標的型攻撃における新たな攻撃手口がこのほど明らかになった。標的企業に送り込まれた遠隔操作ツール(RAT:Remote Access Tool)が攻撃者の指示を受ける際にDNS(Domain Name System)の通信プロトコル(手順)を悪用していたのだ。DNS通信をサイバー攻撃や情報漏洩に悪用する「DNSトンネリング」とも呼ばれるこの脅威について、以前から懸念する声はあり、海外では確認されていたが、国内で標的型攻撃に使われたことをラックが確認したのは今回が初めてだ。
「インターネットのインフラ」を悪用
DNSとは、ドメイン名やホスト名とIPアドレスとを対応させ、管理するための仕組みで、インターネットの根幹を成すシステムだ。多くのアプリケーションがDNSに依存して動いていることから、「インターネットのインフラ」とも呼ばれる。
先にDNSの仕組みを簡単におさらいしよう。インターネットに接続するコンピューターにはすべてIPアドレスが割り振られている。IPアドレスは単なる数字の羅列で人間には覚えられないこともあり、通常はwww.example.co.jpといった意味のある文字列(ドメイン名)に置き換えて利用する。
Webサイトを閲覧したり、メールを送信したりする際には相手先のIPアドレスが必要になるが、ドメイン名をWebブラウザーのアドレスバーやメールソフトの送信先に入力するとDNSがIPアドレスを自動的に調べて返答(名前解決)してくれる。今では、人もコンピュータプログラムもIPアドレスを意識することなくインターネットを利用できるようになった。
Web閲覧におけるDNSの動き
[画像のクリックで拡大表示]
