「DNSの防御」から「DNSによる防御」へ DNSを応用した新技法：DNSセキュリティ【後編】

[Nicholas Fearn，Computer Weekly]

　前編「DNSのセキュリティを強化する2つの新プロトコル」では、DNS攻撃の影響と「DNS over TLS」（DoT）および「DNS over HTTPS」（DoH）を紹介した。

　後編では、DoTとDoHのメリット／デメリット、DNSセキュリティの新技法を解説する。

　カラン氏によると、最善の手法については議論があるという。「ネットワーク管理者がDNSクエリを監視して悪意のあるトラフィックなどをブロックできるため、ネットワークセキュリティの点ではDoTの方が優れているという意見がある。DoHのクエリは通常のHTTPSトラフィック内に隠される。そのため他のHTTPSトラフィックはブロックせずDoHクエリだけをブロックするのは簡単ではない。DoHはプライバシーの点では優れている。とはいえ、多くの企業にとってはDNSクエリがHTTPSトラフィック内に隠されることが重要になる」

関連記事

• DNSの守り方──DNSプロキシサービスのススメ
• あなたのDNSデータが教えてくれる3つの知見
• DNS関連のセキュリティリスクトップ3とその対策
• 不正なサイトをブロックする無償のDNSサービス「Quad9」
• コンテナ／マイクロサービスが機能する鍵は「DNS」

DNS攻撃への備え

　サイバー攻撃の特定と軽減については、DNSが多くの洞察を提供する。NS1でEMEA（ヨーロッパ、中東、アフリカ地域）の統括マネジャーを務めるマーク・フィールドハウス氏は次のように話す。「DNSを監視やレポートのシステムの対象に組み込むと、アプリケーションとネットワークトラフィックが可視化される。これにより、侵害の重要な兆候が明らかになる。DNSは疑わしい国、地域、ドメインからのトラフィックを受け取らないようにすることもできる」

　「常時接続の冗長なエニーキャストDNSネットワークを利用すれば、侵害を受けたリソースの周辺にトラフィックを動的にルーティングしてダウンタイムを防いで回復力を確保し、攻撃の影響を最小限に抑えることができる。DNSSECを有効にするとDNSレコードがデジタル署名されるため、DNSレコードの整合性が確保される。その結果、攻撃者が挿入した偽の情報をユーザーが受け取ることがなくなる」

　フィールドハウス氏によると、ゼロトラストアプローチにとってはDNS、DHCP、IPアドレス管理（DDI）が重要だという。「DNSトラフィックをシームレスにルーティングして特定の条でブロックできれば、企業のデータは脅威から保護される」

　「DNS攻撃は壊滅的になる恐れがあるため、社外のDNSも社内ネットワークと同程度の保護が必要になることにも注意が必要だ」

　Attivo Networksでセキュリティリサーチ部門のバイスプレジデントを務めるベヌ・ビサムセティ氏は、DNS監視とフィルタリング、エンドポイント保護、エンドポイントデータクローキング、アクセス制御から成る階層型防御アプローチを推奨する。これはランサムウェア攻撃への対処に特に役立つと同氏は話す。

　「ランサムウェアは最初の感染後にDNSルックアップを開始し、C&C（Command and Control）にアクセスして追加のペイロードをダウンロードする。DNSフィルタリングとブロッキングによって最初のペイロードの段階でランサムウェア攻撃を阻止できる可能性がある。標的型攻撃はDNSフィルタリングを回避できるため、ランサムウェア攻撃の影響を最小限に抑えるには、ゼロトラストアクセス制御を推奨する」（ビサムセティ氏）

DNSへの新たな技法の適用

　Nominetの政府サイバーセキュリティの専門家であるスティーブ・フォーブス氏によると、DNSをサイバー防御ツールとして利用できるという。

　フォーブス氏は次のように話す。「マルウェアとC&Cセンター間の通信がDNSトラフィックに含まれる可能性が非常に高い。AIの進化により、ネットワークトラフィックの送信元、宛先、特性に含まれるパターンを検出できるようになり、悪意を含む恐れのあるトラフィックを以前よりもはるかに早い時点で検出できる。これによって早期警告指標を提供することで、攻撃に対処する時間を確保し、脅威を修正する時間を短縮できる」

　フォーブス氏によると、DNSに新たな技法を適用することでサイバー攻撃の可能性がある異常な動作や不審な動作を特定できるという。

　「悪意を持つ可能性のある因子のアクセスをブロックし、内部関係者による脅威を明らかにすると同時に、誤検知を減らしてセキュリティ担当者のワークロードを削減できる」（フォーブス氏）

　CloudflareでCTO（最高技術責任者）を務めるジョン・グラハム＝カミング氏によると、DNSベースのセキュリティについて企業ができることは多いという。同氏は次のように話す。「DDoSのような基本的な攻撃からDNSインフラを保護する必要がある。次にDNSサーバを最新状態に保ち、パッチを適用すべきだ。そうすれば、企業は自社のDNSサーバの情報を使って新しい攻撃を検出できる」

　「DNSログデータを分析ツールに入力すれば、マルウェアの兆候を示す異常な動作を特定できる。DNSサーバをプロビジョニングすることで、ユーザーやPCがアクセスできるインターネットリソースをDNSレベルで制御し、既知のマルウェアやフィッシングをブロックすることも可能だ」