2016.06.26(日)

遠隔操作ウイルスの指令に、検出が難しいDNSを使用する攻撃を確認(ラック)

脆弱性と脅威 脅威動向

株式会社ラックは2月1日、遠隔操作ウイルスに対する指令の伝達手段としてDNS(Domain Name System)パケットを悪用する事案を初めて確認し、注意喚起情報として公開した。これは、同社が運営する緊急対応サービス「サイバー119」で調査した複数の案件で確認されたもの。PCで動作している不審なソフトウェアを調査したところ、企業内の情報を盗み出す目的で使用される遠隔操作ウイルス(RAT)であることが判明した。

このRATを解析したところ、攻撃者との指令伝達にDNSの通信を使用するDNSトンネリングとも言われる手口であることが確認されたという。同社が緊急対応した事案で、この手口が使用されたケースは初となる。攻撃者は、DNSサーバを模した指令サーバ(C2サーバやC&Cサーバとも呼ばれる)を構築し、企業内部で活動する遠隔操作ウイルスが、通常のDNS要求を模したリクエストを指令サーバのドメインに送り、指令の伝播を実現していた。

DNSは、インターネット接続機能を持つ機器には必須の技術であるため、影響を受ける機器が非常に多い。また、DNSサービスへのアクセスを防ぐためには、攻撃者が用意したDNSサーバのドメイン名を知る必要がある上に、知っていてもアクセスの制限が難しい。さらに、DNSの動作履歴をログとして記録している企業はほとんどなく、不正なDNSアクセスに気づきにくい。同社では、対応は困難であるが不正なDNS通信があるかどうかを調査し、検出された場合には速やかに対策を行う必要があるとしている。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. OS Xなどで使用される「mDNSResponder」に複数の脆弱性(JVN)

    OS Xなどで使用される「mDNSResponder」に複数の脆弱性(JVN)

  2. Docker APIやH.323 プロトコルのポートに対するアクセスが増加(警察庁)

    Docker APIやH.323 プロトコルのポートに対するアクセスが増加(警察庁)

  3. Ubuntu のクラッシュレポート機能 (Apport) により権限昇格されてしまう脆弱性(Scan Tech Report)

    Ubuntu のクラッシュレポート機能 (Apport) により権限昇格されてしまう脆弱性(Scan Tech Report)

  4. 「ウイルスが検出されました」と日本語の音声で警告する偽サイトを確認(トレンドマイクロ)

  5. デル製PCやタブレットのサポート機能が原因で情報漏えいの可能性(JVN)

  6. GoogleアカウントIDを盗み出す日本語アプリに注意(マカフィー)

  7. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性

  8. ZTE製ケーブルモデム「F460/F660」に認証なしでアクセスされる問題(JVN)

  9. サイバー犯罪者、Facebook でカード情報販売 ~ 中国・ロシア・ブラジル 国別特徴を視覚化(EMCジャパン)

  10. 悪性PDFファイルの解析ツール:Peepdf(Scan Tech Report)

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×