DNSのセキュリティを強化する2つの新プロトコル：DNSセキュリティ【前編】

インターネットの根幹を支えるDNSへの攻撃は致命的な結果をもたらす。DNSが攻撃されると何が起きるのか。セキュリティを強化する2つのプロトコルとは何か。

[Nicholas Fearn，Computer Weekly]

　危険な脅威の一つにDNS（ドメインネームシステム）への攻撃がある。EfficientIPが実施した調査では、2019年には79％の企業がDNS攻撃の影響を受けてその対応に平均92万4000ドル（約972万円）のコストがかかったとされている。DNSのセキュリティ確保は不可欠だが、どこから手を付ければよいのだろうか。

　DNS攻撃が急増しているにもかかわらず、企業がこれを無視し、この攻撃から身を守るための措置を講じていないことに専門家は危惧を抱いている。ESETのセキュリティスペシャリスト、ジェイク・ムーア氏は次のように語る。「DNSを標的としたサイバー攻撃が増えている。にもかかわらず、保護されていないDNSゲートウェイは多い。さらに悪いことに、DNSへの対処を諦め、事実上ドアを開け放した状態にしているセキュリティ管理者がいることも分かっている」

　ムーア氏は次のように話す。「攻撃がますます巧みになるにつれ、企業はそのリスクを完全には理解できなくなり、単なる認識不足によってDNSのセキュリティが優先されなくなる。DNSはビジネスやサービスの継続性に不可欠なので標的になるのは自然の流れだ」

　こうした攻撃を防止、軽減するために企業は何をすべきだろうか。ムーア氏によると、大多数のネットワークトラフィックがDNSを経由するため、各ユーザーの行動を分析することが脅威の検出に役立つという。「検出した脅威を詳しく調査しなければならない。それがゼロトラスト戦略の成功につながる可能性がある」と同氏は話す。

深刻な結果

　DNSサーバを安全ではない状態にしておくと、攻撃を受けた企業に壊滅的な結果をもたらす恐れがある。

　RiskIQでソリューションアーキテクトを務めるテリー・ビショップ氏は次のように話す。「攻撃者は、脆弱（ぜいじゃく）なリンクを悪用しようとする。脆弱なDNSサーバは間違いなく価値の高い標的になる」

　「大半の企業が、社外と接する資産の約30％を認識していないことが分かっている。社外と接する資産には、Webサイト、メールサーバ、リモートゲートウェイなどがある。こうしたシステムをパッチの適用も監視も管理もしていない状態にしておくと、侵害の機会とさらなる悪用の恐れを生む。さらなる悪用は企業資産に対する攻撃かもしれない。DNSサーバなどの重要なインフラへの攻撃かもしれない。何が標的になるかは、攻撃者の動機と侵害された環境の詳細によって決まる」

　IEEE（Institute of Electrical and Electronics Engineers）の上級会員でアルスター大学のサイバーセキュリティの教授でもあるケビン・カラン氏も、DNS攻撃が非常に壊滅的な結果につながる恐れがあることに同意する。DNSが適切に機能しなければ、インターネットは事実上機能を停止すると同氏は話す。

　「DNSに障害が起きると、ユーザーが入力したWebサイト名が正しいIPアドレスに変換（名前解決）されなくなる。IPアドレスは、インターネットが実際に要求をルーティングする唯一の手段だ。名前解決ができなくなればインターネットは機能しなくなる。もちろん、覚えにくいIPアドレスを直接入力することはできる。だがそれは現実的なシナリオではない」（カラン氏）

　DNSのセキュリティリスク軽減に役立つさまざまなプロトコルがあるとして、同氏は次のように話す。「DNSに対する2つのメジャーアップデートが『DNS over TLS』（DoT）と『DNS over HTTPS』（DoH）だ。どちらもプレーンテキスト（平文）のDNSトラフィックを暗号化し、第三者などが悪意を持ってデータを傍受するのを防ぐ」

　カラン氏は次のように補足する。「DoTは、HTTPSのWebサイトと同じ暗号化と認証のプロトコルを使う。UDPの上位にTLS暗号化が加えられるので、DNSの要求と応答が経路上で攻撃を受け、改ざんされたり偽造されたりすることがなくなる。DoHも暗号化を使う。だが、DNSメッセージはHTTPかHTTP/2で送信される。DoHのトラフィックをパケットアナライザーで調べると、標準のHTTPSトラフィックと似ている」

後編では、DoTとDoHのメリット／デメリット、DNSセキュリティの新技法を解説する。

TechTargetジャパントップセキュリティ