DNSに対する脅威の進化状況

DNSの設計時にセキュリティは考慮されなかった

ドメインネームシステム（DNS）は、1980年代、インターネットアクセスが政府機関、科学者、軍部用に制限されていた時代に設計されました。システム創成期のアーキテクトは、信頼性と機能性にのみ重きを置き、セキュリティは二の次になりました。その結果、DNSはこれまで常に、スプーフィング、アンプリフィケーション、サービス拒否など、幅広い攻撃領域に対し脆弱なまま使用されてきました。

そして、このような攻撃はより一般的なものとなります。IDCの2021年版グローバルDNS脅威レポートによれば、組織の87%が、2021年中にDNS攻撃の被害を受けたと報告しています。これは、前年比で8%上昇したことを示しています。こうした攻撃の多くには、深刻な結果が伴いました。同レポートによれば、DNS攻撃の76%でアプリケーションのダウンタイムが生じ、こうした攻撃の軽減に平均で5時間30分以上を要したことが分かっています。

攻撃の増加と企業にこうした攻撃のすべてに対応するための計画が必要であることを、複数の要素が示唆しています。

この数年の現象が原因で、既存のDNS環境に変化がありました。新たに検出されたDNSの脆弱性と、コロナウイルス感染症の世界的流行に伴うインターネットのブラウジングの変化です。これらの新しい脅威に対応し、既存の脅威をも防御するために、組織は全体的にDNSのセキュリティにより高い優先度を付け、DNSSECを超える複数の層からなるアプローチを実装する必要があります。

新しいサイバー脅威の悪用とDNSの乱用

2021年、企業の44%が、DNSベースの攻撃を自社で最も大きなセキュリティの課題の1つに挙げました。この年に何があったかを簡単に振り返るとその理由が見えてきます。

まず、最近、次に示すような新しいDNS関連の脆弱性が見つかりました。

• 「パスワードを忘れた場合」のキャッシュポイズニング攻撃。「パスワードを忘れた場合」のリンクは、Webアプリケーションでよく目にしますが、2021年7月に見つかったある脆弱性により、このリンクはDNSキャッシュポイズニング攻撃に対し、弱点となりました。セキュリティの研究者たちが146個の脆弱なWebアプリケーションでキャッシュポイズニング攻撃を試みたところ、攻撃者の管理するサーバーにパスワードのリセット用メールをリダイレクトさせることに成功しました。これにより、届いたリンクをクリックすることで、攻撃を受けたユーザーのパスワードはリセットされ、ユーザーのアカウントへの正規アクセスが攻撃者に渡りました。

• マネージドDNSでのデータ漏えい。Black Hat USA 2021で実施された調査では、機密情報を含む企業のDNSトラフィックが漏えいする可能性のある特定のマネージドDNSサービスのバグが明らかにされました。DNSネームサーバーと同じ名前を持つAmazonのRoute53 DNSサービスまたはGoogle Cloud DNSにドメインを登録すると、攻撃者はすべてのDNSトラフィックを強制的に自身のサーバーへ送信できたのです。この脆弱性により機密情報が漏えいし、DNSスプーフィング攻撃が可能になりました。

• DNSサーバーに対するtsuNAME DDoS攻撃。tsuNAMEはDNSリゾルバーソフトウェアの欠陥で、DNSサーバーへのDDoS攻撃を可能にします。ドメインAがドメインBに委任するなど、「循環依存」を持つドメインが存在する場合があります。脆弱なDNSリゾルバーは、循環依存の原因となるドメインが存在する場合に、ループを開始します。あるケースでは、ドメイン設定上のわずか2か所のミスが原因で、2020年には、.nzの権威DNSサーバーでトラフィック量が50%増大しました。

