DNS トンネリングの事実:C2 通信およびデータ窃取を達成できる秘密とは?

Hackers Exploit DNS Queries for C2 Operations and Data Exfiltration

2025/07/17 CyberSecurityNews — DNS (Domain Name System) トンネリングを悪用するサイバー犯罪者が、秘密の通信チャネルを確立し、従来からのネットワーク・セキュリティ対策を回避するという傾向を強めている。この高度な手法は、DNS トラフィックが有する根本的な信頼を悪用するものだ。インターネット通信において不可欠な DNS トラフィックは、その役割を担うために、最小限の検査で企業のファイアウォールを通過する。

主なポイント
  1. DNS トンネリングは、DNS クエリ内に悪意のデータを隠すものであり、検知されることなくファイアウォールに通過する。
  2. Cobalt Strike などの攻撃ツールは、DNS を悪用して秘密の C2 通信およびデータ窃取を実行する。
  3. クエリ分析を通じたトンネリング・パターンの特定は、機械学習 (ML) 検出により数秒で完了する。
DNS トンネリングによる秘密の活動の仕組み

正当な DNS クエリ/レスポンス内に悪意のデータをエンコードする DNSトンネリングは、侵害したシステムと攻撃者が管理するサーバとの間に、ステルス通信経路を構築すると、Infoblox は報告している。

このインフラを確立するために、脅威アクターにとって必要なことは、そのドメインの権威ネーム・サーバを制御することである。また、被害者のシステム上のマルウェアが、定期的に DNS ルックアップを実行することで、受信したレスポンスによる特定のアクションのトリガーが可能となる。

DNS operation

このプロセスで悪用されるのは、DNS 解決の再帰的な性質である。DNS 解決では、クエリがディスティネーションに到達する前に、複数のサーバを通過する。

サーバからのレスポンスには、ON2WI3ZAOJWSAL3FORRS643IMFSG65YK のようなエンコードされたコマンドを取り込む、TXT レコードが存在する可能性がある。このレコードがデコードされると、侵害済のシステムに対してコマンド実行の指示が与えられる。

Packet capture displayed in Wireshark file exfiltration

実際の攻撃で一般的に使用される、複数の DNS トンネリング・ファミリーを、セキュリティ研究者たちは特定している。

それらの脅威アクターが頻繁に用いる、人気のペンテスト・ツール Cobalt Strike は、観測された DNS トンネリング活動の 26% で悪用されている。このツールは、”post” や “api” といった、カスタマイズ可能なプレフィックスを持つ、16進数でエンコードされたクエリを使用できる。

このツールを用いれば、たとえば、A レコードを使用してビーコンを送信し、TXT レコードを介して C2 操作を実行できる。観測されたトンネリング・トラフィックの 13% を占める DNSCat2 では、A/TXT/CNAME/MX レコードなどの、複数のクエリ・タイプを使用して、暗号化された DNS トンネルが作成されている。

その他の注目すべきツールとしては、Iodine や Sliver などがある。Iodine は、IPv4 トラフィックを DNS 経由でトンネリングする機能を持ち、国家レベルの攻撃者により悪用され、その検出率は 24% である。また、Sliver は、高度な DNS トンネリング機能を備えたクロス・プラットフォームの C2 フレームワークであり、検出率は12%である。

DNS トンネリング・トラフィックは、正規のトラフィックに見えるため、従来からのセキュリティ防御では識別が困難である。なぜなら、この悪意の通信は、標準の DNS プロトコルを使用しているからである。

しかし、高度な機械学習 (ML) アルゴリズムにより、クエリのパターンおよびレスポンスの挙動を分析することで、これらの隠れたチャネルの検出は可能である。

最新の検出システムは、トンネリング・ドメインがアクティベーションされてから数分以内に識別し、場合によっては、最初のハンドシェイクが完了する前の識別も可能にする。

一部のセキュリティ・ツールやウイルス対策ソリューションは、脅威インテリジェンス・クエリにも DNS を使用している。そのため、悪意のトンネリングと正当な DNS 使用を区別することが課題になっている。

セキュリティ・チームにとって必要なことは、ネットワーク機能を維持しながら、正当な DNS トラフィックと、悪意の通信チャネルを区別できる、特殊な検出メカニズムを実装することである。

DNS トンネリングの巧妙さを、わかりやすく伝えてくれる記事ですね。普段は意識されない DNS 通信の仕組みと、そこに潜む仕掛けについて、理解が進みます。また、Cobalt Strike/Iodine/Sliver といったツールが、一般のセキュリティ対策をすり抜けていく理由もわかります。すこし明るい材料は、機械学習による検出技術の進歩となるのでしょう。よろしければ、DNS で検索も、ご参照ください。