このページの本文へ

攻撃者とC&Cサーバーの指令伝達にDNSの通信を使用

ラック、DNSを悪用する遠隔操作ウイルスに注意喚起

2016年02月01日 15時30分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 2月1日、ラックは遠隔操作ウイルスに対する指令の伝達手段としてDNSパケットを悪用する事案を初めて確認し、注意喚起情報として公開した。攻撃者は、DNSサーバーを模したC&Cサーバーを構築し、企業内で活動する遠隔操作ウイルスが、通常のDNS要求を模したリクエストをC&Cサーバーのドメインに送り、指令の伝播を実現していた。

DNSサーバーを模した遠隔操作ウイルスの悪用

 これは同社が展開する緊急対応サービス「サイバー119」で調査した複数の案件で発覚したもの。昨年後半に複数の大手企業様よりの調査依頼を受け、ラックのフォレンジック担当者が問題のPCを調査した結果、企業内の情報を盗み出す目的で使用される遠隔操作ウイルス(RAT:リモートアクセスツール)が潜んでいたことを発見。この遠隔操作ウイルスを解析したところ、攻撃者との指令伝達にDNSの通信を使用するDNSトンネリングとも言われる手口であることが確認されたという。ラックが緊急対応した事案でこの手口が使用されたケースは初めてだという。

 DNSはPCやスマートフォンなどインターネット接続機能を持つ機器であれば必ず使用しなければならず、影響を受ける可能性のある機器が非常に多い。また、DNSサービスへのアクセスを防ぐには、攻撃者が用意したDNSサーバのドメイン名を知る必要があるうえに、ドメイン名を知っていてもそのアクセスの制限は容易ではない。

 企業としてログとして記録していないところも多いため、対応は困難だという。少なくとも遠隔操作ウイルスが不正なDNS通信を行っているか否かを調査し、不正な通信が発見された場合には、速やかに遠隔操作ウイルスの対策を行なう必要があるという。

■関連サイト

カテゴリートップへ

【ニコ生】視聴者がガチでXmas自作PC構成を決めるジサトラ出張

スマホやタブレットからはniconicoアプリをダウンロードのうえ、こちらからご覧ください
ピックアップ