DNSのセキュリティ強化をしなければいけない理由

なぜDNSのセキュリティを強化しなければいけないのか

理由は簡単。
マルウェアが情報を流出させる過程においてDNSは非常に重要な存在であるからです。
ある調査では、マルウェアの90％以上が何らかのステップでDNSを利用する、という結果が出ています。

マルウェアは、一体どのような流れでDNSを利用しているのでしょうか。
図を使ってみてみましょう。
一般的な、マルウェアのダウンローダー（マルウェアをダウンロードさせるためのプログラム）を利用したマルウェアによる攻撃の流れです。

1. 社員のだれかがマルウェアのダウンローダーを送り込まれてしまったとします。
2. マルウェアのダウンローダーを起動させてしまうと、ダウンローダーがユーザの知らないうちにマルウェアのダウンロードサイト（DLサイト）にアクセスし、
3. マルウェアをダウンロード（DL）してしまいます。そうすると、マルウェアが端末から情報を収集。
4. C&Cサーバに接続し、窃取した情報を流出させます。

この流れで、DNSサーバが利用されているのは2つ。
②マルウェアDLサイトへアクセス　と　④C&Cサーバに接続しての情報流出の段階です。

勿論、IPアドレスを直接指定して通信することも可能ですが、目立つログを残すことになります。
攻撃者も正規ユーザと同じく、外部に接続する際にはDNSサーバを利用しています。

もし、マルウェアDLサイトへのアクセスをブロック出来たら。
もし、C&Cサーバへのアクセスをブロック出来たら。
マルウェアがDLされることもなく、情報流出は発生しません。

マルウェアの9割以上が上記のようにDNSを利用して、攻撃を仕掛けてきます。
逆にDNS通信の段階で、脅威の宛先への通信を判別しブロックすることできたら、攻撃は脅威になりません。
この脅威の通信の判別とブロックを行えるのが、DNSファイアウォールです。

DNSファイアウォールの仕組み

DNSファイアウォールは、まさに上記で説明したように、DNSを悪用するマルウェアに対抗するためのソリューションです。
脅威を持ったWebサイトやC&Cサーバのドメイン、IPアドレス情報を持ち、ユーザがマルウェアダウンロードサイトなどの脅威を持ったWebサイトを閲覧するのをブロックしたり、C&Cサーバと通信することをブロックしたりしてくれます。
DNSファイアウォールがどのように防御を行うか見ていきましょう。

普通のDNSサーバの場合

DNSファイアウォールが無い場合は、DNSサーバが名前解決をし、マルウェアDLサイトに接続されてしまいます。

参考記事：DNSサーバのリプレースで実現するDNS Firewall

DNSファイアウォールの場合

しかし、DNSファイアウォールであれば、ドメイン情報もしくは名前解決を行ったIPアドレスをインテリジェンス情報と参照し、脅威と判断された場合には、「ドメインが存在しない」という返答や偽のIPアドレスを返し情報システム管理者が用意したウォールドガーデン（安全地帯）へ逃がすことが出来ます。
攻撃を受けても、マルウェアのDLや外部に接続しての情報流出を引き起こす通信を止めることができるので、被害は発生しません。

今のDNSサーバをDNSファイアウォールに変身させる方法

DNSサーバに脅威を理解させ、脅威の通信をブロックする。
攻撃に利用されている脅威ドメイン/IPアドレスを把握するDNSファイアウォールであれば、可能です。ぜひおすすめしたいソリューションですが、DNSサーバを入れ替えるのは大がかりな話です。様々な設定変更が必要で、正直やりたくない、と思う方が多いのではないでしょうか。

その手間を省き、既存のDNSサーバをDNSファイアウォールに変身させることを可能にしたのが、NVCが提供するThreatSTOP社のDNSファイアウォールソリューションです。
BINDやWindows server 2016で構成されたDNSサーバにThreatSTOPの脅威インテリジェンスを反映させることで、DNSファイアウォールとして脅威の通信を判別し、攻撃を受けても実行させないようにする環境を作ることが出来ます。

90%以上のマルウェアで利用されるDNSサーバで脅威をブロックし、情報流出という最悪の事態を防ぐために、ぜひ、DNSファイアウォールをご検討ください。