DNSを利用して強化した攻撃では、だれかの郵便箱をいっぱいにしようとするのと同じことが起こっていると、DNSを発明したPaul Mockapetris氏はいう。同氏はセキュアなDNSを提供するNominumのチーフサイエンティストを務める人物だ。こうした攻撃を簡単に実行するには、多数の手紙を書いて郵送するだけいい。しかし、手紙では追跡できてしまうし、書くのにかなりの時間がかかる。
Mockapetris氏は、「それよりも、雑誌に付いてくるような要返信の手紙を送るほうが良い。これなら、丸を付けて相手の住所を書くだけなので簡単だ。こうすれば、郵便箱はじゃまな郵便物でいっぱいになるが、自分につながるリンクは残らない」と語っている。同氏によると、この種のDoS攻撃で起こるのはまさにそのような状況だという。
もっと一般的なボットネットによるDoS攻撃の場合、攻撃してくるマシンの身元を突き止められるため、そのマシンからのトラフィックを遮断すれば、攻撃を止めることが一般的には可能だ。しかしDNSサーバからのクエリを遮断すると問題が生じる。インターネットを昨日させる上で、DNSサーバが重要な役割を演じているからだ。また、DNSサーバへのトラフィックを遮断すれば、正当なユーザーが電子メールを送信できなくなったり、ウェブサイトへアクセスすることができなくなってしまう。
「そのため、この攻撃はタチが悪い」と、セキュリティ関連の新興企業SimplicitaのCTOであるRob Fleischman氏は言う。「DNSシステムを使った攻撃は今後さらに増えるだろう」(Rob Fleischman氏)
この問題の核心部分には、いわゆるリカーシブ(再帰的)ネームサーバがある。このDNSサーバにはネット上から誰でもクエリを送ることができる。現存する約750万台のDNSサーバのうち、何台がこうした状態にあるかについてはよくわかっておらず、60万台から560万台までいろいろな推定が出されていると、Vaughn氏とEvron氏の報告には書かれている。
「これらのオープンなサーバを稼働させている人々は行いを正す必要がある--本人たちの自覚のあるなしに関係なく、あるいは単なる怠慢か注意の欠如かにかかわらず、彼らはこれらの攻撃に加担している」とMockapetris氏は述べている。「彼らはインターネットに病原機を撒き散らしているのだ」(Mockapetris氏)
自分たちのシステムを保護するために、DNSサーバを運営する組織ではこの誰からのクエリでも受け付ける機能を無効にすることができる。また、この機能を内部の人間にだけ提供するようにサーバを設定するという方法もある。DNSサーバは、ISPや企業、個人などが動かしている。
DDoS攻撃の標的になりそうなシステムは、これらの攻撃を防ぐための技術を使って保護するという手もある。こうした技術はProlexic Technologiesなどの各社が販売している。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」