Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。
DNS リバインディングは サイバー攻撃の一種であり、ドメイン・ネーム・システム(DNS)を利用して悪性の JavaScript を実行し、ユーザーのプライベートネットワーク上のデバイスを攻撃します。DNS リバインディング攻撃では、ハッカーは被害者のブラウザーを欺いてクライアント側のスクリプトを実行させます。このスクリプトは、パブリックインターネットに公開されていない被害者のプライベートネットワーク上のマシンを攻撃します。この攻撃は、攻撃者のサーバーと被害者のネットワーク上の Web アプリケーションとの間の通信を確立します。これは通常、マルウェアの実行やその他の攻撃の促進を目的としています。
DNS とは
インターネットの電話帳としての役割を担うドメイン・ネーム・システム(DNS)は、ユーザー、デバイス、アプリケーションが Web ページをすばやくロードしたり、他のコンピューターに接続したりできるようにするために不可欠です。DNS サービスは、「example.com」のような人間が読めるドメイン名を、「2600:1401:4000:5b1::b63」のようなマシンで使用可能な IP アドレスに変換します。DNS がなければ、ユーザーは Web サイトに移動するたびに長い数字列を思い出さなければなりません。
DNS の仕組み
ユーザーが Web サイトの名前をブラウザーに入力するか、リンクをクリックすると、DNS クエリー(または DNS 要求)が作成され、対応する IP アドレスが特定されます。この要求は、まず再帰サーバーまたはリゾルバーと呼ばれる DNS ネームサーバーに送られます。再帰サーバーは、過去の要求に対する応答に基づいて、キャッシュに格納されたデータから DNS 情報を取得することによって、要求を解決します。レコードが DNS キャッシュに保存されていない場合、DNS リゾルバーは要求を他のネームサーバーに転送します。その際の最終的な転送先は、ドメインの正式な DNS レコードを保持する権威 DNS サーバーです。情報が見つかったら、再帰サーバーは DNS 応答と IP アドレスをユーザーのデバイスに転送します。そして、デバイスは適切な Web ページまたはリソースを正確にロードします。
攻撃者が DNS を標的にする理由
DNS システムが頻繁に攻撃の標的とされているのには、3 つの単純な理由があります。それは、Web アクティビティのほぼすべての側面に関与していること、セキュリティ対策が組み込まれていないこと、DNS トラフィックは一般的に検査無しでファイアウォールを通過できることです。
DNS リバインディングの仕組み
DNS リバインディング攻撃は、同一オリジンポリシー(SOP)の制限を回避するように設計されています。このブラウザーセキュリティ機能は、あるオリジンからロードされた Web サイトが、明示的な許可を得ずに、別のオリジンのリソースに対してインタラクションや要求を行うことを防止します。たとえば、ユーザーが Web サイト上の悪性のリンクをクリックした場合、SOP は、悪性の Web ページがユーザーの銀行 Web サイトに HTTP リクエストを送信し、ログインセッションを利用して貯蓄口座から資金を流すのを防ぎます。
DNS リバインディング攻撃では、攻撃者はまず、特定のドメイン(example.com など)に関するクエリーに応答する悪性の DNS サーバーを制御します。攻撃者はフィッシングなどの手法を使用し、ユーザーを欺いてブラウザーに悪性のドメインをロードさせ、example.com の IP アドレスを求める DNS 要求を送信させます。攻撃者のサーバーは、最初は example.com の本当の IP アドレスを応答しますが、TTL(Time-to-Live)値を 1 秒に設定し、DNS レコードが長期間にわたってキャッシュに保持されないようにします。DNS レコードを求める後続の要求が送信されると、攻撃者は被害者のローカルネットワーク内のリソースの IP アドレスを代わりに使用して、SOP 制限を回避し、ブラウザーで悪性のアクティベーションを実行できるようにします。DNS リバインディング攻撃は、機微な情報の流出、ビジネスの混乱、不正行為、大規模な攻撃の下準備を目的として行われます。
DNS リバインディングに対する最も効果的な防御策
サイバーセキュリティを改善し、DNS リバインディングを防ぐために、IT チームとセキュリティチームは次のことを実行できます。
- JavaScript の実行を制限し、攻撃者が強制的に要求を送信できないようにします。
- DNS Pinning を使用し、DNS レコード内の TTL 値に関係なく、ブラウザーが DNS 解決結果を一定期間キャッシュするようにします。これにより、短い期間内に DNS リクエストが繰り返し行われるようにし、悪性の Web サイトがホスト名をリバインディングするのを防ぎます。
- すべてのプライベートサービスで HTTPS 通信を行います。HTTPS ハンドシェイクでは SSL 証明書を検証するために正しいドメインが必要であるため、攻撃スクリプトはリバインディング攻撃中にターゲットサービスへの SSL 接続を確立できません。
- 高度なシグネチャーを適用することによって、異常な DNS クエリーパターンを認識し、また既知のリバインディング攻撃の痕跡情報(IOC)を取得して、リアルタイムの保護を行う DNS セキュリティプロバイダーを選択します。