インターネットの基盤技術であるDNSには、利便性だけではなく多くのセキュリティリスクが潜んでいます。近年、サイバー攻撃の手法は日々進化を遂げており、その対象となるDNSもまた例外ではありません。
 
事実、マルウェアの92％が何らかの形でDNS（53番ポート）を悪用しており、DNSの普及と歴史的にセキュリティコントロールが不足していたことから、今日の主要な攻撃手法となっています。
 
本ブログでは、DNSセキュリティの基本から歴史的変遷、DNS攻撃の主な種類と対策に至るまで、その全貌を明らかにします。さらに、具体的な攻撃事例とそれに対する対処法、ひいては国際的な取り組みや未来への展望についても掘り下げます。
 
サイバーセキュリティの世界で欠かせないこのテーマを、幅広く深く理解することで、セキュリティリスク削減やサイバーレジリエンス向上の一助になれば幸いです。

DNS（ドメインネームシステム）とは

本題に入る前に簡単にDNSについておさらいしたいと思います。
 
DNSは、Domain Name Systemの略で、インターネット上で ドメイン名 を管理・運用するために開発されたシステムです。 現在、インターネットを利用するときに必要不可欠なシステムの一つとなっています。
 
DNSサーバーの主な役割はよく「電話帳」の例えで利用されますが、ドメイン名とIPアドレスを変換する仕組みを提供するサーバーです。
インターネット上でパケットの送受信に使われているプロトコルであるIPアドレスは数字の羅列であり、人間にとって覚えやすいものとは決して言えません。そこで考案されたのがDNS（Domain Name System）で、人間にも覚えやすい「www.infoblox.com」などのドメイン名で通信先を指定することを可能にしています。 

DNSセキュリティとは

DNSセキュリティは、インターネットの基盤技術の一つであるDNSの悪用を保護するための手法や技術の総称です。事実、DNSの名前解決の変換プロセスを悪用したサイバー攻撃が可能であり、DNSセキュリティの強化は不可欠です。
インターネット上で情報が正しい目的地に届くように、また悪意のある攻撃から保護することがその目的です。どのようなDNSを悪用した攻撃があるか見ていきましょう。
 
 

DNS攻撃の種類と対策
DNS攻撃事例と対処法とは

DNS攻撃には、DNSトンネリングやDNSキャッシュポイズニング、ドメイン生成アルゴリズム（DGA）を悪用した攻撃など様々な手法があります。これらの攻撃は、正規のDNS（53番ポート）を悪用してC2サーバーに機密情報を漏洩したり、ユーザーを偽のウェブサイトに誘導したり、マルウェアを送り込んだりすることを目的としています。これらの攻撃からネットワークを守るためには、DNSSEC（DNS Security Extensions）のような技術を利用して、データの真正性と完全性を保証すること、または、他のログ同様にDNSのクエリログを監視して異常値を見つけるなどの対策が有効です。
 
DNSシステムへの攻撃は、日々進化し続けています。これらの攻撃に対処するための理解と準備が必要です。
 

DNSトンネリング

DNSトンネリング攻撃では、攻撃者がDNSクエリを通じて不正なデータを送信し、企業のセキュリティシステムを迂回します。対策としては、異常なDNSトラフィックの監視、不正なサイトへのアクセス制限、そしてエンドポイント保護ソリューションの強化が有効です。 

詳細を確認したい方は上記ブログをご確認ください。

DNSキャッシュポイズニング

DNSキャッシュポイズニングは、攻撃者がDNSキャッシュサーバーに偽情報を注入し、ユーザーを悪意あるウェブサイトに誘導する手法です。この攻撃を防ぐためには、キャッシュの検証、DNS応答の確認、そしてDNSSECの使用で、応答の真正性を保証することが重要です。

詳細を確認したい方は上記ブログをご確認ください。

ドメイン生成アルゴリズム（DGA）

ドメイン生成アルゴリズム（DGA）は、予測しにくいドメイン名を自動的に生成する手法です。このアルゴリズムは、サイバー攻撃者によって用いられることが多く、迅速にいくつものドメインを生成し、悪意ある活動を行うことが可能になります。

詳細を確認したい方は上記ブログをご確認ください。

PhishingとDNS

フィッシング攻撃では、偽のDNSレコードを使用してユーザーを騙し、機密情報を抜き取ることが目的です。対策としては、ユーザー教育を徹底し、不審なメールやリンクに対する警戒心を高めること、そしてセキュリティソフトウェアを常に最新の状態に保つことが求められます。
 

DNSセキュリティの特徴と導入のメリット
どこか他のセキュリティツールと異なるのか!?