さらに、リモートワークの急増が、さらなるDNS攻撃のきっかけとなりました。コロナウイルス感染症の世界的流行初期から、DNSのハイジャックを使いホームルーターを標的とした複数の攻撃が見つかりました。DNSハイジャックでは、攻撃者はDNSレコードに細工をして、正規のドメインが攻撃者の管理下にあるサイトへポイントするよう仕向けます。このような最近の攻撃では、感染したサイトはコロナウイルス感染症の情報を提供するよう見せかけながら、実際には、ユーザーのデバイスにマルウェアをインストールしました。

フルタイムまたはパートタイムで多くの従業員が自宅で作業をするようになったことで、安全性が損なわれたデバイスは、大きなネットワークセキュリティのリスクとなりました。全体として、Global Cyber Allianceのレポートによると、世界中のデータ侵害のおよそ1/3が、DNSのセキュリティ問題に起因すると報告されています。

既存のDNSの脅威もまた存続

こうした新しいDNSの攻撃ベクトルは、これまでに発生した脅威の長いリストに、新たな一項目として加わりました。DNSインフラストラクチャに起因する最も一般的な攻撃例は以下のとおりです。

• DNSサービス拒否攻撃：この攻撃は、DNSサービスをダウンさせ、そのDNSサービスがサービスを提供しているサイトにアクセスできないようにします。これらの攻撃は存在しないドメイン（NXDOMAIN）やランダムなサブドメインをリクエストすることで、サーバーのリソースを浪費させたり、DNSサーバーに対して、DDoS攻撃を仕掛けたりすることができます。

• DNSスプーフィング：DNSハイジャックに似ているものの、標的とするのは共通に、または最近リクエストされたDNSレコードをキャッシュするDNSリゾルバ―です。DNSスプーフィングまたはキャッシュポイズニング攻撃では偽のDNSレコードをリゾルバーのキャッシュに挿入します。これにより、これらのドメインへのリクエストが攻撃者の管理するWebサイトへとルーティングされます。

• DNS DDoSアンプリフィケーション：UDP経由で通信するサービスを活用し、本来のリクエストより非常に膨大な量の応答を返します。攻撃者はこれらの要素を悪用して、サービスにリクエストを送信し、標的に対し非常に大きな応答を返します。DNSアンプリフィケーション攻撃は、標的をDNS応答であふれさせ、帯域幅を消費して、標的となったサーバーを制御不能に陥れます。

• DNSトンネリング：DNSトラフィックの許可を悪用し、企業のファイアウォールを通過します。これらの攻撃はDNSトラフィックを使用してマルウェアと攻撃者の管理するデータサーバー間でデータ転送を行います。

DNS攻撃の影響

DNS攻撃の状況に大きな変動があるということは、攻撃によって生じる結果にも変動があるということです。こうした状況にかかわらず、先に述べた結果が深刻なものになることも多々あります。

DNS DDoS攻撃（前述のようなtsuNAMEの欠陥）が原因でパフォーマンスが低下したり、Webアプリケーション全体が完全にダウンしたりする可能性があります。DNSはWebサイトを迅速にロードするために非常に重要な最初のステップであり、このような攻撃は本来なら正規のリクエストを処理するために使用されるサーバーリソースを使用します。2020年、DNS攻撃を受けた組織の42%が、自社のWebサイトの安全性が何らかの方法で損なわれたと報告しています。

DNS DDoSアンプリフィケーションやDNSトンネリングなど、DNSサービスを完全にダウンさせるように設計されていない攻撃でさえ、DNSサーバーに膨大な量のトラフィックを生じさせることが可能です。これによって起きるパフォーマンスの低下には複数の二次的作用があります。たとえば、コンバージョン率の低下、オーガニック検索ランキングの低下などです。

スプーフィング、ハイジャック、キャッシュポイズニング攻撃などもまた、見込み客を正規のWebサイトから遠ざけることから、Webサイトのコンバージョン力を損ないます。また、安全性が低い企業サイトと見なされれば、企業ブランドの評判は長期的に傷つきます。

