記憶に新しい通り、2015年は企業経営や組織運営が脅かされるサイバー攻撃が多数報じられた。ただ被害の有無の有無が詳報されるのに対し、「いつどこからどのように攻撃されたか」といった情報は極めて少ない。そこで第1回目では、プライスウォーターハウスクーパース(PwC)でサイバー攻撃を観測・分析する専門チーム「スレットリサーチラボ」が、「DNSシンクホール」を用いて標的型攻撃といったサイバー攻撃を観測した結果を公開していく。
攻撃者が手放したドメインを契約
DNSシンクホールという手法をご存じだろうか。これは非常にシンプルかつ効果的なサイバー攻撃の観測手法の一つで、専門家の間では従来からよく使われる手法である。概要は次のようなものだ(図)。
攻撃者は一般に、標的とした組織に侵入させたマルウエアを遠隔操作して情報を盗んだり標的内で感染を広げたりする。遠隔操作には通常、あらかじめ他のサーバーを乗っ取るなどして準備した「C&C(コマンド・アンド・コントロール)サーバー」を経由する。マルウエアには侵入後にC&Cサーバーに接続するが、攻撃者は時として何らかの事情により、このC&Cサーバーのドメインをexpire(失効)することがある。
スレットリサーチラボは日々、マルウエアの解析結果やさまざまな調査情報を通じてC&Cサーバーを特定している。その作業の一つとして、IPアドレスやドメイン名の登録者に関する情報などを調べられる「Whois」を使って、C&Cサーバーのドメインが失効しているかもチェックする。失効中のC&Cサーバーのドメインから、特に日本を標的とした攻撃で使われたものを重点的に選び、今度は我々が契約する。この契約したドメインをDNSシンクホールと呼ぶ。シンクホールとは「穴」と言う意味である。
そのドメインを監視しておくと、組織内に侵入したマルウエアがC&Cサーバーのドメインを探すための通信(DNSクエリー)を得ることができるようになる。これを分析すると、どんな組織から、いつ、どのぐらいの量のDNSクエリーが発生しているか分かり、マルウエアに感染した疑いのある組織などを把握できるようになる、という原理である。シンプルな観測手法であることがお分かりいただけたと思う。
