ラックは2016年2月1日、遠隔操作ウイルスの制御にDNSプロトコルを悪用する事案が発生していると注意喚起を行った。DNSサーバの動作状況もしくはネットワーク上で送受信されているDNSパケットの確認を行うことを推奨している。
ラックでは緊急対応サービス「サイバー119」を運営しているが、昨年後半以降、複数の大手企業からの対応要請を受けて行った調査のなかで、DNSトンネリングとも言われる手口を使った遠隔操作ウイルスを確認したという。
これまでの代表的な遠隔操作ウイルスは、HTTP(S)プロトコルを使用し、Webサーバを模した指令サーバ(C&Cサーバ)と通信する。しかし今回、DNSサーバを模した指令サーバを構築している事案を確認したという。DNS問い合わせを模したパケットの中に暗号化した文字列を埋め込み、指令サーバとの通信を行う。
同社によると、今回確認された「DNSサーバを模した指令サーバとの通信」という脅威は、次の理由により企業にとって深刻だ。
1.使用されているDNS通信単体では、特に異常があるわけではない。そのため、次世代型FWやプロキシ、IDSなどで検知することは困難。
2.DNSリクエストがシステムに及ぼす負荷を懸念して、多くのDNSではログを収集していない。そのため、不正なリクエストが行われたか否かを確認することは困難。
3.指令サーバは生存期間が短いため、事後に調査しても何が行われたかを詳細に把握することは困難。
4.遠隔操作ウイルスは攻撃対象に対してカスタマイズされているため、ウイルス対策ソフトでは検知が困難。
この脅威への具体的な対応策としては、以下のようなものが考えられるという。
1.現在のDNSサーバへのアクセス状況を確認する
1.1 内部DNSのアクセスログから不正なリクエストを発見する
1.2 ネットワークパケットを収集し不正なリクエストを発見する
2.指令サーバとして稼動しているDNS通信(UDP/53,TCP/53)を拒否する
3.DNSアクセスの制限と、プロキシサーバの活用
4.不正なパケットを送出しているクライアントを特定する
5.遠隔操作ウイルスの隔離