DNS攻撃はまた、企業のネットワークセキュリティに深刻な結果をもたらします。前述のとおり、特定のマネージドDNSプロバイダーの抱える脆弱性の結果、プライベートトラフィックが攻撃者に暴露するという状況に陥りました。つまり、重大なデータセキュリティ問題です。そして、ネットワーク上にマルウェアをインストールし、制御するDNSトンネリング攻撃により生じる問題、たとえば、データ損失や身代金の要求など、それに伴う結果はさまざまです。

全体として、2020年に起きた、DNS攻撃1件あたりの平均コストは、90万ドルを超えました。

DNS攻撃の脅威を緩和する

組織がDNS攻撃を軽減するのに役立つステップはいくつもあります。そのリストの最初に来るのが、一定のDNSセキュリティソリューションの実装です。IDCのレポートによれば、企業の42%で専用のDNSセキュリティソリューションが実装されていません。

こうした攻撃から保護するには、DNSセキュリティソリューションが不可欠です。ただし、これらのソリューションは、正規のDNSリクエストのパフォーマンスにマイナスの影響を及ぼさないように、慎重に設計し、実装される必要があります。

DNS攻撃の軽減オプションの例を以下に示します。

• DNSSEC：DNSSECはDNSサーバーからの応答に署名するセキュリティプロトコルです。これはクライアントに返されるデータを認証することで、DNSハイジャックとスプーフィングから保護するのに役立ちます。

• 冗長なインフラストラクチャ：DNSインフラストラクチャに対するDoS攻撃は通常、標的となるDNSサーバーが処理できる量よりも多いトラフィックをサーバーに送り付けることで実行されます。サーバーを余分にプロビジョニングし、エニーキャストのルーティングを使用することで、トラフィックは複数のサーバー間で負荷分散されます。これにより1台のサーバーが過負荷状態に陥ったり、ダウンしたりしたときにも常に稼働できる体制を維持できます。

• DNSファイアウォール：DNSファイアウォールは、ドメインの権威ネームサーバーとユーザーの再帰リゾルバーの間に位置します。ファイアウォールはリクエストをレート制限してDDoS攻撃から守ったり、トラフィックをフィルタリングして、悪意のある、または疑わしいリクエストをブロックしたりできます。

• 暗号化されたDNS：デフォルトでは、DNSは暗号化されていない、非認証プロトコルです。DNS over HTTPS（DoH）とDNS over TLS（DoT）は暗号化と認証を提供します。

CloudflareでDNSの安全を確保する

CloudflareではDNSの脅威スペクトルで脅威を軽減できるよう多数のお客様を支援しています。CloudflareのマネージドDNSは、DNSスプーフィングやハイジャック攻撃から保護するために、ワンクリックのDNSSECを提供しています。この機能は、Cloudflareの全ネットワーク容量、100 Tbps上に構築されています。つまり、過去最大のDNS DDoS攻撃の数倍大きく、他の攻撃手法に加え、DDoS攻撃をブロックできます。

Cloudflareネットワークには、数百万件を超えるWebサイト、API、ネットワークからの脅威インテリジェンスがあり、最新の脆弱性をいち早く自動的に把握しています。

また、これらの保護性能でパフォーマンスが犠牲になることはありません。Cloudflareは平均検索時間11ミリ秒という世界最速の権威DNSを運用しています。既存のDNSインフラストラクチャを維持してCloudflareのDNSをセカンダリDNSとして使用することも、またはプライマリを隠ぺいしたセットアップにすることも可能です。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

記事の要点

この記事を読めば、以下が理解できます。

• DNSセキュリティの重要性

• 最近のDNSの脆弱性とその結果

• 一般的なDNS攻撃を見極める方法

• DNSのセキュリティを改善する方法
  

関連リソース

• ホワイトペーパー：DNSのセキュリティ、パフォーマンス、信頼を改善する

• DNSとは何か?

• CloudflareのDNS