常に脅威にさらされているDNS
2020年6月25日に開催された「インシデントレスポンス(事故対応)」にフォーカスを当てたセミナー「マイナビニュース スペシャルセミナー 事件・事故発生時の対策 スムーズな初動に必要な環境と考え方」は、新型コロナウイルス感染拡大の影響を受けてWeb視聴のかたちで開催された。製品・サービス紹介セッションでは、Infoblox株式会社 システムエンジニアリング技術本部 シニアシステムエンジニアの小山 敬夫氏が登壇し「DDIを核とするセキュリティ運用効率化への新しいアプローチ」と題して講演を行った。
サイバー攻撃によるビジネスへの影響を最小限に抑えるためには、常にタイムリーな侵害対応が求められる。しかし昨今、組織はアラーム疲労の問題に直面しており、多くのセキュリティチームが実際の脅威を見逃しているのが現実だ。そうしたなか小山氏は、DDI (DNS,DHCP,IPAM)データと、エコシステムを統合することで、従来からのアドホックなセキュリティ運用を超えて、より迅速かつ正確に脅威に対応できるという。
開口一番に小山氏は「いったいどれだけの組織が、DNSをセキュリティに活用しているでしょうか? 一般的に、情報システム部門内でDNSを所管しているのは、ネットワーク/ルーターやサーバーを扱うチームであり、セキュリティチームというケースはあまりないため、基本的に『ノー』という回答がほとんどではないでしょうか」と問いかけた。
DNSの位置づけを考えると、アプリケーションの通信はDNSの検索をよりどころにするため、DNSが止まることは許されない。しかし一方で、DNSは止まりさえしなければ必要十分であり、IPアドレスをアプリに伝える仕事ができればよしとされる存在である。
そんなDNSの特徴として、常時稼働が担保されており、ファイアウォール内部とインターネット──つまり中と外との双方向通信が許可され、ユーザー認証機能がなく、キャッシュ情報が共有されている点などがあげられる。そしてDNSファイアウォールのような通信検査は未実施であることが多く、アクセスログも負荷向上を避けてほとんど取られていない。
「これは攻撃者からみると非常に“利用しやすい”存在だといえます。常に穴が空いていて防御策がとられていないためです。たとえば、攻撃者が何らかの方法でドメインをハイジャックできればビジネスを妨害できるし、その組織の信用を奪うことも可能です。また、マルウェアがDNSを通じてデータや指令をやりとりすることで、ユーザー環境から重要データを奪ったり、脅迫により身代金を得ることも考えられます。さらに、DNSを応答不能にするだけでターゲットのサービスを停止することもできるでしょう」と、小山氏は強調した。
こうしてDNSはトランスポートで利用される
今回のセッションでは、DNSにひそむ脅威のなかでもユーザーデータにフォーカスされた。
2017年に行われたThe SANSの調査結果によると、データの外部漏洩に使われた手段のなかでも、DNSプロトコル(DNSトンネリング)はHTTPS(暗号化トラフィック)と同じくらいの高いランキングとなっている。実際、DNSを悪用するマルウェアは数多く存在する。
そもそもDNSは、名前解決以外にもさまざまな目的で利用されており、オープンソースソフトウェアによるリモートシェルアクセスやVPNソフトウェアのDNSトンネリング経由での暗号化通信、アプリケーションのアップデート通知など、多目的活用は珍しくない。
ここで小山氏は、一例としてDNSを外部へのデータ送信で利用するしくみを紹介した。まず攻撃者は、ドメインを登録し権威DNSサーバーを用意する。これは、通信トンネルの終端として利用することが目的となる。そして内部から送信されるデータは、攻撃者の公開鍵でファイルを暗号化し、暗号化されたファイルはBase32などのアルゴリズムを用いてFQDNに利用できる文字で符号化され、FQDNラベルの上限である63文字までに分類される。
「DNSクエリは、直接もしくは端末設定済みのDNSあるいはWebプロキシ経由で送付されることになります。そして攻撃者は、分割されたデータを再構築し、秘密鍵を用いて復号化するわけです」(小山氏)
DNSセキュリティの3つの柱
このようにDNSを利用した攻撃に対して、Infobloxでは以下の3つの柱によるDNSセキュリティを打ち出している。
1. シグネチャー(署名)
2. Reputation(評判)
3. Behavior(ふるまい)
このうちレピュテーション(Reputation)を担うのがDNSファイアウォールであり、検索ドメインあるいは戻りのIPアドレスを脅威リストと比較し、マッチしていれば定義したアクションに従う。「ここでは脅威リストが重要になるため、Infobloxが持つ脅威情報リストが強みを発揮します」と小山氏はコメントした。
Behavior(ふるまい)に関しては「Infoblox Threat Insight」が効果的だ。2016年1月にリリースされたこのソリューションは、DNSクエリのふるまいを検査するのだが、そこには特許アルゴリズムが用いられており、すべてのDNSレコードタイプを検査対象とすることも一つの特徴となっている。複数のアトリビュートにより脅威スコアを加算、減算した結果の最終スコアにより、クエリが脅威であるかどうかを判定するのである。
