通常はHTTP(S)通信が悪用されるが、大手企業を中心にDNSプロトコルを使う手口が新たに確認された。企業の管理が手薄になっている場合も多く、確認が急がれる。
セキュリティ企業のラックは2月1日、サイバー攻撃者がマルウェアの遠隔操作にDNSプロトコルを使う新たな手口が広がっているとして注意を呼び掛けた。企業では管理が手薄になっている場合が多いといい、同社は「至急確認してほしい」としている。
ラックによると、代表的なマルウェアの遠隔操作ではWeb閲覧のHTTP(S)プロトコルが使われ、マルウェアは攻撃者が設置するWebサーバに模したC&C(コマンド&コントロール)サーバに接続する。しかし、2015年後半から複数の大企業でDNSプロトコルを用いる「DNSトンネリング」と呼ばれる手口が使われるケースが相次いで見つかったという。
同社の調査では、何らかの方法で遠隔操作型マルウェアに感染した企業内のクライアントコンピュータから通常では考えられないDNSパケットが送信されているのを確認。DNSサーバへのクエリにドメイン名やサブドメイン名、ホスト名などが含まれるが、サブドメイン名は標的もしくは攻撃の作戦名と想定される内容だった。しかし、調査時点でDNSサーバは存在しておらず、実際にどのような通信が行われたのかは不明だとしている。
DNSプロトコルは、インターネット接続などの際にドメイン名からIPアドレスなどの情報を得て目的のコンピュータへ接続する際に利用されることから正常な通信とみなされ、企業や組織で制限することはほとんど無い。また、反応速度への影響を考慮してアクセスログなどを保存しているケースも少ないという。こうしたことから、セキュリティ対策製品での検知が非常に難しく、不審な通信を見つけても詳しい調査も困難になるという。
ラックでは対応策と以下の作業や確認を実施してほしいと呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.