第3回は少し攻撃者目線を加味して、攻撃者に防御側の情報を渡さない対策の進め方を解説する。第1回第2回ではマルウエアに感染していない企業や団体からDNSシンクホールへアクセスが届くことがあると説明した。

 種明かしをすると、これはセキュリティ会社からのスキャンである場合もあるが、多くは企業や団体が導入したセキュリティ製品からだった。まず、このカラクリから解いていこう。

セキュリティ製品がDNSクエリーを外部送信

 読者は自分が所属する組織のセキュリティ製品の種類やその原理をどれだけ把握しているだろうか。セキュリティ製品として最初に思い付くものの一つがファイアウォールだろう。ファイアウォールにもさまざまな製品があるが、攻撃者がマルウエアを操るためにあらかじめ他のサーバーを乗っ取るなどして準備した「C&C(コマンド・アンド・コントロール)サーバー」のURLなど「不正なサイトのドメイン情報」をファイアウォールにブラックリストとして設定すると、多くの製品は自動的に不正サイトにDNSクエリーを発行する。筆者が実際にファイアウォールのメーカーに確認したところ、DNSクエリーにより不正サイトのIPアドレスなどを収集しているとのことだった(図1)。

図1●ファイアウォールが自動的に不正サイトにDNSクエリーを発行する流れ
図1●ファイアウォールが自動的に不正サイトにDNSクエリーを発行する流れ
[画像のクリックで拡大表示]

 調べを進めると、PCやサーバーのウイルス対策を担う「エンドポイント製品」や組織に届いた不審なファイルがマルウエアかどうかを見極める「サンドボックス製品」でも、一部の製品で同様の現象が確認できた。例えばサンドボックス製品は仮想空間で実際に不審なファイルを実行させるため、マルウエアであれば当然、DNSクエリーなどの外部通信が発生する。

 導入環境や設定内容によるが、エンドポイント製品やサンドボックス製品が利用するDNSサーバーを組織のDNSサーバーに設定している場合、組織からDNSシンクホールにDNSクエリーが送信されるため、当社の観測では当該組織がマルウエアに感染しているかのように見えてしまう(図2)。その他のアプライアンス製品などでも同様の事象を確認している。

図2●エンドポイント製品やサンドボックス製品も不正サイトに自動的にDNSクエリーを発行
図2●エンドポイント製品やサンドボックス製品も不正サイトに自動的にDNSクエリーを発行
[画像のクリックで拡大表示]