はい、小規模企業にもリスクはあります。小規模な組織はセキュリティ対策が比較的弱いため、サイバー犯罪者の標的となることがよくあります。
DNS データ流出とは
DNS データ流出は、ドメイン・ネーム・システム(DNS)プロトコルを悪用して、IT システムまたはネットワークからデータを盗むハッカーが使用する手法です。データ流出攻撃では、ハッカーは DNS パケット内に攻撃を埋め込み、保護された IT 環境内から機密データや機微な情報を削除します。DNS トラフィックは一般的にファイアウォールとセキュリティシステムによって許可されるため、DNS パケット内の悪性のデータは組織のセキュリティアラートをトリガーしない可能性が高いです。DNS データ流出は、DNS トンネリング攻撃の結果として行われることがよくあります。
DNS とは
DNS は、「website.com」のような人間が読めるドメイン名を、コンピューターが読み取れる「2001:db8:3e8:2a3::b63」のような IP アドレスに変換する役割を果たします。ユーザーが Web ブラウザーにドメイン名を入力すると、再帰 DNS サーバーまたはリゾルバーが他のネームサーバー(ルートネームサーバー、トップレベルドメイン(TLD)サーバー、権威ネームサーバーなど)と通信して、対応する IP アドレスを検索します。または、DNS サーバーが IP アドレスレコードを提供することもあります。これは、キャッシュメモリーに保存されている過去の DNS 応答から取得したものです。これらの通信および DNS 要求は一般的にファイアウォールによって許可され、厳格な監視の対象にはならないため、IT ネットワークからデータを密かに持ち出そうとするサイバー犯罪者にとって理想的な攻撃ベクトルとなります。
DNS データ流出の仕組み
DNS データ流出攻撃では、ハッカーはまず、侵害されたネットワークまたはシステムにマルウェアをインストールします。これは、ネットワーク内のユーザーに、マルウェアを含む Web サイトへのリンクをクリックさせたりアクセスさせたりすることで、マルウェアをマシンにダウンロードさせることで達成されます。また、ハッカーは盗まれた認証情報を使用してネットワークに侵入し、環境内にマルウェアをインストールして感染したデバイスを制御し、コマンド & コントロールサーバーにすることもあります。
次に、攻撃者は DNS プロトコルを使用し、名前解決によって攻撃者が所有するドメインネームサーバーに行き着く DNS クエリー(encodedstringofdata.attacker.example.com など)のパケット内にデータを埋め込みます。盗まれたデータを含む DNS クエリーは、ファイアウォールやセキュリティシステムを経由して探索されることなく攻撃者の権威ネームサーバーに渡されます。そして、このサーバーで流出したデータがデコードされ、転送が完了します。
盗まれたデータは DNS トラフィックにどのように埋め込まれるのか
攻撃者は複数の手法を使用して、DNS を介してデータを流出させます。攻撃者は、機微なデータをエンコードしてサブドメイン名またはリソース・レコード・データに含めることで、そのデータを隠します。また、情報を小さなチャンクに分割し、複数の DNS クエリーと応答を介して送信することによって、DNS パケット内のデータをカプセル化する場合もあります。攻撃者はクエリー ID を変更したり、DNS パケットヘッダーを変更したりして、データを埋め込み、攻撃者のサーバーがこれを認識し、流出させたデータを改ざんされた DNS トラフィックから抽出またはデコードします。
低スループットのデータ流出とは
低スループットのデータ流出とは、ネットワークセキュリティ製品による検知を回避するために非常に低速で行われる手口です。他の形式の DNS 攻撃(DNS トンネリングなど)はハイスループットのインシデントであることが多く、DNS トラフィックボリュームが大きく変化するため、セキュリティシステムに攻撃の存在を警戒されます。低スループットのデータ流出では、感染したシステムまたはエンドポイントが 1 時間に 1 回しか DNS リクエストを送信しないため、トラフィック量が大幅に増加しません。そのため、DNS を介したこの特定の形式の流出を検知することは非常に困難になります。
DNS データ流出を防ぐ方法
IT チームは、いくつかのサイバーセキュリティ上のベストプラクティスに従うことで、データの流出を防止できます。
- DNS セキュリティソリューションを利用する。DNS セキュリティソリューションは、データ流出検知アルゴリズムを使用してトラフィックを継続的に監視し、DNS トラフィックログを分析して異常なパターンや侵害の兆候を検索します。
- ファイアウォールとプロキシが正しく設定されていることを確認する。ファイアウォールとプロキシは、アウトバウンド DNS トラフィックを制限し、外部 DNS サーバーへの不正な接続を防止するように設定する必要があります。
- レート制限を有効にする。DNS サーバーの応答速度を制限することで、DNS フラッドや増幅攻撃の影響を緩和できます。この攻撃は、ハッカーがデータ流出の試みから注意をそらすために頻繁に使用します。
- DNS ファイアウォールを展開する。DNS ファイアウォールソリューションは、DNS トラフィックをリアルタイムで検査し、脅威インテリジェンスを活用して悪性のリクエストやデータ流出をブロックします。
- 最適な頻度でパッチを適用する。DNS サーバーとソフトウェアを常に最新の状態に保ち、定期的にパッチを適用することで、攻撃者がデータへのアクセスやデータの流出を試みる際に悪用する可能性のある脆弱性を修復することができます。
- セキュリティ意識向上トレーニングを実施する。サイバー攻撃が成功してしまう最も一般的な要因の 1 つは人為的ミスです。セキュリティ意識向上トレーニングを行うことで、攻撃者によって防御を突破され DNS データ流出キャンペーンを確立される原因となる行動を従業員が回避できるようになります。
よくある質問(FAQ)
サイバー犯罪者は多くの場合、財務記録、顧客情報、知的財産などの機微な情報を標的とします。
すべての試みを防止することは困難ですが、プロアクティブな対策を講じることで、リスクを大幅に低減することができます。
DNS セキュリティを専門とするサイバーセキュリティの専門家やベンダーに相談して、最適なソリューションを見つけることが推奨されます。
はい、過去数年で注目度の高い侵害がいくつか発生しており、この脅威が重大であることを示しています。
Akamai が選ばれる理由
Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。