悪意のある攻撃者がインターネットのDNSプロトコルの脆弱性を悪用するドメインネームシステム（DNS）に対する攻撃は非常に一般的であり、コストがかかります。

ドメインネームシステム（ドメインネームシステム）は絶え間ない攻撃を受けており、脅威がより高度になるにつれて、これらの攻撃に終わりはないようです。DNSはインターネットの電話帳と同じくらい、既知の名前をコンピューターがWebサイトにアクセスしたり電子メールを送信したりするために必要な番号に変換するグローバルインターネットインフラストラクチャの一部です。DNSは、あらゆる種類の企業情報や個人情報を盗むことを目的とした攻撃の標的として長い間使用されてきましたが、過去1年間に発生した脅威は、状況が悪化していることを示しています。

また確認してください：

DNSの役割は、ユーザーが検索フィールドに入力できる用語（人間が読める形式の名前と呼ばれる）を、デバイスがWebサイトにアクセスしたり電子メールを送信したりするために必要な適切な数字の文字列（IPアドレス）に変換することです。これらのかけがえのないシステムへの攻撃は、非常に悪意のあるものになる可能性があります。

北米、ヨーロッパ、およびアジア太平洋地域の1,100を超える組織を対象とした2021年のIDC調査では、それらの87％がDNS攻撃を経験したことがわかりました。各攻撃の平均コストは、すべての地域で約950,000ドル、北米の組織で約100万ドルでした。

DNSとは何ですか？どのように機能しますか

レポートはまた、すべての業界の組織が過去1年間に平均7.6回の攻撃を経験したことにも言及しています。

レポートによると、COVID-19のオフサイト作業への移行と、リソースをクラウドに移動して可用性を高めることに対する企業の対応が、攻撃者の新たな標的になっています。

この調査では、DNSを介したデータの盗難が急増していることもわかりました。組織の26％が、顧客の機密情報を盗んだと報告しており、2020年の16％から増加しています。

最も一般的なタイプのDNS攻撃を紹介します。

DNSブーストはDDOS攻撃をトリガーします

DNS増幅攻撃は、分散型サービス拒否（DDoS）の一般的な形式であり、オープンで公開されているDNSサーバーを使用して、DNS応答トラフィックでターゲットシステムに過負荷をかけます。

国の物理的および電子的インフラストラクチャの回復力を高めるための米国の取り組みを主導するCyber​​securityand Infrastructure Agency（CISA）によると、攻撃者は、送信元アドレスがに設定されたDNS名のオープンDNSサーバーのルックアップ要求を送信します。宛先アドレス。

DNSサーバーがDNSレコードに応答を送信すると、宛先に送信されます。CISAによると、攻撃者は通常、研磨効果を最大化するためにできるだけ多くのエリア情報を取得するように要求を送信します。US-CERTによって観察されたこのタイプのほとんどの攻撃では、攻撃者によって送信される設計されたクエリは「any」タイプであり、単一のクエリですべての既知のDNSゾーン情報を返します。

応答量は要求よりもはるかに大きいため、攻撃者はターゲットシステムに向けられるトラフィックの量を増やす可能性があります。CISAによると、ボットネットを使用してカスタマイズされた多数のDNSクエリを生成することにより、攻撃者は多くの労力をかけずに膨大なネットワークトラフィックを生成できます。

応答は重要なサーバーからの正当なデータであるため、この種の攻撃を防ぐことは非常に難しいと当局は述べています。US-CERTによって観察されるこの攻撃の最も一般的な形式は、インターネット上の任意のクライアントの無制限の再帰的なトラブルシューティングを可能にするように構成されたDNSサーバーです。CISAは、攻撃は、頻繁なトラブルシューティングを提供しない信頼できるネームサーバーを標的にする可能性もあると述べています。

DNSスプーフィング/キャッシュの破損

キャッシュの破損とも呼ばれるDNSスプーフィングを使用して、悪意のある攻撃者はDNSサーバーの弱点を利用してそれらを乗っ取ります。攻撃者は、キャッシュの破損を悪用して、悪意のあるデータをDNSリゾルバーキャッシュシステムに挿入し、攻撃者が所有するサイトにユーザーをリダイレクトしようとします。攻撃者は、個人データを盗んだり、他の情報を傍受したりする可能性があります。

攻撃者がDNSサーバーの制御を取得すると、キャッシュ内の情報を変更できます（これはDNSポイズニングです）。DNSキャッシュ破損コードは、スパムまたはフィッシングメールで送信されるURLによく見られます。これらのメッセージは、攻撃者から提供されたURLをクリックする必要がある、早急な対応が必要なイベントについてユーザーに警告しようとします。

DNSサーバーは他のDNSサーバーのキャッシュにアクセスできます。これが、攻撃が広範囲に広がる方法です。DNSを破壊する主なリスクは、データの盗難です。もう1つの大きなリスク：インターネットセキュリティプロバイダーのWebサイトが改ざんされた場合、正当なセキュリティ更新が実行されないため、コンピューターがウイルスやトロイの木馬などの追加の脅威にさらされる可能性があります。

DNSトンネル

DNSを攻撃するもう1つの一般的な方法であり、最も古いものの1つは、DNSトンネリングです。これらの攻撃は、DNSプロトコルを使用して、クライアントサーバーモデルでマルウェアやその他のデータを送信します。これらのペイロードはDNSサーバーを制御し、攻撃者がサーバーとそのアプリケーションを管理できるようにします。

