[DNS入門] 基礎から分かる「DGA(ドメイン生成アルゴリズム)」とは
ドメイン生成アルゴリズム(DGA)は、インターネットの安全性とユーザー体験に革命をもたらすとともに、サイバーセキュリティの分野で特に注目されています。
このアルゴリズムがどのように機能し、どんな目的で使用されているのか、基本から応用までをわかりやすく解説します。また、DGAの技術的側面、そのメリットとデメリット、そして将来への展望についても掘り下げます。
この記事を通じて、DGAがインターネット環境にどのような影響を与えているのか、そしてそれが企業ネットワークにどのような影響するのかをご案内します。
ドメイン生成アルゴリズムとは
主な使用目的とは何か
ドメイン生成アルゴリズム(DGA)は、様々な文字列の組み合わせを用いて予測しにくい無数のドメイン名を自動的に生成する手法です。このアルゴリズムは、サイバー攻撃者によって用いられることが多く、迅速にいくつもの悪性ドメインを生成し、悪意ある活動を行うことが可能になります。
その結果、セキュリティシステムが特定のドメインをブロックしても、新たなドメインがすぐに生成されるため、追跡や対処が困難になります。
DGAの主な使用目的は、サイバー攻撃の際に通信先のドメインを頻繁に変更することで、追跡やブロッキングを困難にすることです。これにより、マルウェアがコマンド&コントロール(C2)サーバーとの通信を維持しやすくなり、迅速な指令の受渡しやデータのエクスフィルトレーションが可能になります。ドメインが頻繁に変動することで、セキュリティシステムを欺き、攻撃者が目的を達成しやすくなるのです。
サイバーセキュリティ
ドメイン生成アルゴリズムの影響
サイバーセキュリティの分野では、DGAがマルウェアやボットネットによる攻撃を隠蔽するために使用されることがあります。 ボットネットは多数の感染したコンピュータがネットワークを形成し、攻撃者による制御下に置かれるシステムです。DGAを利用して通信ドメインを定期的に変更することにより、検出を避けようとします。特に新しく生成されたドメインを迅速にブロックすることは難しく、攻撃者が情報の窃盗やシステムの乗っ取りを行う隙を与えます。
例えば、コマンド&コントロール(C2)ランデブーポイントを動的に生成するアルゴリズムの場合は、以下のような挙動になり、検出することが極めて難しいです。
このため、セキュリティ対策の専門家は、DGAによるドメインの生成パターンを解析し、新たに生成される可能性のあるドメインを予測し、ボットネットを効果的に検出し、その活動を阻止することが必要です。
ドメイン生成アルゴリズムを悪用した事例
2020年12月、IT管理ソフトやリモート監視ツールの開発を行うSolarWindsは同社が開発するOrion Platformにバックドアが含まれていたことを公表しました。
同ソフトウェアをトロイの木馬化するマルウェアのSunburst(Backdoor.Sunburst)では、ドメイン生成アルゴリズム(DGA)を使用してC&Cに接続するためのドメイン名が生成されていました。
DGAを利用することにより、検出を回避し、攻撃者はDNS通信を介してC2サーバーに接続していることが明らかになっています。
また他の事例では特定のボットネットがDGAを利用してコマンド&コントロールサーバーとの通信を隠匿し、大規模なDDoS攻撃を実施した事例があります。
このような攻撃を受けた際、セキュリティチームはDGAによって生成されたドメインを追跡し、それらの通信を遮断するための迅速な対応が求められます。これらの事例は、DGAの理解と適切な対策の重要性を浮き彫りにしています。
弊社では、DGAも含め、DNSを悪用した攻撃手法とその防御に関するワークショップを開催しております。
DNS専業ベンダーであるInfobloxの技術者が直接お客様と一緒に体系的に学習することが可能です。
参加したい方は、弊社担当営業までお知らせください。