ニュース
» 2016年02月01日 14時27分 UPDATE

マルウェアの遠隔操作にDNS悪用の新たな手口、ラックが注意喚起

通常はHTTP(S)通信が悪用されるが、大手企業を中心にDNSプロトコルを使う手口が新たに確認された。企業の管理が手薄になっている場合も多く、確認が急がれる。

[ITmedia]

 セキュリティ企業のラックは2月1日、サイバー攻撃者がマルウェアの遠隔操作にDNSプロトコルを使う新たな手口が広がっているとして注意を呼び掛けた。企業では管理が手薄になっている場合が多いといい、同社は「至急確認してほしい」としている。

 ラックによると、代表的なマルウェアの遠隔操作ではWeb閲覧のHTTP(S)プロトコルが使われ、マルウェアは攻撃者が設置するWebサーバに模したC&C(コマンド&コントロール)サーバに接続する。しかし、2015年後半から複数の大企業でDNSプロトコルを用いる「DNSトンネリング」と呼ばれる手口が使われるケースが相次いで見つかったという。

dnstrngatk01.jpg 「DNSトンネリング」にイメージ(ラックより)

 同社の調査では、何らかの方法で遠隔操作型マルウェアに感染した企業内のクライアントコンピュータから通常では考えられないDNSパケットが送信されているのを確認。DNSサーバへのクエリにドメイン名やサブドメイン名、ホスト名などが含まれるが、サブドメイン名は標的もしくは攻撃の作戦名と想定される内容だった。しかし、調査時点でDNSサーバは存在しておらず、実際にどのような通信が行われたのかは不明だとしている。

 DNSプロトコルは、インターネット接続などの際にドメイン名からIPアドレスなどの情報を得て目的のコンピュータへ接続する際に利用されることから正常な通信とみなされ、企業や組織で制限することはほとんど無い。また、反応速度への影響を考慮してアクセスログなどを保存しているケースも少ないという。こうしたことから、セキュリティ対策製品での検知が非常に難しく、不審な通信を見つけても詳しい調査も困難になるという。

 ラックでは対応策と以下の作業や確認を実施してほしいと呼び掛けている。

  1. 現在のDNSサーバへのアクセス状況を確認。内部DNSのアクセスログから、また、ネットワークパケットを収集して不正なリクエストを発見する
  2. 指令サーバとして稼働しているDNS通信(UDP/53、TCP/53)を拒否する
  3.  DNSアクセスの制限し、プロキシサーバを活用する
  4. 不正なパケットを送出しているクライアントを特定する
  5. 遠隔操作ウイルスを隔離する
dnstrngatk02.jpg 新たな手法への対策が難しいポイント(同)

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