Infoblox(日本法人)は9月19日、DNSインフラにおけるセキュリティ脅威動向と、それに対応する同社セキュリティ製品/ソリューションについて、説明会を開催した。すでに国内提供している「Infoblox DNS Protectionソリューション」の機能強化も発表している。
説明会には、Infobloxカントリーマネージャーの露木正樹氏、同社シニアディレクター/SEの松島栄樹氏が出席した。
昨今、DNSを悪用した攻撃が急増している。たとえば、公開DNSサーバー(オープンリゾルバ)を悪用して特定サイトへのDDoS攻撃を行う「分散リフレクションDoS(DrDoS)攻撃」、脆弱性のあるDNSサーバーに偽の情報を流し込んでユーザーを攻撃サイトへ誘導する「DNSキャッシュポイズニング」、不正なDNSクエリを大量に発行することでDNSサーバーをダウンさせる「NXDOMAIN攻撃」などだ。
こうした“DNSベースの攻撃”の攻撃ターゲットはそれぞれ異なるが、松島氏は「あるグローバル調査によると、DNSベースの攻撃は(前年比で)216%も増加している」と説明する。
松島氏が示したProlexicのレポートによると、インターネットを介したITインフラへの攻撃のうち、DNSを標的とする攻撃はおよそ1割に達している。またArbor Networksが企業/組織を対象に行った調査では、約8割の企業/組織が、DNSのアプリケーション層に対する攻撃を経験しているという。インターネットを利用するうえでDNSは重要不可欠なサービスであり、DNSトラフィックを単純に遮断することもできないため、難しい問題となっている。
DDI(DNS/DHCP/IPアドレス管理)アプライアンスを提供するInfobloxでは、DNSプラットフォーム(アプライアンスとOS)そのものを堅牢なものにするだけでなく、他サイトへの攻撃に悪用されたり、マルウェアの通信に利用されたりすることを防ぐ2つのソリューションも提供している。
「Infoblox DNS Firewall」(関連記事)は、DDIアプライアンスのオプション(ライセンス購入)で利用できるセキュリティ機能だ。標的型攻撃やAPTで用いられる最近のマルウェアは、侵入後、攻撃者が用意した外部サーバー(ボットネットやC&Cサーバー)と通信して攻撃を深化させるものが多いが、同機能ではDNSクエリを精査してマルウェアの通信を検知し、ブロックする。
マルウェアが通信しようとする攻撃者のサーバーのIPアドレスやドメイン名の情報は、Infobloxのデータフィードサービスを通じて2時間ごとに更新される。さらに、ファイア・アイの「FireEye NX」と連携して、FireEyeが検出したマルウェアの通信先情報を取得、ブロックするソリューションも用意されている(「Infoblox DNS Firewall - FireEye Adapter」)。
もう1つのソリューション「Infoblox Advanced DNS Protection」は、幅広いDNSベース攻撃で用いられる不正なクエリ/トラフィックを検知することで、自らのDNSインフラを守ると共に、他サイトへの攻撃に悪用されることも防ぐものだ。こちらは、セキュリティ対策専用ハードウェアを追加したDNSアプライアンス「Infoblox Advanced Appliance」と、脅威情報(脅威ルール)の配信サービスを組み合わせて構成される。
今回、Advanced DNS Protectionの防御機能が強化され、偽のDNSサーバーによる「DNSハイジャック」、大量の不正クエリによる「NXDOMAIN攻撃」など、より幅広い攻撃手法に対応した。
カントリーマネージャーの露木氏は、Infobloxのセキュリティソリューションが導入された事例として、米国の防衛関連機関、大学、バイオ系企業などの例を挙げた。「サンドボックス型ソリューションでマルウェアを発見しても、それだけでは『止められない』。Infobloxのソリューションならば(通信をブロックすることで)止められる」(同氏)。またある大学では、テストの実施を妨害しようと学生が実行したDDoS攻撃を、同社ソリューションで食い止めた実績もあるという。
「顧客からは、日々DNSへの攻撃クエリが増えていると聞いている。当社のソリューションでそうした対策ができる」(露木氏)