HTTPS時代のDNSの幕開けはビジネスセキュリティとSOCチームに難題を突きつけている。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
世界全体で広がるDNSサーバーへの攻撃は、皮肉にもインターネットの「配管」に関する深刻な問題について世間の認知向上に貢献している。DNSの背後にあるインフラは、セキュリティが確約されなくなっており、インターネットのユーザーをリスクにさらしている。
10年以上に及ぶDNSのセキュリティ拡張仕様の策定は、企業や大規模なネットワークへの柔軟な拡張性を堅持しつつ、DNSが高いセキュリティを確保できるように、一体となって進められてきている。しかし、この取り組みは多くの国では遅々として進んでいないのが実状だ。おそらく、こうした緩慢な動きに痺れを切らせ、例えばDot(TLS上のDNS)、DNSCrypt、DNSCurve、最近ではDoH(HTTPS上のDNS)に切り替えるなど、DNSトラフィックのセキュリティを確保する新しい手法に移行しようとしている。
現在、私たちESET社としてはDoHの利用を推進する立場から、DNS制御に関わる論争に対峙している。従来、DNS上ではプレーンテキストを用いてリクエストとレスポンスが送信されていたため、企業ネットワークを監視するSOC(セキュリティオペレーションセンター)では、問い合わせを受けたドメインの監視、あるいは悪意あるドメインへのユーザーのアクセスを防止することができた。プレーンテキストによるDNSリクエストは、確かに個人用としては利用されないものの、DNSレベルの情報はネットワークのセキュリティを常時監視するにあたって重要なデータ源である。
DoHを採用したことで、DNSリクエストはHTTPSプロトコル経由で暗号化される。その結果、ネットワークの管理者からも通信内容をチェックすることは難しくなっている。プライバシーやインターネット上の制御の集中化という、DoHにおける別の視点は一度置いておき、プライベートネットワークと公共ネットワークのセキュリティに対し、どういった影響が見込まれるかについて以下に考察していく。
可視性の喪失はビジネスセキュリティの課題
SOCチームがDoHのもたらすネガティブな影響として考えているのは、容易にネットワーク上の通常のHTTPSトラフィックに偽装できるマルウェアの通信である。DNSのパイオニアとして知られるポール・ビキシー(Paul Vixie)博士は、ESETのセキュリティエバンジェリストのトニー・アンスコム(Tony Anscombe)とのインタビューで次のように強調している。
「ネットワークオペレーターという立場からすれば、ユーザー、アプリケーション、デバイスそれぞれがDNSでどのような通信を行っているかを知る必要がある。というのは、ネットワークの安全性を維持するために、侵入者、マルウェア、ボットネットを判別し、有害なサプライチェーンを見極めなければならないためだ。そして、DoHのようなプロジェクトに参加する人の多くが『我々はネットワークオペレーターがDNSに干渉することを止めさせる』ことを望み、私のミッションを理解していないのだ。」
マルウェアの中には、HTTPやHTTPS経由でC&C(Command & Control)サーバーと通信するものもある。これらは、標準アプリケーション層プロトコルの技術として、MITRE ATT&CKナレッジベースにより識別される。ESETによる報告では、PolyglotDuke*1がTwitter及びRedditのようなSNSからC&CサーバーのURLを取得し、ターゲットのコンピューターに対してMiniDukeバックドアを仕掛けるため、C&Cサーバーに接続するような例があると述べられている。
*1 スパイグループDukes(APT29)による、攻撃活動「Operation Ghost」において採用され、新しく発見されたダウンローダーのこと。
この悪意ある通信を隠ぺいする手段として、Dukesは異なった言語からなる文字列、具体的には日本語、チェロキー語及び中国語などにC&Cサーバーの URLを変換してしまう。そのため、ESETではこのダウンローダーを「PolyglotDuke」と呼んでいる。
