インターネットの根幹を支えるDNSへの攻撃は致命的な結果をもたらす。DNSが攻撃されると何が起きるのか。セキュリティを強化する2つのプロトコルとは何か。
危険な脅威の一つにDNS(ドメインネームシステム)への攻撃がある。EfficientIPが実施した調査では、2019年には79%の企業がDNS攻撃の影響を受けてその対応に平均92万4000ドル(約972万円)のコストがかかったとされている。DNSのセキュリティ確保は不可欠だが、どこから手を付ければよいのだろうか。
DNS攻撃が急増しているにもかかわらず、企業がこれを無視し、この攻撃から身を守るための措置を講じていないことに専門家は危惧を抱いている。ESETのセキュリティスペシャリスト、ジェイク・ムーア氏は次のように語る。「DNSを標的としたサイバー攻撃が増えている。にもかかわらず、保護されていないDNSゲートウェイは多い。さらに悪いことに、DNSへの対処を諦め、事実上ドアを開け放した状態にしているセキュリティ管理者がいることも分かっている」
ムーア氏は次のように話す。「攻撃がますます巧みになるにつれ、企業はそのリスクを完全には理解できなくなり、単なる認識不足によってDNSのセキュリティが優先されなくなる。DNSはビジネスやサービスの継続性に不可欠なので標的になるのは自然の流れだ」
こうした攻撃を防止、軽減するために企業は何をすべきだろうか。ムーア氏によると、大多数のネットワークトラフィックがDNSを経由するため、各ユーザーの行動を分析することが脅威の検出に役立つという。「検出した脅威を詳しく調査しなければならない。それがゼロトラスト戦略の成功につながる可能性がある」と同氏は話す。
DNSサーバを安全ではない状態にしておくと、攻撃を受けた企業に壊滅的な結果をもたらす恐れがある。
RiskIQでソリューションアーキテクトを務めるテリー・ビショップ氏は次のように話す。「攻撃者は、脆弱(ぜいじゃく)なリンクを悪用しようとする。脆弱なDNSサーバは間違いなく価値の高い標的になる」
「大半の企業が、社外と接する資産の約30%を認識していないことが分かっている。社外と接する資産には、Webサイト、メールサーバ、リモートゲートウェイなどがある。こうしたシステムをパッチの適用も監視も管理もしていない状態にしておくと、侵害の機会とさらなる悪用の恐れを生む。さらなる悪用は企業資産に対する攻撃かもしれない。DNSサーバなどの重要なインフラへの攻撃かもしれない。何が標的になるかは、攻撃者の動機と侵害された環境の詳細によって決まる」
IEEE(Institute of Electrical and Electronics Engineers)の上級会員でアルスター大学のサイバーセキュリティの教授でもあるケビン・カラン氏も、DNS攻撃が非常に壊滅的な結果につながる恐れがあることに同意する。DNSが適切に機能しなければ、インターネットは事実上機能を停止すると同氏は話す。
「DNSに障害が起きると、ユーザーが入力したWebサイト名が正しいIPアドレスに変換(名前解決)されなくなる。IPアドレスは、インターネットが実際に要求をルーティングする唯一の手段だ。名前解決ができなくなればインターネットは機能しなくなる。もちろん、覚えにくいIPアドレスを直接入力することはできる。だがそれは現実的なシナリオではない」(カラン氏)
DNSのセキュリティリスク軽減に役立つさまざまなプロトコルがあるとして、同氏は次のように話す。「DNSに対する2つのメジャーアップデートが『DNS over TLS』(DoT)と『DNS over HTTPS』(DoH)だ。どちらもプレーンテキスト(平文)のDNSトラフィックを暗号化し、第三者などが悪意を持ってデータを傍受するのを防ぐ」
カラン氏は次のように補足する。「DoTは、HTTPSのWebサイトと同じ暗号化と認証のプロトコルを使う。UDPの上位にTLS暗号化が加えられるので、DNSの要求と応答が経路上で攻撃を受け、改ざんされたり偽造されたりすることがなくなる。DoHも暗号化を使う。だが、DNSメッセージはHTTPかHTTP/2で送信される。DoHのトラフィックをパケットアナライザーで調べると、標準のHTTPSトラフィックと似ている」
後編では、DoTとDoHのメリット/デメリット、DNSセキュリティの新技法を解説する。
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃が増加している。しかし、システムの多様化が進む中、「脆弱性情報の収集」「対象システムの把握」「対応プロセスの管理」がスムーズに行われず、適切な脆弱性対策ができていないケースがある。これらを解決する方法は?
ネットワークとセキュリティの機能を一体化したフレームワーク「SASE」が注目されている。一方で、SASEはさまざまな機能で構成されるため、高評価のツールを組み合わせることが多いが、これが後悔の種になることもあるという。
近年、SASE(Secure Access Service Edge)への注目度が高まっているが、その導入は決して容易ではない。そこで、ネットワークおよびセキュリティ、そしてSASEの導入・運用にまつわる課題を明らかにするため調査を実施した。
クラウド時代に重要性を高めている「認証」技術。サイバー攻撃を未然に防ぐためには、この技術のアップデートが急務となっている。具体的にどのようなツールがあるのか、導入効果や利用シーンとともに見ていく。
クラウド技術が急速に普及した今、従来の境界型セキュリティに代わるアプローチとして「ゼロトラスト」と「SASE」が注目度を高めている。両者の概要やメリットを解説するとともに、SASE製品の選定ポイントや主要製品を紹介する。
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「AIエージェント」はデジタルマーケティングをどう高度化するのか
電通デジタルはAIを活用したマーケティングソリューションブランド「∞AI」の大型アップ...
「政府」「メディア」への信頼度は日本が最低 どうしてこうなった?
「信頼」に関する年次消費者意識調査の結果から、日本においても社会的な不満・憤りが大...
「Threads」が広告表示テスト開始 企業アカウント運用のポイントとは?
Metaのテキスト共有アプリ「Threads」で広告表示のテストが開始され、新たな顧客接点とし...