• BPnet
  • ビジネス
  • PC
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • NATIONAL GEOGRAPHIC
  • 日経電子版

今すぐ攻撃のターゲットから回避するための対策法

DNS 監視をセキュリティ戦略に
組み込むべき理由

インターネット上のすべての活動はドメイン・ネーム・システム(DNS)に依存しています。DNS とは、ドメイン名をリスト、追跡し、機械可読 IP アドレスに対応させ、トラフィックを本来の送信先に確実に送るために必要不可欠なシステムです。インターネットのごく基本的な要素であるため、多くの組織で一般的に使用されています。しかし、その一方で、世界中に 3,000 万~5,000 万台存在する DNS サーバーは、サイバー攻撃ベクトルとしてますます脅威にさらされているのです。

再帰 DNS サーバーは、ユーザーのリクエストを解決する機能しか備えていません。有効にしようとしている接続が良いか悪いかを判別することはできないのです。なぜなら、多くのエンタープライズでは、DNS サーバーがクエリーをリッスンするために使用するポートをファイアウォールで検査していないからです。大抵、デフォルトのファイアウォール設定は、公衆インターネットから着信する DNS リクエストを許可し、DNS サービスが応答できるようになっています。

このようなオープン性にも関わらず、保護システムが欠如していることが問題です。DNS はマルウェア、ランサムウェア、フィッシング攻撃の格好のターゲットとなっています。標的型脅威は、まず感染したエンドポイントに自前の CnC(コマンド&コントロール)サーバーで接続します。そして、ネットワークの他のエンドポイントにマルウェアを拡散するのです。マシンが侵害されると、攻撃者は個人情報や知的財産といった企業や顧客の機密データを暗号化して圧縮し、DNS クエリーに収まるほど小さなパケットに切って、盗み取ります。さらに、盗まれたデータはネットワーク外に簡単に送信されることになるわけです。

一方で、攻撃の格好のターゲットとなっているDNSのユビキタス性は、ネットワークセキュリティを強化するチャンスでもあります。エンタープライズからのウェブリクエストは、すべて DNS から始まることを思い出してください。DNS は、ウェブリクエストに対するエンタープライズ全体の可視性を確保し、セキュリティポリシーを適用するための最適かつプロアクティブな制御ポイントにもなりえるのです。

DNS ベースのセキュリティアプローチを見てみましょう。すべてのドメインリクエストは、リアルタイムのリスクスコアに基づいた脅威インテリジェンスに照らし合わせて評価されます。悪意あるドメインやサービスへのアクセスがあれば、 IP 接続前にブロック。その他のトラフィックは接続速度を低下させることなく、通過を許可します。また、DNS ログの定期的な監視を要請して、異常なトラフィックパターンや疑わしいクエリー(業務時間外のクエリー、非標準のドメイン命名規則を使用するクエリー、短時間のみ登録されて登録後すぐにアクセスされたドメイン名に対するクエリーなど)を特定します。

こうしたアプローチは、ほかのエンタープライズ脅威保護システムやポリシーと組み合わせて使用するとさらに効果的です。例えば、包括的な利用規定(AUP)を導入して、従業員が悪意あるサイトに接続しないようにしたり、従業員システムをロックしてDNS 設定を変更したり、サードパーティの VPN を導入してセキュリティソリューションを迂回したりしないようにするといった使用法です。また、信頼できる既知のソースから発信され、信頼できる宛先へ向かうものでない限り、DNS ポート 53 上で発信トラフィックをブロックする必要もあるでしょう。そのためには、エッジファイアウォールを設定するとともに、匿名の Tor ネットワークのすべて、エントリーノードをブロックしなければなりません。

最後に、データセンタートラフィックから送信されるトラフィックを切り離します。そしてデータセンターからの DNS トラフィックを選別し、それが疑わしいドメインに転送されることがないようにするのです。これによって、DNS ベースのセキュリティは最も効果的に機能します。

多層防御の安全性は、最も弱い場所を基準に考えなければなりません。再帰 DNS の先天的な脆弱性について正しく認識しましょう。攻撃を受ければ、必ず大きな代償を払うことになります。後からの対応に追われる前に、適切な保護を導入する必要があるのです。

詳しくは、www.akamai.com/jp/ja/ をご覧ください。