DNS 攻撃がもたらす深刻な被害:その理由と対策について

Costly DNS Attacks on the Rise

2021/09/12 SecurityBoulevard — DNS セキュリティに対する意識は、高まりを維持しているが、攻撃が生じるコストや、その頻度は依然として高く、パンデミックやハイブリッドな労働環境により、組織は大きな混乱に陥っている。調査会社の IDC が実施した 2021 DNS Security Survey では、ほぼすべての企業 (調査対象の87%) が、DNS 攻撃によりアプリやサービスに支障をきたしたことが確認されている。

その一方で、過去12カ月間の1組織あたりの平均攻撃回数は 7.6回に上り、1回の攻撃にかかる平均コストは $1 million に迫る勢いだ。また、調査対象となった組織の4分の1以上 (26%) がデータ窃取の被害に遭っており、昨年の調査から 10ポイント上昇している。

DNS は依然として主要なターゲットだ

ハッカーにとって DNS は、ネットワーク侵入やデータの流出を可能にする、重要な標的となっている。IT SecOps 企業である Netenrich の Principal Threat Hunter である John Bambenek は、「DNS に対する脅威の状況と、その進化に関しては、それほど大きな変化はない。DDoS と DNS トンネリングは昔からあった。変化したのは、クラウドの導入により、内部リソースへの外部からのアクセス可能になり、それが攻撃の対象となったことだ。つまり、脅威アクターが組織を攻撃するための、新たな機会を生み出している」と述べている。

John Bambenek は、「DNS 攻撃による主な影響は可用性にあるため、DDoS 攻撃を軽減するための準備をしていなければ、簡単にリソースをオフラインにされてしまう。DNS トンネリングは、組織からデータを流出させるための秘密の方法であり、組織がアウトバウンドの DNS クエリに注意を払わなければ、機密データを簡単に失うことになる。つまり、ハイブリッドな職場環境は、DNS の脅威だけでなく、組織が自衛する必要のある方法をも変えてしまった」と述べている。

典型的な DNS の防御方法は、内部のリソースを内部のリゾルバでしか解決できない、split-brain の運用だと指摘している。ただし、クラウドでは、多くハプニングが起こるため、このような防御層は不可能だ。したがって、脅威アクターたちは、オフラインに追い込むための、また、フィッシングでアクセスを試みるための、機密情報の置き場所を容易に把握できる」と語っている。さらに、これらの洞察により攻撃者は、フィッシングの餌にすべきクラウドを選択し、リソースにアクセスするための認証情報を盗み出していく。

さらに、DNS 攻撃の影響で最も被害が大きいのは、社内のアプリケーションやクラウドのダウンタイムである。ユーザーとアプリケーションの間のアクセスを確保するために、また、回復力を維持するために、DNS は極めて重要である。今回の調査では、ほぼすべての企業が、DNS 攻撃により自社のアプリケーションやサービスが停止した経験がある回答している。したがって、今後は、セキュリティ戦略の変更が必要になるだろうと、John Bambenek は述べている。

COVID-19 パンデミックは、ハイブリッドワークの運用モデルへの適応という意味で、企業に新たな課題を突きつけている。リモートワーカーがフィッシング詐欺に遭うことが多くなり、また、増え続ける脆弱性がパスワードリスト型攻撃や DNS スプーフィングを引き起こし、大きなセキュリティ問題となっている。その他にも、個人所有デバイスの業務での使用や、会社 PC の個人での使用、VPN の使い勝手の問題、帯域幅による遅延の発生などにより、リモートワークにおけるユーザー・エクスペリエンスは低下している。

DNS 攻撃者の手法は多様化している

サイバー犯罪者が、あらゆる手段を使って DNS プロトコルと設定ミスを悪用していることで、企業は、これまで以上に、多様なタイプの攻撃を受けている。

Bambenek は、「組織は、すべての従業員の DNS 解決を把握する必要がある。それらのリクエストは、ログを記録して異常な動作を探すための、リゾルバーを通過する必要がある。また、パッシブ DNS とドメイン登録情報を用いて、ブランドをフィッシングする試みを探し出し、ブロックすべきだ。それに加えて、主要なパートナーやクラウドをフィッシングしようとする試みを、ブロックできるようにする必要がある」と述べている。

今回の調査では、ほぼすべての組織 (99%) が、何らかの形で DNS のセキュリティを実施していると回答しているが、多くの組織は、事業継続/データ保護/ユーザー保護などの、目的に応じた DNS セキュリティのメリットを享受していない。また、DNS セキュリティは、全体的なセキュリティ戦略の重要な要素として確立されており、ほぼすべての組織がソリューションを導入している、しかし、その 42% は、潜在的な脆弱性のギャップを埋めるための、専用の DNS セキュリティ・ソリューションを使用していない。

この調査では、包括的なアプローチの欠如自体が、リスクを伴うものだと指摘されている。クラウド環境におけるミス・コンフィグレーションや見落としにより、深刻な損害が引き起こされる可能性がある。また、クラウド上の VM IP アドレスを忘れると、大規模で複雑なインフラを持つ組織を標的とする、DNS 攻撃のドアが開いてしまうことになる。この報告書では、専用の DDI (DNS-DHCP-IPAM) ソリューションを使用することで、特に自動化が含まれている場合の、ミスコンフィグレーションのリスクを排除できると指摘している。

DNS を自前で管理するとなると、大手企業になるのでしょうか? 先日に、「6万以上のパークドメインに危機:レジストラだけではなく AWS にも問題が」と、「Web アプリのパスワード・リセットと DNS スプーフィングの組合せは最悪の結果を招く」をポストしましたが、こんな問題を起こされてはたまりません。そうなると、大変ではあっても、自前での DNS 管理が必要になるのでしょう。

%d bloggers like this: