DNSが攻撃に利用される仕組み
脅威には、DNSインフラストラクチャに対する攻撃が含まれます。
- 分散型 サービス拒否 (DDoS):DNSインフラストラクチャは、インターネットの機能に不可欠です。 DNSに対するDDoS攻撃は、正当なトラフィックのように見えるものでネットワークを飽和させることにより、Webサイトを提供するDNSサーバーを利用できないようにすることで、Webサイトに到達できないようにすることができます。 その典型的な例が、 2016年のDynに対するDDoS攻撃で、インターネットに接続されたカメラでホストされたボットの軍団が、Amazon、Netflix、Spotify、Twitterなどの多くの主要なWebサイトを停止させました。
- DNS DDoS増幅:DNSはトランスポートにコネクションレスプロトコルであるUDPを使用するため、攻撃者はDNSリクエストの送信元アドレスをスプーフィングし、選択したIPアドレスに応答を送信させることができます。 さらに、DNS 応答は、対応する要求よりもはるかに大きくなる可能性があります。 DDoS攻撃者は、これらの要因を利用して、DNSサーバーに小さなリクエストを送信し、大量の応答をターゲットに送り返すことで攻撃を増幅させます。 これにより、ターゲット ホストの DoS が発生します。
- その他のサービス拒否 (DoS) 攻撃: ネットワークベースの DDoS 攻撃に加えて、DNS サーバー上で実行されるアプリケーションも DoS 攻撃の標的になる可能性があります。 これらの攻撃は、DNSサーバーアプリケーションの脆弱性を悪用し、正当な要求に応答できないようにするように設計されています。
DNSは、サイバー攻撃に悪用され、使用される可能性もあります。 DNSの悪用の例としては、次のようなものがあります。
- DNSハイジャック:DNSハイジャックとは、実際には悪意のあるドメインに接続しているのに、正当なドメインに接続しているとユーザーに思わせる攻撃を指します。 これは、侵害されたDNSサーバーまたは悪意のあるDNSサーバーを使用するか、DNSサーバーをだまして誤ったDNSデータを保存させることによって実現できます(キャッシュポイズニングと呼ばれる攻撃)。
- DNSトンネリング:DNSは信頼できるプロトコルであるため、ほとんどの組織では、ネットワークへの自由な出入りを許可しています。サイバー犯罪者は、DNSリクエストに流出するデータが含まれているマルウェアを使用して、DNSを利用してデータを流出させます。 標的のDNSサーバーは通常、標的のWebサイトの所有者によって制御されるため、攻撃者はデータが処理できるサーバーに到達し、応答がDNS応答パケットで送信されるようにします。
- ランダムドメイン名(DGA)を使用したセキュリティ回避:脅威アクターは、高度なアルゴリズムを使用して、ドメイン生成アルゴリズム(DGA)を使用して数十万のまったく新しいドメイン名を生成します。 感染したコンピュータに潜伏しているマルウェアは、これらの新しいドメイン名を使用して検出を回避し、ハッカーの外部コマンド&コントロールサーバーに接続します。 従来のセキュリティソリューションでは、これらのドメインが悪意のあるものかどうかを判断するのに十分な速度がないため、デフォルトでドメインを通過させるだけです。
DNSセキュリティの重要性
DNSは古いプロトコルであり、セキュリティが統合されていない状態で構築されています。 DNSを保護するために、次のようないくつかのソリューションが開発されています。
- レピュテーションフィルタリング:他のインターネットユーザーと同様に、ほとんどのマルウェアは、アクセスしているサイトのIPアドレスを見つけるためにDNSリクエストを行う必要があります。 組織は、既知の悪意のあるドメインへのDNSリクエストをブロックしたり、リダイレクトしたりできます。
- DNSインスペクション:DNSトンネリングによるデータ流出やドメイン生成アルゴリズムを使用したセキュリティ回避のためのDNSの使用も、AIディープラーニングエンジンを搭載した脅威インテリジェンスを活用する次世代ファイアウォール(NGFW)によってリアルタイムで検出およびブロックできます。 これにより、マルウェアのコマンド&コントロール(C2)通信やその他の攻撃にDNSを使用する高度なマルウェアもブロックできます。
- プロトコルの保護: DNSSEC は、DNS 応答の認証を含むプロトコルです。 認証された応答をスプーフィングしたり変更したりできないため、攻撃者はDNSを使用してユーザーを悪意のあるサイトに送信することはできません。
- チャネルの保護:DNS over TLS(DoT)およびDoH(DNS over HTTPS)は、安全でないプロトコルに安全なレイヤーを追加します。 これにより、従来のDNSとは異なり、要求が暗号化および認証されます。 DoHとDoTを使用することで、ユーザーはDNS応答のプライバシーを確保し、DNSリクエストの盗聴をブロックできます(これにより、アクセスしているサイトが明らかになります)。
分析、脅威インテリジェンス、脅威ハンティング
DNSトラフィックの監視は、 セキュリティオペレーションセンター (SOC)チームが会社のセキュリティ体制を監視および分析する際に、豊富なデータソースになる可能性があります。 SOCチームは、ファイアウォールのDNS侵害痕跡(IoC)を監視するだけでなく、類似ドメインにも目を光らせることができます。
DNS プロトコルの悪用の防止
チェック・ポイント Quantum 次世代ファイアウォール は、グローバルな脅威インテリジェンスシステムであるThreatCloud AIを介して、悪意のあるトラフィックやDNSトンネリング攻撃を検出します。 ThreatCloud AIはDNSリクエストを分析し、判定をファイアウォールに送り返すことで、DNSリクエストをリアルタイムでドロップまたは許可します。 これにより、DNSトンネリングや、感染した内部ホストと外部のC2サーバー間のコマンド&コントロール通信によるデータ盗難が防止されます。
We encourage you to ask for a demo of new DNS Security capabilities in Quantum release R81.20 and learn more about the threat analytics and threat hunting capabilities of Check Point Infinity SOC.
Feedback