警察庁は2014年7月23日、国内の「オープンリゾルバー」を踏み台にしたDDoS(分散サービス妨害:Distributed Denial of Services)攻撃が発生しているとして注意を呼びかけた。DNSサーバーやDNSサーバー機能を持つ機器(ブロードバンドルーターなど)の管理者は、管理している機器がオープンリゾルバーになっていないかどうか確認する必要がある。

 DDoS攻撃とは、企業や組織が運営するサーバーなどに大量のデータを一斉に送信して、そのサーバーを利用不能にする攻撃のこと。また、オープンリゾルバーとは、誰からの問い合わせにも回答するDNSサーバー(キャッシュDNSサーバー)のこと。通常、DNSサーバーは悪用を防ぐために、特定の相手以外からの問い合わせには答えないように設定すべきだが、不適切な設定や初期設定の不備などにより、インターネット上には多数のオープンリゾルバーが存在する。

 警察庁では、インターネット上で観測されているパケットやISP(インターネットサービスプロバイダー)などの情報から、国内のオープンリゾルバーなどを踏み台にしたDDoS攻撃が行われていると推測している。

 攻撃では、オープンリゾルバーに加えて、ISPなどが運営するDNSサーバー(キャッシュDNSサーバー)も踏み台にする()。攻撃対象は、特定の企業・組織が運営するDNSサーバー(権威DNSサーバーあるいはコンテンツサーバー)。

図●想定される攻撃手法(警察庁の発表資料から引用)
図●想定される攻撃手法(警察庁の発表資料から引用)
[画像のクリックで拡大表示]

 攻撃者はまず、攻撃対象DNSサーバーのサブドメインのIPアドレスをランダムに問い合わせる。例えば、攻撃対象DNSサーバーのドメインが「example.com」だとすると、「aaa.example.com」や「bbb.example.com」といったドメイン名のIPアドレスを次々と問い合わせる。

 問い合わせを受けたオープンリゾルバーのブロードバンドルーターなどは、そのルーターが接続しているISPのDNSサーバーに同じように問い合わせる。ISPのDNSサーバーはオープンリゾルバーではないが、“配下”のルーターからの問い合わせであるため、正規の問い合わせとして処理。攻撃対象のDNSサーバーに対して問い合わせる。攻撃対象のDNSサーバーでは、問い合わせが集中するため、正常な運用が妨害される。つまり、DDoS攻撃を受けることになる。