0
いいね!でマイページに保存して見返すことができます。
昨年は、Heartbleedに始まりShellshock、POODLEなど、枯れたはずのインターネットの基盤技術やツールに関する脆弱性が相次いで発見された。DNSによる名前解決の仕組みもこうした基盤技術のひとつだ。存在さえ意識せず「空気」のように使っていたインターネットの基盤を支えるプロトコルや実装に潜むリスクを再認識させてくれたわけだが、このようなリスクはインターネットが本質的に抱える問題でもある。それゆえ根本的な解決も難しいが改めて考えてみたい。
POODLE等の問題の影でDNSにも問題が指摘されていた2014年
世間がShellShockやPOODLEなどで騒がしかった頃、セキュリティや通信業界の中では別の問題も持ち上がっていた。それは「DNS水責め」攻撃という問題だ。
DNSサーバーへのDDoS攻撃に分類されるこの攻撃は、2014年1月から観測されはじめた。国内では2014年夏ごろに、DNS水責め攻撃と思われるトラフィックによって、複数のISPがDNS障害を被ったと見られている。
DNS水責め攻撃の特徴とは何か。それは特定のサーバーではなく、DNSの権威サーバー標的にしている点だ。
その他のDNS利用のDDoS攻撃は、DNSサーバーへの問い合わせを悪用して、標的サーバー(Webサイト)に対して、大量の応答パケットを送り付けてサーバーの負荷を重くするのが一般的だ。
対してDNS水責め攻撃では、攻撃に対応する大量の応答パケットのパターンが確認されない。不審なパケットは確認できるのだが、直接の攻撃となるパケットが確認されないのだ。分析の結果、この攻撃の目的は、権威DNSサーバーの負荷を上げ、標的サーバーをアクセスしにくくしているのだろうと考えられている。
DNSの正規機能を利用することで対策しにくくする
なぜ、このような回りくどい攻撃をするのだろうか。DNS水責め攻撃では標的サーバーに直接大量のパケットが届かないので誰が、どのサーバーを攻撃しているのかが分かりにくい。DNSゾーンを管理する権威DNSサーバーの負荷が増えると、影響は標的サーバー以外にも及ぶ。このことも標的がどこなのかをわかりにくくしている。一般的なDDoS攻撃に比べて対策がとりにくいのだ。
また、通常権威DNSサーバーに問い合わせするのは、ゾーン内に分散しているキャッシュDNSサーバーである。キャッシュDNSサーバーは、各端末からのドメイン名の問い合わせのうち正しいIPアドレス情報を知らない場合、それを権威サーバーに問い合わせる。そして、権威サーバーからIPアドレス情報もしくは正しい情報を持っている他のDNSサーバーを教えてもらう。
このキャッシュDNSサーバーと権威サーバーのやりとりは、DNSの仕様からはまったく正しいものであり、悪意の有無は識別できない。キャッシュDNSサーバーからの問い合わせはフィルタリングなどの対策がとりにくいのだ。結果として、悪意のある問い合わせが含んでいることがわかっていても、攻撃を効果的に止めることができないことになる。
このDNSへの攻撃が「水責め攻撃」といわれるのは、大量のパケットを直接送り付けるのではなく、名前解決のコストが高いとされる権威サーバーへの問い合わせを意図的に多く発生させる手法を、中国の拷問のひとつであえる水責め(額に水滴を垂らし続ける)になぞらえてのことだ。
【次ページ】柔軟で可用性が高いゆえの脆弱性を持つDNS
関連タグ