に似ていますが、大きな違いもあります。類似点に関しては、両方とも DNS プロトコルを使用して DNS クエリーに関係のないデータを転送します。転送は、DNS リクエストに追加データを付加することで実行されます。どちらも、大半の組織が DNS トラフィックが担う重要な役割を勘案して干渉しないという現状を逆用しています。類似点は以上です。
高スループット DNS トンネリングは、実行されている間、1 つの特定ドメインまたは少数のドメインで DNS トラフィックボリュームに大幅な変更が発生します。1 つまたは複数のドメインへの DNS リクエストが長くなり、リクエストの間隔が短くなります。DNS トンネリングの用途は、比較的正しい目的(Wi-Fi ペイウォールのバイパスなど)もあれば、悪意のある目的(コマンド&コントロール(C2)サーバーへの通信とコントロールなど)もあります。しかし、DNS トンネリングはその特性上、検出とブロックが比較的簡単です。
これとは対照的に、低スループットの DNS データ窃取は、実行されている間に単一ドメインや複数ドメインへのトラフィック量が大幅に増加することがなく、リクエストの間隔も長いのが特徴です。たとえば、マルウェアに感染しているエンドポイントは、1 時間ごとに起動し、短いメッセージを添付した DNS リクエストを C2 サーバーに送信する場合があります。そのため、フォールス・ポジティブ(誤検知)となるセキュリティ警告を頻発させずに低スループット DNS 窃取のみを検知することは、非常に困難です。
攻撃者が低スループットのデータ窃取を好む理由は何でしょうか?
DNS を使用してデータを転送する場合の大きな制限の 1 つは、DNS メッセージの長さが 255 バイトに制限されており、その大半が UDP 制御メッセージで占められている点です。しかし、前述のように、DNS トラフィックは組織が手を加えたがらないため、監視対象になっていないのが一般的です。監視対象だったとしても、特定されるのは高スループットトンネリングのみでしょう。
こうした状況を考えると、低スループットのデータ窃取は攻撃者にとって非常に魅力的です。特に、窃取対象がクレジットカード番号などの非常に価値のあるデータの場合、窃取の動機が高まります。カード情報の窃取には時間がかかるかもしれませんが、Low & Slow(少しずつ時間をかける)手法には、待つだけの価値があるのです。
DNS 窃取からの防御
組織にとって、低スループット DNS 窃取マルウェアは非常に危険であり、データ漏えいによって多大な影響とコストが発生するおそれがあるため、Akamai のセキュリティ調査チームは最近、この問題について理解を深め、効果的な検知方法を考案しようと 力を入れています。その大半は、 こちらの記事でも取り上げました。自分でも理解を深めたい方は、ぜひお読みください。
当社の DNS データ窃取検知アルゴリズムはその研究によって誕生しました。時間をかけて徐々に強化され、検知速度と精度が向上し、誤検知通知の発生が最小限に抑えられています。このアルゴリズムは、クラウドセキュア Web ゲートウェイを導入したお客様からの DNS トラフィックログを継続的に分析するために使用されています。Akamai は新たに検知すると、影響を受けるお客様に事前に警告し、窃取に関連するドメインが脅威インテリジェンスに追加されるため、すべてのお客様が保護されます。
2022 年 4 月、ある DNS 窃取のインスタンスがシステムによって取り上げられ、このアルゴリズムの有効性が示されました。アルゴリズムは、お客様のトラフィックログから、複数ドメインに大量の DNS トラフィックが発生しているのを特定しました。サブドメインへのリクエストには窃取したデータが付加されていました。特に興味深いのは、アルゴリズムがアクティビティの発生から 1 時間以内にそれを検知した点、そしてその根拠となったのが合計 1,109 件という比較的少数のサブドメインへのリクエストであった点です。
Akamai のセキュリティチームはアクティビティの検知をお客様に通知した後、お客様がその時に侵入テストを実施していたことを知りました。そして、チームは Secure Internet Access Enterprise が窃取行為を迅速に検知したことに満足したのでした。
それでも DNS はセキュリティ上の盲点になっているのでしょうか?
前述したように、多くの組織は、DNS の変更に消極的です。なぜなら、変更することでインターネットのトラフィックを誤って破壊してしまうリスクがあるからです。そのリスクを伴わずに DNS トラフィックを可視化して保護する方法の 1 つは、DNS セキュリティサービスの展開です。DNS セキュリティサービスは、作成されたすべての DNS リクエストに目を光らせ、リアルタイムの脅威インテリジェンスデータベースに照合します。
このアプローチを取った場合、安全な DNS トラフィックは通常どおりに進行しますが、悪性のトラフィックはブロックされます。重要な特長として、DNS ログをほぼリアルタイムで検査して、低スループットの DNS データ窃取を特定することも可能です。
DNS リクエスト:干し草の山から針を発見する Akamai
Akamai は数値が大好きなものですから、窃取の検知に必要だった DNS リクエスト数を他の Akamai DNS 統計と比較してみようと考えました。Akamai は毎日 7 兆件の DNS リクエストを配信しており、Akamai のインターネット・セキュリティ・サービスは 28 億件の悪性 DNS リクエストを事前にブロックしています。
別の言い方をすると、窃取に関係していた 1,109 件の DNS リクエストは、1 日に発生する DNS リクエスト数の 0.000000015842857% であり、悪性 DNS リクエスト数の 0.00003960714286% です。まさしく、干し草の山から針を発見するようなことなのです。
詳細はこちら
DNS トラフィックの迅速な可視化と制御によるリスク軽減方法については、https://www.akamai.com/ja/products/secure-internet-access-enterprise にアクセスして 60 日間無料トライアルにサインアップしてください。
