DNSサーバを悪用したDoS攻撃が台頭

　分散サービス拒否（DDoS）攻撃の変形として、サイバー犯罪者らがDNS（ドメイン名システム）サーバを悪用して攻撃を強化したため、オンラインビジネスに支障がでるケースが発生している。DNSサーバはインターネットの電話帳にあたるものだ。

　VeriSign（本社：カリフォルニア州マウンテンビュー）は先ごろ、今年はじめに同社のシステムがこれまでにない大規模な攻撃を受けたことを明らかにした。ウェブ上で事業を展開する企業に手を貸す同社は、これらの攻撃が、通常のような「ボット」コンピュータを悪用したものではなく、DNSサーバからであることに気付いた。

　セキュリティ研究者のDan Kaminsky氏はDDoS攻撃について、「DNSは現在、DDOSの主要な手段になっている」と述べている。「DDoS攻撃を仕掛けるためのハードルが下がっている。システムを停止に追い込むような攻撃を仕掛けるのに、以前ほどたくさん資源を持たなくてもいいようになった」（Kaminsky氏）

　どのDDOS攻撃でも、狙われたシステム--ウェブサーバやネームサーバ、メールサーバなど--には、インターネット上の複数のシステムから大量のデータが殺到する。この攻撃の目的は、データ接続要求を大量に送りつけたり、受信データ処理中にクラッシュさせることで、ネットからターゲットとされたシステムに接続できなくすることだ。

　こうした攻撃は、以前はウェブサイトがダウンするのを見て快感を覚える暇なティーンエイジャーの遊びだった。しかし最近では、ネット関連企業に金銭の支払いを強要する犯罪にDDOSが利用されるケースが発生している。特にギャンブルサイトやアダルトエンターテイメント業界など、きわどい部分で営業しているビジネスが標的にされることが多い。

　「子どもが遊び半分でDDoSを仕掛ける時代は終わった」（Kaminsky氏）

　DNSサーバは、「www.cnet.com」のようなテキストベースのドメイン名を、コンピュータが使うIPアドレスの数字に変換し、ウェブユーザーの接続を行うという重要な役割を担っている。

　この新しい種類の攻撃では、攻撃者は通常、ボットネットを使って大量のクエリをオープンDNSサーバに送りつける。これらのクエリは、ターゲット（となったサーバ）からのものであるかのように見せかけられており、DNSサーバはそのネットワークアドレスに返信を行ってしまう。

　DNSサーバを使って不正行為を行う手法には、攻撃者にとって大きなメリットがある。DNSサーバの存在が攻撃者のシステムの身元を隠蔽するため、被害者にとっては攻撃の出所を突き止めるのが困難になるからだ。しかし、もっと重要なのは、DNSサーバからの攻撃の場合、攻撃の威力が増幅され、ターゲットに送りつけられる悪質なトラフィックの量が一段と増大する点だ。

　ベイラー大学情報システム学部のRandal Vaughn教授と、イスラエル大蔵省のCERT（Computer Emergency Response Team）マネジャーGadi Evron氏が公表した最新の論文によると、1件のDNSクエリから最大で73倍のレスポンスを発生させることが可能だという。

　「比較的少ないDNSリクエストでも、DNSサーバから詐称したIPアドレスへ、極めて大量の応答を発信することができる」（Vaughn教授とEvron氏）