DNS トンネリングは正当な目的で使用されることがありますが、悪用されることが多いため、検知と防御が重要です。
DNS トンネリングは、ハッカーが悪性のトラフィックの輸送手段としてドメイン・ネーム・システム(DNS)を使用してネットワークセキュリティを回避できるようにするサイバー攻撃の一種です。DNS パケット内に非 DNS トラフィックを隠すことで、攻撃者はネットワークセキュリティ対策を回避できることがよくあります。DNS トンネリング攻撃が成功すると、ハッカーはネットワークセキュリティを回避したり、データを窃取したり、他のコンピューターを制御したり、ユーザーの認証情報を収集したり、将来の攻撃に向けてネットワークのフットプリントを探索したりすることができます。
DNS クエリー、DNS トラフィックとは
DNS はインターネットの GPS のようなものです。DNS サーバーは、ユーザーが Web ブラウザーに入力した人間が読める名前を機械が読める IP アドレス(2001:db8:3e8:2a3::b63 などの数字の文字列)に変換して、ブラウザーが正しいサイトをロードできるようにします。 DNS を使用すると、アクセスしたいサイトの IP アドレスを記録するのではなく、覚えやすいドメイン名を使用して Web を閲覧できます。
DNS がハッカーにとって魅力的な攻撃ベクトルである理由はいくつかあります。多くのアプリケーションやサービスは DNS クエリーに依存しており、DNS トラフィックは広く信頼されています。DNS プロトコルはセキュリティを確保するようには設計されておらず、要求を行うユーザーまたはデバイスの認証情報や動機を問うことなく、IP アドレスを求める要求を迅速かつ正確に解決するように設計されています。ドメイン名の解決に加えて、DNS クエリーはデバイス、サーバー、またはシステム間で少量のデータを転送することもあります。多くの組織はこのパケットを適切に分析して悪性のアクティビティの有無を調べていないため、ドメイントンネリングは非常に効果的な DNS 攻撃ベクトルになる可能性があります。
DNS トンネリングの仕組み
DNS トンネリング攻撃は、ユーザーがコンピューターにマルウェアをダウンロードするか、ハッカーがコンピューターシステムの脆弱性を悪用して悪性のペイロードをインストールすることから始まります。通常、攻撃者はデバイスの制御を維持し、コマンドを実行したり環境からデータを転送したりできるようにしたいと考えます。これを行うためには、攻撃者はトンネルを確立する必要があります。トンネルとは、ネットワーク境界セキュリティ対策による検知を回避しながら、コマンドを送信し、侵害されたシステムからデータを受信する手段です。
DNS トラフィックは、通常はファイアウォールなどの境界セキュリティ対策を自由に通過するため、この攻撃に最適です。トンネルを作成するために、攻撃者はドメイン名を作成して登録し、攻撃者の制御下にある権威ネームサーバーを設定します。被害者のデバイス上のマルウェアが攻撃者のサーバーに対して DNS クエリーを実行すると、サーバーは DNS パケットを返します。この DNS パケットには、データと侵害されたデバイスへのコマンドが含まれています。このようにして、攻撃者はアラームを起動させることなく、侵害されたデバイスと継続的に通信することができます。攻撃者は、悪性の権威ネームサーバーに送信されたクエリーでエンコードされたデータを送信することもできます。
ハッカーは DNS トンネリングをどのように使用するのか
DNS トンネリングを使用すると、攻撃者はさまざまな悪性のアクティビティを実行できます。
- マルウェアのインストール。攻撃者は DNS トンネリングを使用して、マルウェアを追加のシステムにインストールすることができます。
- 認証情報の収集。デバイスのコマンドと制御を行えるようになると、攻撃者はキーロガーやその他の手法を使用して、追加の攻撃に取り掛かるために利用したりダーク Web で販売したりできるユーザー認証情報を収集できます。
- ネットワークの探索。感染したネットワーク内からの DNS クエリーは、攻撃者がネットワークのマップを作成し、システムと高価値の資産を特定するのに役立ちます。
- データ窃取。 サイバー犯罪者 は DNS トンネリングを使用して、機密性の高いユーザー情報などのデータをネットワークから転送できます。
- デバイスの制御。感染したデバイスを制御できるため、攻撃者は DDoS 攻撃などの他の脅威をトリガーすることができます。
DNS トンネリング攻撃が効果的である理由
多くの企業は、DNS トラフィックを監視して悪性のアクティビティの有無を調べていません。
DNS トンネリングを検知する手段
セキュリティチームは、ペイロードとトラフィックを分析して、DNS トンネリング攻撃の兆候を調べることができます。
ペイロード分析では、DNS リクエストと応答の内容を確認します。たとえば、ホスト名が異常である場合や、DNS リクエストと応答のサイズに大きな違いがある場合は、不審なアクティビティの兆候である可能性があります。また、ペイロード分析では、異常な文字セット、DNS 経由で送信される奇妙な情報、頻繁に使用されない DNS レコードタイプ、または極めて多くのトラフィックを送信する送信元 IP アドレスによく見られるパターンの有無を調べることができます。
トラフィック分析では、実行されたリクエストの数、発信元、ドメインの履歴、DNS の異常なふるまいなどのデータを監視します。IT チームは パケット のサイズを分析する場合もあります。DNS トンネリングは通常、より大きなサイズのパケットを生成するからです。
DNS トンネリング攻撃を防ぐ方法
IT チームとセキュリティチームは、次のようなサイバーセキュリティのベストプラクティスに従うことで、DNS トンネリング攻撃を防止できます。
- セキュリティ意識向上トレーニングを実施します。これにより、従業員が悪性のリンクをクリックしたり、不審なメールや添付ファイルを開いたり、マルウェアをトリガーする可能性のあるその他のアクションを実行したりしないようにします。
- 高度なウイルス対策およびマルウェア対策テクノロジーを実装して、マルウェアのインストールを回避します。多くの場合、マルウェアのインストールは DNS トンネルを確立する際の最初のステップとなります。
- DNS リクエストを含むすべてのネットワークトラフィックのディープスキャンを実行して DNS トンネリング攻撃を検知するためのテクノロジーを導入します。
- DNS トンネリング VPN サービスを監視します。DNS トンネリングを使用してシグネチャーを取得する一方で不正な目的にも使用され得る、ウイルス対策プログラムやその他のセキュリティソリューションなどです。
- 不審なふるまいを監視する DNS ファイアウォールや DNS トンネリングユーティリティを展開します。
- 高度な脅威防御ソリューションを導入して、DNS セキュリティの向上、マルウェアのブロック、データ窃取の阻止、DNS トラフィックに埋め込まれた悪性コンテンツの検知などを行います。
よくあるご質問(FAQ)
DNS トンネリングは、DNS パケットに非 DNS トラフィックを含める手法であり、多くの場合、秘密のデータ伝送に使用されます。
検知方法には、トラフィック分析、異常検知、異常な DNS パターンを識別するために設計された専用ツールの使用などがあります。
はい。DNS トンネリングは、許可されたアクティビティのネットワーク制限を回避するなど、合法な目的で使用されることがあります。
防御のためには、堅牢なネットワークセキュリティ対策を実装すること、DNS 監視ツールを使用すること、進化する脅威について常に情報を収集することが不可欠です。
Akamai が選ばれる理由
Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。