上記のDNSを悪用したサイバー攻撃に有効なのがDNSセキュリティです。
 
DNSセキュリティの特徴は上部に記載の通り、DNS通信はOSが何であれ、どのアプリケーションであれ、どの端末であれ利用するプロトコルとなるため、あらゆる端末、アプリケーションを保護の対象とすることができる点です。
 
他のセキュリティツールは、アンチスパムではメールを、IPSやFWではHTTP通信など、得意な箇所を集中して検知いたします。一方DNSセキュリティでは広くまんべんなく、一番先に検知を実施するという点が他のセキュリティツールと違うポイントです。
 
また、DNSはどの通信よりも先に利用されるプロトコルとなりますので、メールを送付する前、ウェブページを見る前にブロックできるという点でも従来のセキュリティ対策と差別化ができる対処方法です。

  
DNSセキュリティと言って何をやっているのでしょうか？
 
基本な動作は、FWやIPSと大きく変わりません。差はみているプロトコルが違うのみで、収集した危険ドメイン情報を基にしたブラックリストや、DNSの通信の特徴を基にブロックするレピュテーションなどです。
 
セキュリティ製品の精度には様々な比較方法がありますが、基本的には情報の量が影響いたします。DNSの情報を20年以上に渡り集めている変わったメーカは当社くらいなもので、DNSの通信の精度に関しては一日の長があるかと思います。
 
また、弊社が提供しているDNSセキュリティの大きな特徴はリアルタイムAIです。
上記記載のDGAやFast Flaxなど、未知のIP、ドメインを利用した攻撃に対して、対応が可能です。不自然なドメインのふるまいを検知して攻撃をブロックすることで、未知の攻撃に対しても効果が期待できます。

様々なセキュリティツールが導入されており、どのお客様も無駄な投資をしたくないものです。DNSセキュリティに対しても、既存で導入しているセキュリティと重複しないの？という質問をよくいただきます。 以下の図は、Paloalt社、Fortinet社の脅威情報と、当社、FarsightというDNSの脅威情報を集めている変わった会社の脅威情報を重ね合わせた図となります。

*各数字は保持している脅威情報の数（Snapshot）
*また、円の重なる箇所は、脅威情報の重なりを示す

もちろん脅威情報は日々変わりますので、スナップショットとなりますが、DNSの脅威情報とNGFW/UTMの脅威情報の差がよくわかります。
 
もちろん重複している脅威もありますが、UTMの持つ脅威情報、DNS関連の脅威情報で差がある点が面白いです。数百万単位でDNSの脅威情報特有の脅威があることが分かります。
 
これは、例えばPalo Alto社はFWベンダーとして「アプリケーショントラフィック」の精査に主眼をおいている一方、InfobloxはDNS専業ベンダーとして「コントロールプレーントラフィック」の精査に主眼をおき、目的はマルウェアの動き・兆候を体系的に制御する事の違いに起因すると考えております。
 
これを見ていただければDNSセキュリティとNGFW/UTMが見ているポイントが違うことがお分かりいただけるのではないでしょうか。
 
 
最後にDNSセキュリティを利用するメリットをもう少しお伝えします。
 
先ほど説明でも触れましたが、DNSは様々なアプリケーションの通信の前に利用するプロトコルです。つまりDNSセキュリティはメールを投げる前、Web会議に接続する前に利用するわけですが、そこでセキュリティを効かせることでメールを投げる前、アプリケーションを利用する前に通信をブロックすることが可能です。
 
顕著に効果が表れた導入事例ではトラフィックが半減以上減ったケースもあり、通常の通信より攻撃の通信の方が多い昨今では無駄にFWや回線をひっ迫させることなく、攻撃の対策が取れます。と同時に、インシデントレスポンスの対応時間短縮にも大きく寄与することができ、企業のサイバーレジリエンス向上を実現することができます。

DNSセキュリティの国際的な取り組み
欧米、オーストラリアでの導入状況

最後に海外の動向について少し共有させていただきます。
 
米国、欧州でのDNSセキュリティの注目度は上がっています。
 
英国では2017年から国の主導でDNSセキュリティサービスが官公庁を中心に運営されており、民間への展開が検討されております。
https://www.ncsc.gov.uk/news/uk-public-sector-dns-service（英語）
 
オーストラリアでも2021年に同様の試みがされています。
https://www.minister.defence.gov.au/media-releases/2021-10-14/new-cyber-guard-government-data（英語）
 
米国では、2022年9月からサイバーセキュリティを所管するCISA が、保護ドメインネームシステム (PDNS) を連邦政府機関向けに一般提供開始しています。
https://www.cisa.gov/blog/2022/09/27/cisa-launches-its-protective-dns-resolver-general-availability-federal-agencies（英語）
 
さらに、米国、英国のサイバーセキュリティ所管団体が共同でDNSセキュリティに利用に関する利点の検討資料を公表しておりますので、宜しければ後でご覧ください。
https://media.defense.gov/2021/Mar/03/2002593055/-1/-1/0/CSI_Selecting-Protective-DNS_UOO11765221.PDF（英語）
 

日本でもインシデントが発生した大学に対して文科省からEDRに加えてDNSの確認、脅威となるDNSのブロックをするようにアドバイスするケースを耳にしております。
 
過去のセキュリティ動向を鑑みても遅からず日本でもDNSセキュリティが注目されることになるかと推察されます。
 
 
「DNSセキュリティ」についてより詳しく知りたいという方は、弊社担当営業までお知らせいただくか、以下のセミナーへの参加をお待ちしております。

名称：CSIRTがレジリエンス向上のためにDNSに注目すべき理由
　　　- Infoblox Security Seminar Series -主催：Infoblox株式会社
日時：2024年3月14日（木） 15:00 - 16:45
場所：山王健保会館（東京都港区赤坂2-5-6）
*オンラインでの視聴はできないことをご了承ください。

詳細はこちらから確認できます↓↓↓
https://bit.ly/47Z4zjX