インターネットの根幹を支えるDNSへの攻撃は致命的な結果をもたらす。DNSが攻撃されると何が起きるのか。セキュリティを強化する2つのプロトコルとは何か。
危険な脅威の一つにDNS(ドメインネームシステム)への攻撃がある。EfficientIPが実施した調査では、2019年には79%の企業がDNS攻撃の影響を受けてその対応に平均92万4000ドル(約972万円)のコストがかかったとされている。DNSのセキュリティ確保は不可欠だが、どこから手を付ければよいのだろうか。
DNS攻撃が急増しているにもかかわらず、企業がこれを無視し、この攻撃から身を守るための措置を講じていないことに専門家は危惧を抱いている。ESETのセキュリティスペシャリスト、ジェイク・ムーア氏は次のように語る。「DNSを標的としたサイバー攻撃が増えている。にもかかわらず、保護されていないDNSゲートウェイは多い。さらに悪いことに、DNSへの対処を諦め、事実上ドアを開け放した状態にしているセキュリティ管理者がいることも分かっている」
ムーア氏は次のように話す。「攻撃がますます巧みになるにつれ、企業はそのリスクを完全には理解できなくなり、単なる認識不足によってDNSのセキュリティが優先されなくなる。DNSはビジネスやサービスの継続性に不可欠なので標的になるのは自然の流れだ」
こうした攻撃を防止、軽減するために企業は何をすべきだろうか。ムーア氏によると、大多数のネットワークトラフィックがDNSを経由するため、各ユーザーの行動を分析することが脅威の検出に役立つという。「検出した脅威を詳しく調査しなければならない。それがゼロトラスト戦略の成功につながる可能性がある」と同氏は話す。
DNSサーバを安全ではない状態にしておくと、攻撃を受けた企業に壊滅的な結果をもたらす恐れがある。
RiskIQでソリューションアーキテクトを務めるテリー・ビショップ氏は次のように話す。「攻撃者は、脆弱(ぜいじゃく)なリンクを悪用しようとする。脆弱なDNSサーバは間違いなく価値の高い標的になる」
「大半の企業が、社外と接する資産の約30%を認識していないことが分かっている。社外と接する資産には、Webサイト、メールサーバ、リモートゲートウェイなどがある。こうしたシステムをパッチの適用も監視も管理もしていない状態にしておくと、侵害の機会とさらなる悪用の恐れを生む。さらなる悪用は企業資産に対する攻撃かもしれない。DNSサーバなどの重要なインフラへの攻撃かもしれない。何が標的になるかは、攻撃者の動機と侵害された環境の詳細によって決まる」
IEEE(Institute of Electrical and Electronics Engineers)の上級会員でアルスター大学のサイバーセキュリティの教授でもあるケビン・カラン氏も、DNS攻撃が非常に壊滅的な結果につながる恐れがあることに同意する。DNSが適切に機能しなければ、インターネットは事実上機能を停止すると同氏は話す。
「DNSに障害が起きると、ユーザーが入力したWebサイト名が正しいIPアドレスに変換(名前解決)されなくなる。IPアドレスは、インターネットが実際に要求をルーティングする唯一の手段だ。名前解決ができなくなればインターネットは機能しなくなる。もちろん、覚えにくいIPアドレスを直接入力することはできる。だがそれは現実的なシナリオではない」(カラン氏)
DNSのセキュリティリスク軽減に役立つさまざまなプロトコルがあるとして、同氏は次のように話す。「DNSに対する2つのメジャーアップデートが『DNS over TLS』(DoT)と『DNS over HTTPS』(DoH)だ。どちらもプレーンテキスト(平文)のDNSトラフィックを暗号化し、第三者などが悪意を持ってデータを傍受するのを防ぐ」
カラン氏は次のように補足する。「DoTは、HTTPSのWebサイトと同じ暗号化と認証のプロトコルを使う。UDPの上位にTLS暗号化が加えられるので、DNSの要求と応答が経路上で攻撃を受け、改ざんされたり偽造されたりすることがなくなる。DoHも暗号化を使う。だが、DNSメッセージはHTTPかHTTP/2で送信される。DoHのトラフィックをパケットアナライザーで調べると、標準のHTTPSトラフィックと似ている」
後編では、DoTとDoHのメリット/デメリット、DNSセキュリティの新技法を解説する。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...