仮の話として、マルウェアが自らの通信をDoHの通信内に隠すことができるとしたらどうだろうか。実際、プルーフポイントの研究者が、GoogleのDoHサービスを使用してC&C IPアドレスを取得するPsiXBotマルウェアの新しいセクストーション*2モジュールのアップデートを発見している。これを用いることで、攻撃者はDNSの問い合わせをHTTPS内に隠ぺいすることが可能となる。Dukesや他の攻撃者は、DoHを使用するためにツールキットを拡張する可能性も考えられ、その結果、今後C&Cサーバーの通信がシステム管理者の監視が届かないようになることも否定できない。
*2 性的脅迫と訳され、ターゲットの性的な画像などを不正入手するなどし、暴露をほのめかして金銭を要求するような詐欺行為のこと。
DNSの暗号化にはメリットもあるが、安全性で問題も抱える。中でも、主にネットワークベースのセキュリティソリューションに影響を及ぼすため、高品質かつ、多層化されたエンドポイントセキュリティソリューションを適切に配置することの重要性を認識させることになるだろう。
暗号化されたDNSを介してマルウェア通信を可視化する
SOCとしては、Mozilla、Google及び他のDoH提供事業者の取り組みについて、最新情報を常にキャッチアップすべきであろう。そうすることで、システム管理者はネットワークトラフィックの検査デバイスのソフトウェアと構成を更新し、新たなDoHサービスへのアクセスをブロックできる。例えば、Googleは管理者がファイアウォールレベルでブロックできる、特定の安定したアドレス上でDoHを提供している。
しかし、既知のDoHサービスをブロックあるいは無効化することは、暗号化されたDNSリクエストの悪用言を企業内ネットワークで検出する最初のステップでしかない。さらに進んだSOCチームではEDR(endpoint detection and response)ツールを使用して、さまざまな動作の中で悪意があると思われるDNSへの問い合わせを識別・キャプチャできるようにする、あるいは悪意のあるC&Cサーバーへの接続を調査できるように対応を進めているところもある。
Firefox及びChromeブラウザーからのDoHトラフィックを監視可能な状態で維持するには、カスタムセキュリティ証明書をエンドポイントにインストールすること、及びブラウザーをプロキシ経由でトラフィックさせることが重要である。こうした設定により、DoHを踏まえた、インライン暗号化、検査、ロギングなどのHTTPS検査を実施することができ、さらなる分析用にイベントをEDRに転送できるネットワークトラフィック検査用のソリューションをセットアップすることができる。
あるブラウザーは許可された証明書をチェックする一方、ローカルでインストールされたセキュリティ証明書は通常のチェックを上書きできることに注意して欲しい。しかし、これを書いている時点では、FirefoxもChromeブラウザーも、許可された証明書をチェックすることはしていない。
DoHの取り扱いには別のオプションがある。企業内のDNSサーバーの設置と同様に、企業は全てのリクエストをチェック、あるいは内部用DoHサーバーを設置することができる。そのとき、MozillaがFirefoxブラウザーに推奨しているように、DoHをオフすることも可能となる。
DoHプロトコルのセキュリティ問題に対処する技術ソリューションは多様化している。どのようなSOCチームでも、成功を勝ち取るために最も重要なことは、新しいプロトコルの性能アップを適切に理解することにある。この新しいプロトコルは、悪意のある攻撃者に対して役立ち、ネットワークセキュリティの世界においても、波及効果をもたらす可能性も見込める。以上のように、DoHの使用に関する適切なセキュリティポリシーはビジネスに合わせて設置され、SOCチームにより実施されることになるだろう。
引用・出典元
What DNS encryption means for enterprise threat hunters by Guest Writer 19 Feb 2020 - 11:30AM
https://www.welivesecurity.com/2020/02/19/what-dns-encryption-means-enterprise-threat-hunters/
※本記事はキヤノンマーケティングジャパンのオウンドメディア「マルウェア情報局」から提供を受けております。著作権は同社に帰属します。
セキュリティ最前線
サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。
[PR]提供:キヤノンマーケティングジャパン