トンネリングは、ファイアウォールをバイパスできるDNSリゾルバーを介して攻撃者とターゲットの間にステルス接続を作成します。サイバー犯罪者は、データの盗難などの悪意のある活動にトンネルを使用する可能性があります。

多くの場合、DNSトンネリングは、侵害されたシステムの外部ネットワーク接続に依存します。これにより、ネットワークアクセスを介して内部DNSサーバーにアクセスできます。

高速ストリームはセキュリティチェックをバイパスします

Fast Fluxは、攻撃者がボットネットを使用して、ボットのメインサーバーへのリバースプロキシとして機能する侵害されたホストの絶えず変化するIPアドレスを使用して、フィッシングやマルウェアの活動をセキュリティスキャナーから隠すDNS回避手法です。

「高速フロー」という用語は、マルウェアのネットワークを検出から保護するために使用される、ピアツーピアネットワーク、分散型コマンドアンドコントロール、ネットワーク負荷分散、およびプロキシ転送の組み合わせも指します。

Fast Fluxの背後にある主なアイデアは、単一の正当なドメイン名に関連付けられた多数のIPアドレスを持つことです。これは、IPアドレスがDNSリソースレコードを変更することによって交換されることが多いためです。認定された高速フロードメインネームサーバーは、ほとんどがサイバー犯罪者によってホストされています。

DNSハイジャック/リダイレクト

DNSハイジャック（またはDNSリダイレクト）は、DNSクエリの解決方法を損なう行為です。サイバー犯罪者は、システムのTCP / IP構成を上書きして攻撃者の制御下にある不正なDNSサーバーを指すマルウェアを使用するか、信頼できるDNSサーバーの動作を変更してインターネット標準と互換性を持たないようにすることでこれを行います。悪意のある攻撃者は、フィッシングなどの悪意のある目的でこれらのmodを使用します。

DNSハイジャックには主に3つのバージョンがあります。

攻撃者はドメインレジストラのアカウントを侵害し、DNSネームサーバーを自分が管理するサーバーに変更します。攻撃者のアドレスを指すようにドメインのIPアドレスレコードを変更します。

攻撃者は企業のルーターに侵入し、DNSサーバーを変更します。DNSサーバーは、ユーザーが企業のネットワークにログインすると、各マシンに自動的に送信されます。

DNS攻撃を防ぐ方法

組織は、DNS攻撃のリスクを軽減するために、さまざまな方法を採用できます。

推奨される方法は次のとおりです。

より強力なアクセス制御を実装する

企業は、ネットワークにアクセスできるユーザーをより適切に制御するための措置を講じることを確認する必要があります。これを行う1つの方法は、オンラインアカウントまたはシステムにアクセスする方法として、多要素認証または2要素認証を実装することです。これには、ユーザーがアクセスするために、パスワードやIDなどの複数のタイプの情報を提供する必要があります。

企業は、すべてのログまたはログアカウントで多要素認証が有効になっていることを確認する必要があります。これにより、パスワードを簡単に推測したり、安全に保存したり、サービス間で再利用したりすることができなくなります。

CISAは、組織の管理対象DNSサーバーソフトウェアのアカウント、プログラムを管理するシステム、外部DNSオペレーターの管理パネル、DNSレジストラアカウントなど、DNSレコードに変更を加える可能性のあるシステム上のすべてのアカウントのパスワードをすぐに更新することを組織に推奨します。

不信の原則を使用する

セキュリティに対する不信のアプローチは、米国連邦政府からのサポートの増加と、多くの企業を育ててきたハイブリッドおよびリモートのビジネスモデルのおかげで勢いを増しています。ゼロトラストは、DNSの脅威を減らす上で重要な役割を果たすことができます。

調査会社のGarnerは、セキュリティとリスクのリーダーがリスクを軽減するために2つの主要なネットワーク不信プロジェクトを実施することを推奨しています。1つ目は、ゼロトラストネットワークアクセス（ZTNA）システムの実装です。これは、アクセスメカニズムを抽象化して一元化し、エンジニアとセキュリティ担当者が責任を負うようにします。

ユーザーとそのデバイスのIDに基づいて、および日時、地理的な場所、過去の使用パターン、デバイスの状態などの他の要因に基づいて、適切なアクセスを許可します。その結果、柔軟性が向上し、監視が改善された、より安全で回復力のある環境が実現したとGartner氏は言います。

もう1つのプロジェクトは、IDベースのネットワークセグメンテーションです。これは、攻撃者がネットワークに侵入した後、ネットワークをナビゲートする能力を制限する効果的な方法であるとGartnerは考えています。

同社によれば、IDベースの断片化は、組織が個々のワークロードを「暗黙の許可」ではなく「デフォルトの拒否」モデルに移行できるようにすることで、不当な暗黙の信頼を減らします。ネットワークアクセスを許可するかどうかを決定する一環として、ワークロードとアプリケーションIDを評価する動的ルールを使用します。

DNSレコードを確認および検証する

CISAでは、組織が所有および管理しているすべてのドメインについて、ドメインレジストラですべてのパブリックドメインレコードを確認し、関連するネームサーバー（NS）レコードが適切なDNSサーバーに対して承認されていることを確認することをお勧めします。すべての信頼できるDNSサーバーとセカンダリDNSサーバーのすべてのDNSレコードを確認して、意図した目的で解決されていることを確認する必要があります。

組織は、見つかった不整合をただちに調査し、潜在的なセキュリティインシデントとして扱う必要があります。これらのアクションは、アクティブなDNSハッキングを検出するのに役立ちます。

出典：ネットワークワールド