[イベントレポート]Exchange 2024 Tokyo – セキュリティ対策に DNS が欠かせない理由(東京大学 関谷 勇司 氏)
2024年11月20日、東京千代田区大手町にて、Infoblox 主催の年次カンファレンス「Exchange 2024 Tokyo」が開催されました。「Exchange」は、世界14都市で開催されるInfobloxのワールドツアーです。今回のExchange 2024 Tokyoでは、ユーザー事例や国内外の業界オピニオンリーダーからのDDI(DNS、DHCP、IPAM)に関する最新のアップデート、Infobloxからのソリューションキーノートに加え、パートナー各社によるデモブース、そして、エンジニア向けハンズオンワークショップを開催。マルチクラウド時代に適応した次世代型DDI モデルやプロテクティブDNSのテクノロジーやベストプラクティスが披露されました。
今回のブログでは、東京大学の関谷勇司氏による「セキュリティ対策にDNS が欠かせない理由」と題したDNSセキュリティの必要性と今後の課題についてご案内します。
基調講演や事例講演などのブログは、以下のマガジンからご覧いただけます。
[オピニオンリーダーセッション]
セキュリティ対策に DNS が欠かせない理由
東京大学 大学院情報理工学系研究科 教授
情報セキュリティ 教育研究センター長
関谷 勇司 氏
「セキュリティ対策に DNS が欠かせない理由」と題されたセッションでは、東京大学 情報セキュリティ 教育研究センター長の関谷 勇司氏が登壇し、なぜDNS が基幹サービスとして重要であり、かつ、危険をはらんでいるのか、そしてDNS セキュリティの有効性と今後の課題について解説を行いました。
DNS はインターネットにおける基盤となるサービスであり、名前解決という重要な役割を担っています(図1)。
「事実、私たちがWebページにアクセスしたり、メールを送信したりするなど、インターネット上で何らかのアクションをする際に必ず最初に行われるのが、DNSを用いた名前解決です」と関谷氏は強調します。
「つまり、インターネット上で使われるほとんどのアプリケーションでは、はじめに名前解決というアクションが確実に行われます。したがって、名前解決をしようとした際にその通信先が『悪意があるものかどうか』を判定し、悪意あるものであった場合には通信を遮断するのが、最も効率的なセキュリティ対策であるといえます。このことが、セキュリティ対策にDNSが欠かせない理由です」(関谷氏)
1980年代半ばに利用が開始されたDNSですが、以来、長年にわたって利用され続けるとともに、継続的にその仕様を拡張してきました(図2)。
DNSはIPアドレスやホスト名、ドメインネームの解決以外にも様々な機能が実装されています。アプリケーションを制御する情報や証明書に関する情報、セキュリティに関する情報などはその一例です。
このほかにも、特定ドメインからのメール送信が許可されたサーバーを全てリスト化したDNS TXTレコードの「SPF (Sender Policy Framework)」、 電子署名の利用によりメール送信元の詐称を判別する「DKIM(DomainKeys Identified Mail)」、 迷惑メール対策において、より有効な送信ドメイン認証を可能とする「DMARC(Domain-based Message Authentication、Reporting and Conformance) DNS」など、より多くの情報がDNSに含まれるようになっています。
「このようにDNSには、インターネット通信における信頼性を担保するための、多種多様な情報が含まれるようになっています。すなわち、DNSはアプリケーションではあるものの、今やインターネットの安全な運用を実現するためのインフラサービスへと進化を遂げているのです」(関谷氏)
組織が推進すべきセキュリティ対策の在り方と
DNSセキュリティの有効性
DNSが担う役割とその進化について解説を行った後、関谷 氏は昨今の「組織のあるべきセキュリティ対策」についても言及しました(図3)。
