遠隔操作ウイルスの指令に、検出が難しいDNSを使用する攻撃を確認(ラック)

2016年2月2日(火) 08時00分
このエントリーをはてなブックマークに追加
今回確認された攻撃の画像
今回確認された攻撃
株式会社ラックは2月1日、遠隔操作ウイルスに対する指令の伝達手段としてDNS(Domain Name System)パケットを悪用する事案を初めて確認し、注意喚起情報として公開した。これは、同社が運営する緊急対応サービス「サイバー119」で調査した複数の案件で確認されたもの。PCで動作している不審なソフトウェアを調査したところ、企業内の情報を盗み出す目的で使用される遠隔操作ウイルス(RAT)であることが判明した。

このRATを解析したところ、攻撃者との指令伝達にDNSの通信を使用するDNSトンネリングとも言われる手口であることが確認されたという。同社が緊急対応した事案で、この手口が使用されたケースは初となる。攻撃者は、DNSサーバを模した指令サーバ(C2サーバやC&Cサーバとも呼ばれる)を構築し、企業内部で活動する遠隔操作ウイルスが、通常のDNS要求を模したリクエストを指令サーバのドメインに送り、指令の伝播を実現していた。

DNSは、インターネット接続機能を持つ機器には必須の技術であるため、影響を受ける機器が非常に多い。また、DNSサービスへのアクセスを防ぐためには、攻撃者が用意したDNSサーバのドメイン名を知る必要がある上に、知っていてもアクセスの制限が難しい。さらに、DNSの動作履歴をログとして記録している企業はほとんどなく、不正なDNSアクセスに気づきにくい。同社では、対応は困難であるが不正なDNS通信があるかどうかを調査し、検出された場合には速やかに対策を行う必要があるとしている。
《吉澤 亨史》

注目ニュース

icon
中小規模事業者向けUTMに攻撃分析情報「JSIG」を提供(ラック、NECプラットフォームズ)

ラックは、NECプラットフォームズが販売を開始したセキュリティアプライアンス「Aterm SA3500G」に、より強固なセキュリティ機能を実現するラック独自のセキュリティ技術情報を提供した。

icon
「Angler Exploit Kit」によりEmdiviおよびZeusVMの感染が増加(ラック)

ラックは、同社のセキュリティ監視センター「JSOC」によるセキュリティレポート「JSOC INSIGHT vol.10」を公開した。

icon
「ScreenOS」の認証回避の脆弱性について注意喚起情報を公開(ラック)

ラックは、ジュニパーネットワークスの「ScreenOS」の脆弱性に関する注意喚起を発表した。

icon
卓越したIT技術を持つ若者支援“すごうで”、中高生を対象に4回目を実施(ラック)

ラックは、卓越したIT技術を持った若者を支援する「ITスーパーエンジニア・サポートプログラム“すごうで“」について、2016年度の募集を開始した。

icon
「PacketBlackHole」ユーザ向けに、感染や不正通信を調査するサービス(ラック)

ラックは、同社の子会社であるネットエージェントが販売している通信内容記録装置「PacketBlackHole」の利用者に向け、ラックの不正通信解析技術を駆使した「PBH_マルウェア通信チェックサービス」の提供を開始し...

RSS

特集・連載

ピックアップフォト