DNSセキュリティの具体的なアプローチとは
デバイスの通信活動をモニタリングしている組織はどれだけあるだろうか? 実はDNSで探索した履歴を継続して収集することで、内部の端末が接続した(しようとした)宛先やその送信元の端末情報など、ユーザーとコンピュータの行動を一面的に時系列で可視化できるようになる。これにより、自組織の特徴や傾向が把握できるのである。 内部端末からのDNSクエリがインターネットに抜けることがなくモニタする必要性が薄い、という意見もあるが、そのような環境でもDNSのモニタリングは効果がある。たとえば外部でマルウェアに感染した端末が持ち込まれた場合など、その活動履歴を把握、保存し、即座にインシデントレスポンスにつなげることができる。外部へのDNS通信を一律に止めることでマルウェアの他の通信を抑止、被害を受けないという環境でも、端末の不審な行動を把握する手段を用意する必要があり、DNSのモニタリングは最適である。
たとえば、Infobloxが提供するクラウド型DNSセキュリティ「BloxOne Threat Defense」とSplunkを組み合わせることで「どのサブネットからの利用者が多いか?」「突出するユーザーは誰か?」「ドメインの傾向は?」といった項目のほか「そろそろ社内のネットワークもv6対応したほうがよいか?」など、さまざまな状況を把握して的確な判断につなげることが可能となる。「オンプレミスの場合は、“DNSログの採取によるメリット“と”負荷の増大によりDNSサービスの安定性が脅かされるデメリットあるいは性能拡張のための追加コスト“のトレードオフが先に立っていましたが、クラウドサービスであれば、負荷を気にせずこうした情報を取得することができます」と、小山氏はいう。
また、インシデントレスポンスとDNSにも深い関係がある。DNSと信頼できるIPAM情報を活用することで、インフラチームとセキュリティチームの協働を促すことができるのである。
「DNSによる宛先検査と信頼に足るIPAMデータベースはほかのセキュリティ基盤からの引き合いが多く、実際に各セキュリティ製品とのAPI連携が進んでいます(エコシステムパートナー)。他社のAPIと相互接続するテンプレートが用意され、随時アップデートされていますので、お客様は自ら開発することなく既存のテンプレートを利用した自動化の恩恵を受けることができます。また、DNS ベンダーならではの、ドメインやIPに関するメタ情報を一括で把握するためのツールも当社の製品にはバンドルされており、他のセキュリティ基盤で検知したインシデントに関連するドメインやIPアドレスに関する情報収集を一括で行ったり(Dossier)、お客様が各ベンダーから取得されている脅威情報をひとまとめに整理し、お客様の各セキュリティ機器が個別に読み込める形でアウトプットするプラットフォーム(TIDE)を利用することができます。インフラ担当者の場合、セキュリティの話はあまり……ということも多いですが、我々はインフラチームとセキュリティチームの架け橋になれたら、という思いで製品を提供しているのです」(小山氏)
ここで小山氏は、脅威情報の共有・配布プラットフォームであるTIDEを活用してSIEMの最適化とSOCの効率化をはかる方法や、もうひとつのプラットフォームであるDossierを活用し脅威調査を迅速化する方法を披露した。
「セキュリティの観点からもDNSを取りあげてみてはどうでしょうか。DNSはセキュリティの脅威にさらされていますが、特にふるまい検知の重要性など効果的な対策方法があります。そしてDNSをモニタすることで、一面的に継続して自組織の特徴や傾向を把握できるうえ、クラウドを使えば負荷も低減可能です」と小山氏はセッションを振り返った。
最後に同氏は、大手私鉄の1社である京王グループにおいて、約6,000台のPCを保護するBloxOne Threat Defenseにより、これまで可視化できなかったWeb経由の脅威を確実に検知して遮断できるようになった事例を紹介した。
セッション後に行われた登壇者と情報セキュリティ事故対応アワード審査員との質疑応答では、インターネットイニシアティブ セキュリティ情報統括室長の根岸 征史氏と、NTTコム ソリューションズ マネジメントソリューション本部 セキュリティソリューション部の北河 拓士氏が質問を行った。
DNSセキュリティ導入が最も効果的だったのはどのようなケースかという根岸氏の問いかけに、小山氏が答えたのはSDWAN環境で導入した顧客だった。
また、Active Directory(AD)環境におけるDNSセキュリティの構成に関して北河氏が質問すると、いくつかの代表的なパターンを小山氏は紹介し、「当社はマイクロソフトと密に連携しているので、フルリゾルバの機能自体をADから切り離し、当社のソリューションにもってくることも可能です。そうすることでADにはディレクトリの管理に専念してもらえるようになり、運用面ですごく楽になることでしょう」と結んだ。
[PR]提供:Infoblox