DNS水責め攻撃が発生、金融サービスなどを標的に - Akamai、2017年第1四半期のセキュリティレポートを公開

図1 2017年第1四半期「インターネットの現状／セキュリティ」レポート

Akamaiは、世界各地に分散するIntelligent Platformから収集したデータを活用し、インターネットの現状プログラムを公開している。その目的は、企業や政府機関がインテリジェントかつ戦略的にセキュリティ対策を行うための支援である。今回は、2017年第1四半期のレポートである。

DDoS攻撃

まず、DDoS攻撃についての分析から紹介しよう。DDoS攻撃の中央値は、2015年初頭の4Gbpsから、着実に減少している。2017年には、攻撃規模の中央値は500Mbpsを少し超えた程度となった。この第1四半期に関しては、半数が250Mbps～1.25Gbpsであった。その一方で、100Gbpsを超える大規模攻撃も発生している。攻撃の対象となる企業・組織では、この傾向を把握し、DDoS攻撃に対抗する対策が求められるだろう。

攻撃者にとって、DDoS攻撃が大規模である必要性は必ずしもない。その理由であるが、多くの企業は、アップリンクの帯域を1～10Gbpsの範囲としている。つまり、この値を越えるような攻撃を行ったとしてもオフラインとなり、攻撃として成立しないのである。確実に減少傾向にあるが、一方で懸念も存在する。

100Gbps以上のトラフィックを生成するDDoS攻撃は、決して少なくない。その攻撃には、IoTデバイスを悪用した攻撃が行われている。第1四半期で、最大の攻撃となったDNS水責め攻撃は、ピークで120Gbpsであった。このDNSクエリフラッドは、Miraiツールで生成され、金融サービス業界を攻撃対象としていた。

DDoS攻撃は全体的に減少しているのにもかかわらず、リフレクション攻撃のトラフィックが大幅に増加し、第1四半期のすべてのDDoS攻撃の57%を占めている。このうち最も多くのソースIPとなったのは、SSDPリフレクターであった。SSDPは、Simple Service Discovery Protocol(シンプル・サービス・ディスカバリー・プロトコル)で、その多くは、通常、コンシューマレベルのIoTデバイスで使われるものである。

Webアプリケーション攻撃

Webアプリケーション攻撃による被害は、データ漏えいなど、長期間にわたる影響が及ぶ可能性がある。Akamaiの分析によれば、四半期単位で、攻撃ベクトルの類似パターンが見られるとのことである。

攻撃効果が長いことがその理由と推察される。攻撃元は、米国、オランダ、ブラジル、中国、ドイツが上位の5カ国であった。米国は、Webアプリケーション攻撃の最大の発信元であり、前年同四半期比で57%と大きな増加となった。2位のオランダであるが、前四半期の17%から13%に減少した。しかし、攻撃トラフィックの一貫した発信元になっており、人口わずか1,700万人の国が攻撃元の大きな割合を占めている。2017年第1四半期において、Webアプリケーションに対して使用された攻撃ベクトルの上位3つは、SQLi、LFI、XSSであった。

攻撃ベクトルの上位

攻撃ベクトルとして、UDPフラグメンテーション、DNS、NTPが上位であることに大きな変化はない。2017年第1四半期の攻撃ベクトルでは、Reserved ProtocolフラッドとConnectionフラッドが含まれていた。また、2017年第1四半期で、週当たりで多かった攻撃ベクトルの上位はACK、CHARGEN、DNSの3つであった。2016年には、新しいリフレクション攻撃ベクトルであるCLDAP(Connectionless Lightweight Directory Access Protocol)が検知されている。この攻撃では、ほとんどが1Gbpsを超えており、DNSリフレクションに匹敵するものであった。

DNS水責め攻撃とは

図2 DNSサーバーとルーター

レポートではDNS Water Torture Attacks(DNS水責め攻撃)を取り上げている。同社は、Miraiマルウェアに含まれるこの攻撃が金融サービス顧客を中心にターゲットとなっていたことを明かしている。

DDoS攻撃で、DNSサーバーを攻撃対象とするものは、少なくない。たとえば、委任／移転通知インジェクション攻撃では、攻撃対象のキャッシュDNSサーバーに偽のNSレコードを注入し、そのキャッシュDNSサーバーのユーザーの問合せに対し、偽のWebサイトに誘導する。関連するDNSサーバーやルーターの関係を示そう。

ホームルーターはその名の通り、ユーザーの自宅などに設置されたアクセスルーターである。ホームルーターは、本来、WAN側からの要求に対し、対応する必要はないが要求を受け付けてしまう場合がある。それが、"オープンリゾルバ"である。

ISPのキャッシュDNSサーバーであるが、そのISPのユーザーに対し、名前解決を行うDNSサーバーである。稀に、キャッシュDNSサーバーが、オープンリゾルバ状態なこともある。各ドメインには、すべてドメイン名を管理(収容)する権威DNSサーバーが存在する。水責め攻撃では、攻撃対象はこの権威DNSサーバーとなる(上述のキャッシュDNSサーバーが攻撃目標となることもある)。

図3 DNS水責め攻撃

DNS水責め攻撃は、攻撃者はオープンリゾルバの情報収集を行う。そのリストを作成し、ボットネットから、オープンリゾルバに対し、攻撃対象ドメイン名のランダムなサブドメインをDNS問い合わせするように指令する。

具体的には、ドメイン名が「example.com」といった場合には、「123456abc.example.com」となどランダムなサブドメインのDNS問合せを行う。この問合せ自体は、それほど多数ではない。しかし、構成するボットネットが大規模なため、オープンリゾルバには大量のDNS問合せが届く。

問合わされた名前はキャッシュに存在しないため、権威DNSサーバーへの問合せが毎回発生する。結果、攻撃対象の権威DNSサーバーやISPのキャッシュDNSサーバーに問合せが集中することになる。サーバーが過負荷となり、サービスが停止するため、オープンリゾルバではないISPのキャッシュDNSサーバーにも影響が生じることがある。さらに、攻撃対象以外のドメインも攻撃の巻き添えになる危険性が存在する。

DNS水責め攻撃は、2014年頃から観測されている。当初、この攻撃の目的については不明な部分も多かった。これまでの分析では、権威DNSサーバーが攻撃目標であったと推察されている。