DNSを悪用した攻撃が巧妙化、通信の基盤を狙う見えない脅威に警戒を

背景

インターネット通信の基盤を支えるDNS（Domain Name System）が、サイバー攻撃の標的および攻撃経路として悪用されるケースが増加しています。DNSは通常、企業のファイアウォールやセキュリティ監視の対象外となりやすく、攻撃者はこの「盲点」を突いてマルウェアの指令通信（C2通信）やデータの外部送信を行います。特にDNSトンネリングと呼ばれる手法では、DNS問い合わせの中に不正なデータを隠して送受信するため、従来のファイアウォールやプロキシでは検知が困難です。また、DNSキャッシュポイズニングやDNSハイジャックといった攻撃により、正規のWebサイトへのアクセスが偽サイトへリダイレクトされ、認証情報の窃取やマルウェア配布に悪用される事例も報告されています。

実態

DNSトンネリング攻撃では、攻撃者が侵入したネットワーク内部から、DNS問い合わせの形式で機密データを少しずつ外部へ送信します。通常のHTTPSやFTP通信は監視されていても、DNS通信は業務に不可欠なため許可されているケースが多く、攻撃者はこの隙を突きます。具体的には、盗み出したデータをBase64エンコードなどでテキスト化し、サブドメイン名の一部として埋め込んで外部の攻撃者管理DNSサーバーへ問い合わせを送信します。この手法により、数メガバイトから数ギガバイトのデータが長期間にわたって静かに流出します。また、マルウェアのC2通信にもDNSが悪用されており、感染端末が定期的にDNS問い合わせを行うことで攻撃者からの指令を受け取る仕組みが確認されています。さらに、DNSキャッシュポイズニング攻撃では、企業や ISP（インターネットサービスプロバイダ）のDNSサーバーに偽の情報を注入し、正規ドメインへのアクセスを攻撃者が用意した偽サイトへ誘導します。これにより、ユーザーは正規サイトにアクセスしているつもりで、実際にはフィッシングサイトで認証情報を入力してしまいます。DDoS攻撃においても、DNSアンプ攻撃（DNS Amplification Attack）として、小さな問い合わせで大量の応答を生成させ、標的サーバーを過負荷状態に陥れる手法が多用されています。

影響と対策

DNS攻撃による影響は、機密情報の長期的な漏えい、マルウェア感染の持続、正規サイトへのアクセス妨害、フィッシング被害の拡大など多岐にわたります。対策としては、まずDNSトラフィックを可視化し、異常なパターンを検知する仕組みが不可欠です。FortiGateやCheck Pointの次世代ファイアウォールに搭載されているDNSセキュリティ機能は、DNS問い合わせの内容を解析し、既知の悪性ドメインへの通信をブロックするだけでなく、DNSトンネリングの兆候となる異常に長いサブドメイン名や高頻度の問い合わせを検知します。また、DNSフィルタリング機能により、マルウェアのC2サーバーやフィッシングサイトへの名前解決を事前に遮断することも有効です。企業内部では、信頼できる外部DNSサービス（Cloudflare、Google Public DNS等）やDNSファイアウォールサービスの利用、DNSSEC（DNS Security Extensions）の導入による応答の真正性検証、社内DNSサーバーのセキュリティ強化と定期的なパッチ適用が推奨されます。さらに、DNS通信のログを長期保存し、SIEM（Security Information and Event Management）と連携させることで、事後調査や異常検知の精度向上が期待できます。

まとめ

DNSは「インターネットの電話帳」として不可欠な存在ですが、その重要性ゆえに攻撃者にとって魅力的な標的となっています。通常の通信監視では見落とされがちなDNS層のセキュリティ強化が急務です。PSI社では、ネットワーク製品に搭載されたDNSセキュリティ機能を活用し、DNSを経由した攻撃の検知・防御体制の構築をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp