サイバー　攻撃　対策

DNS水責め（Water Torture）攻撃から守る方法

サイバー攻撃の対策として一般的に掲げられるものとして以下のことがあります。

・メールセキュリティの強化→マルウェア感染、フィッシング詐欺などの対策

・Webブラウザのセキュリティアップデート、追加機能

・エンドポイントやファイルサーバにおけるマルウェア対策

・ゼロトラストセキュリティ→ネットワーク分離を必要としない認証によるアクセス制御などを前提とする

しかし、サイバー攻撃とその対策はこれらだけではありません。身近にあるホームルーター・ブロードバンドルーターがサイバー攻撃の手段として使われるケースがあります。ここではその代表例として、DNS水責め攻撃について紹介します。

■DNS水責め（Water Torture）攻撃とは？

インターネットサービスプロバイダー（ISP）からお使いのホームルーター・ブロードバンドルーターについて以下のような指摘を受けたことはないでしょうか？

1. ルーターがオープンリゾルバとなっていて、DDoS攻撃に利用されている

2. ルーターがISPのDNSサーバに対して過剰なDNS要求が送られている

これに対してどのような対応を取るべきなのか説明する前に、何が発生しているのかを理解する必要があります。

指摘①は、オープンリゾルバとなっていることが問題であることは想像できます。では、オープンリゾルバであることの何が問題なのでしょうか。

＜リゾルバとは？オープンリゾルバとは？＞

ドメイン名は人間が認識しやすくするために設けられていますが、実際の通信はIPアドレスという数字のデータでやりとりしています。そこでドメイン名を使ってアクセスする際、IPアドレスに変換する必要があるのですが、そのことを名前解決（Name Resolution）といいます。逆にIPアドレスからドメイン名に変換する場合もあります。これらはDNSが担いますが、アクセスしようとする機器にある機能がDNSに対して問い合わせをします。この機能をリゾルバ（Resolver）といいます。

オープンリゾルバとは、インターネット上にオープンになっているリゾルバのことを指し、インターネットにつながる誰もがそのリゾルバを使える状態になっています。問題となっているのは、攻撃者がオープンリゾルバを利用してDDoS攻撃を行うことです。

＜欠陥を持つホームルーター・ブロードバンドルーターがDDoS攻撃に利用されている＞

ホームルーター・ブロードバンドルーターの中には過去に不備によりオープンリゾルバになっている製品がありました。

もし、使用しているホームルーター・ブロードバンドルーターが該当の製品の場合は、多くの場合メーカーからファームウェアアップデートが提供されているため、それを適用する必要があります。

ホームルーター・ブロードバンドルーターがオープンリゾルバになったまま放置し、攻撃者がオープンリゾルバであることを知ると、攻撃者はボットネットを介して、攻撃対象のDNSサーバへ攻撃をすることができます。

攻撃者はオープンリゾルバとなっている多数のホームルーター・ブロードバンドルーター、DNSサーバのリゾルバーに対して、特定のドメイン名に対する問い合わせを一気にかけます。すると、ドメイン名に関する情報を持っている攻撃対象のDNSサーバは過剰負荷となり、正常に応答が返せなくなります。この結果、本来の目的でアクセスしようとするユーザのアクセスを妨害することになります。

これがDNS水責め攻撃です。サイバー攻撃でのアクセスというと、脆弱性を悪用した特殊なアクセスを想像しがちですが、DNS水責め攻撃では、DNSに対する一つ一つのアクセスは一見正常なものに見えます。しかし、それらを同時に行っているという特徴があります。

そして、ホームルーター・ブロードバンドルーターを設置している家庭では、意図せずオープンリゾルバになっていることになるため、知らないうちに攻撃者に加担する形となります。

■オープンリゾルバーの状態とその確認方法

JPCERT/CC（一般社団法人JPCERTコーディネーションセンター）が以下のサイトを提供しています。^１）

「オープンリゾルバー確認サイト」　http://www.openresolver.jp/

最初の画面で「上記に同意する」にチェックを入れ、確認ボタンをクリックします。

次の画面で結果が表示されます。

「オープンリゾルバではありません。」と表示されていれば正常です。

もし、「オープンリゾルバの可能性があります。」と判定された場合、以下の対応が必要です。^２）

1. 設定されているDNSサーバーがオープンリゾルバと判定された場合

この場合、端末のネットワーク設定にあるDNSサーバがオープンリゾルバであることを示しています。家庭では契約しているインターネットプロバイダーが運営しているDNSサーバが自動的に設定されていることが多いので、通常、問題になることはありません。ご自身または自組織で管理するDNSサーバを設定している場合は、DNSサーバの不適切な設定のためにオープンリゾルバと判定される場合はあり得ます。

2. 接続元IPアドレス（ブロードバンドルーター等）がオープンリゾルバと判定された場合

　ホームルーター・ブロードバンドルーターに問題があります。多くの製品はこのような問題がある場合はファームウェアアップデートを提供しており、製品の管理サイトから操作ができます。メーカーのマニュアルやサポートサイト等を参照し、ファームウェアアップデートを適用してください。

■サイバー攻撃を受ける側（DNSサーバを運営する側）の対策

インターネットに対してサービスを提供する事業者はユーザを保護するために、常に最新の脅威情報を使ってサイバー攻撃の対策をしなければなりません。

今回のテーマであるDNS水責め攻撃ではDNSサーバが被害を受けます。

日々進化し続けている最新のサイバー攻撃の脅威に対して、全て独自に手動で対策することは現実的ではありません。包括的な脅威インテリジェンスにより自動的にポリシーを適用する必要があります。

それに応えるソリューションとして、パイプラインはVisionという製品を提供しています。

https://www.ppln.co/ja/vision

Visonでは、自組織のDNSを使うユーザをリアルタイムで保護します。

既知の有効なドメインリストを設定し、攻撃期間中に偽のドメインや悪意あるドメインを拒否します。管理者は管理ポータルを通じて脅威データを管理でき、Visionは最新の脅威データに基づいたカスタマイズデータを提供します。

是非「デモを予約する」をクリックし、デモを予約してください。

参考

１）https://www.jpcert.or.jp/magazine/security/openresolver.html

２）https://www.jpcert.or.jp/magazine/security/openresolver.html#taisaku