「これまで多くの企業・組織が継続的にセキュリティ対策を行ってきましたが、100% 守りきれる状況には至っていません。事実、セキュリティ対策自体に『これを行ったから万全』というものはありません。そうしたことから、防御対象の重要度を定め、優先的に対策を施していくことが肝要となります」と関谷氏は訴えます。
「セキュリティ対策の強化を推進していくにあたっては技術も重要ですが、最終的に行き着くところは組織体制の在り方です。組織がセキュリティ脅威に対応できる体制となっているのか、改めて見直す必要があります。そのうえで、どのような手段によって攻撃者に騙されるのか、また、どこから情報が流出しえるのか、経路や可能性を把握することが重要です」(関谷氏)
そのために必要なことが情報の整理です。守るべき情報がどのようなものか整理することで、初めて防御すべき部分が把握できるようになります。そして、その情報がどこに保管されているのか、その情報を攻撃から守るためにはどのような技術が必要なのかを考えなければなりません。
これらの過程を経た後に、具体的なセキュリティ対策を実装していくわけですが、「その有効な第一歩となるのが、DNSセキュリティです」と関谷氏は訴えます(図4)。
「なぜなら、先述したように、全ての通信は名前解決から始まります。したがって、DNS通信が行われる際に悪意のある攻撃を判断し、遮断してしまうことが最も効果的なセキュリティ対策であるからです」(関谷氏)
DNSを悪用した攻撃が高度化
近年、DNSを悪用した攻撃が増加しており、その手口も巧妙化しています。
そうした攻撃手法の1つが、「DNSトンネリング」です(図5)。これは、DNS の名前解決の仕組みを利用し、本来の名前解決ではないデータを DNS の名前問い合わせに入れることで重要な情報を窃取する手法をいいます。このような攻撃では、通常ではありえないような回数の名前問い合わせが行われるため、DNSのログを監視することで、いち早く異変を察知し、対処することが可能となります。
また、DNSを用いた攻撃として「DGA(Domain Generation Algorithm)による C2 サーバーとの通信」も挙げられます(図6)。これは、ファイアウォールが遮断する悪性ドメインの登録が間に合わないくらいに、矢継ぎ早に数多くのドメイン名を生成することで、通信を行わせようとする手法です。
このほかにも、一文字違いなどで利用者を騙すドメイン名の「ドッペルゲンガードメイン」、ドメインの期限切れを狙ってドメイン名を取得する手法である「ドロップキャッチ」等の攻撃手法も登場しています(図7)。
「DNSセキュリティを提供しているベンダーは、日々、インターネット上から膨大な情報を収集し、疑わしいドメインや、過去に利用されていたものの現在では乗っ取られてしまったドメインを見つけ出し、データベースを構築しています。そうしたサービスを活用することで、DNSを悪用した攻撃を防ぐことが可能になります」(関谷氏)
セキュリティ強化のためには
DNS自体の信頼性維持が不可欠
冒頭でも述べたように、DNSはその誕生以後、利便性やセキュリティ強化のための様々な機能拡張を行ってきました。また、HTTPSやSVCBといったリソースレコードをはじめ、様々な情報を格納できるTXT レコード、メールのセキュリティを高めるためのSPF / DKIM / DMARCなど、より多くの情報を取り扱えるようになっています。「しかし、何の疑いももたず、DNSを正しいものとして信頼してしまってよいのでしょうか」と、関谷氏は注意を促します(図8)。
「DNSにはコンテンツの正確性、DNSサーバーの健全性が担保されていなければなりません。たとえDNSセキュリティを実装しても、DNSサーバーそのものが健全に運用されていなければ本末転倒となってしまうからです。したがって、DNSサーバー自体の信頼性を維持できるように、きちんと管理する必要があります」(関谷氏)
「DNSセキュリティが、セキュリティ対策の第一歩であることは間違いありません。しかし、攻撃者もDNSを悪用した様々な手口を生み出しています。DNSセキュリティを効果的に実装していくためには、改めて、DNS自体の信頼性についても目を向けなければなりません」と関谷氏は訴え、講演を締め括りました。
基調講演や事例講演などのブログは、以下のリンクからご覧いただけます。