[イベントレポート]セキュリティ担当者が53番ポートに注意すべき理由とは(前編)
去る2024年1月24日、東京港区赤坂にて、Infoblox株式会社主催のセキュリティセミナー「Infoblox Security Seminar Series セキュリティ担当者が 53番ポートに注意すべき理由とは」を開催しました。
1980年代半ば、インターネット接続における名前解決の仕組みとしてDNSが誕生して以後、DNSはインターネットの進化に合わせる形で機能の追加やセキュリティ強化を行ってきました。しかし、DNS(53番ポート)を狙ったサイバー攻撃は急増しており、事実、マルウェアの92%は53番ポートを悪用しているという調査結果も報告されるなど、いまや攻撃者の主要なターゲットにもなっています。
セミナーでは、DNSやサイバーセキュリティの第一人者である東京大学の関谷 勇司氏を迎え、DNSセキュリティの最新動向が解説されたほか、Infobloxの折原 直美から、今後のDNSセキュリティに不可欠な「DNS Detection and Response」の特徴や優位性などを紹介しました。
本ブログでは、前編、後編の2回に分けて、イベントを振り返りたいと思います。
[基調講演]
セキュリティ対策に DNS が欠かせない理由
東京大学 大学院情報理工学系研究科
情報セキュリティ教育研究センター (SI センター) 教授
関谷 勇司 氏
DNSはアプリケーションでありインフラ
DNSは、1980年代半ば、インターネットにおける動的な名前解決の仕組みとして生まれました。その後も、様々な情報を提供するための仕組みや、証明書等のセキュリティ機能等が追加され、インターネットを支えるインフラとして重要な役割を担い続けています(図)。
しかし、そうした機能追加はセキュリティに関して十分に有効に働いているとはいえず、DNSを悪用した攻撃も多発しています。
このような状況を踏まえ、「セキュリティ対策に DNS が欠かせない理由」と題された基調講演では、東京大学 大学院情報理工学系研究科 情報セキュリティ教育研究センター (SI センター) 教授 関谷勇司氏が登壇し、DNSに着目したセキュリティ対策の有効性と、現在のDNSが抱えるセキュリティ上の課題について解説を行いました。
どうやったら防げる?
DNS はセキュリティ対策の第一歩 (なはず)
昨今、猛威をふるうランサムウェアなどのサイバー攻撃はますます高度化し、その攻撃範囲も拡大しています。そうした状況に対応するため、市場ではエンドポイントからクラウドサービスを対象とするものまで、多種多様なセキュリティソリューションが登場しています。しかし、セキュリティインシデントは無くならず、また、効果的なセキュリティ対策を実施するにあたって「何から始めればいいのか」「どんな製品を導入すればよいのか」悩んでいる企業のシステム担当者は少なくありません。
そうした悩みに対する有効な回答が、DNSセキュリティです。
関谷氏は、「すべてのアプリケーション通信は名前解決から始まります。したがって、通信の根本となるDNSに対してセキュリティを担保することが、セキュリティ対策の第一歩と言えます」と強調します。
DNSセキュリティを簡潔に説明すると、ユーザーやデバイスが通信しようとしているWebサイトが本当に安全なものかどうかを判断し、疑わしいWebサイトであれば、ユーザーやデバイスからの名前問い合わせに対してIPアドレスを返さない、つまり、通信させないようにするものです。
このような仕組みを提供するDNSセキュリティは、数々のメリットをもたらします(図)。
その1つが汎用的に利用可能であること。関谷氏は、「多くのセキュリティ対策ツールは、Webやメール等、アプリケーションごとに特化された機能を提供しています。対してDNSセキュリティは、すべてのアプリケーション通信の発端となる“名前解決”で攻撃を遮断します。アプリケーションごとに特別な対策を施さないで済むため、汎用的に活用できるセキュリティツールと言えます」と説明します。
また、セキュリティ対策における処理負荷を抑制できることも、DNSセキュリティのメリットであるといいます。今やほとんどの企業がPCやデバイスにセキュリティソフトを導入し、ウイルスの有無や悪意のあるURL、ダウンロードしたファイルのチェックを行っています。しかし、都度、それらの処理を実施する際に、多くの負荷が発生していることも否めません。「対して、DNSセキュリティでは、名前を問い合わせるだけで済むので、ユーザーやデバイス側には処理負荷が発生しません。IoT機器など、処理性能が低いデバイスであっても、悪意のある攻撃に対するフィルタリングやブロックを有効に働かせることができます」(関谷氏)
このほか、悪意のあるWebサイトへのアクセス自体を行わせなくすることでプロアクティブなセキュリティ対策が実現できること、オフィスやリモートワーク先など、場所を問わないセキュリティ対策が可能であることもDNSセキュリティのメリットだといいます。
加えて関谷氏は、セキュリティ対策における「DNSログ監視」の有用性についても言及します。
「近年では、DNSトンネリングといった、名前解決には不必要なデータを DNS クエリの中に埋め込んでデータを窃取する攻撃も登場しています。そうした攻撃では通常ではありえない回数の名前問い合わせが行われるため、DNSのログを監視することで、いち早く異変を察知し、対処することが可能となります」(関谷氏)
DNSの信頼性を疑い
確実なセキュリティ対策を実施する
冒頭でも述べたように、DNSはその誕生以後、利便性やセキュリティ強化のための様々な機能拡張を行ってきました。しかし関谷氏は、「DNSに対して何の疑いももたず、全幅の信頼を置いて本当に大丈夫でしょうか」と疑問を投げかけます。
「DNSは本当に正しい情報を返しているのか、それを確実に検証する方法はあるのか、その利用にあたっては、常に疑いのまなざしを向ける必要があります。また、経路ハイジャックが行えれば DNS ハイジャックも可能であり、実際に攻撃を受けた事例もあります」(関谷氏)
また、最近では名前解決の方式として、DoT (DNS over TLS) や DoH (DNS over HTTPS)という新しい手法も登場しています。しかし、DoH は DNS サーバに対する https 通信であり、管理者が中身を確認することができなくなる可能性があるほか、そもそも名前の証明書のやり取り自体が既存のDNSで行われている、という問題もあります。
これらの状況を踏まえ、関谷氏は改めて、DNSが担保すべきセキュリティとして、「DNSサーバ自体の健全性の確保」、「DNSコンテンツの正確性」の2つを挙げます。
「DNSは目に見えないため、なかなか投資の対象に捉えられていませんが、確実にセキュリティを担保するためには、DNSの管理と健全な運用が必要不可欠です。DNSはセキュリティの起点であり、この対策をおろそかにすることはインターネット全体の信頼性も損なうことにもなります」と強調し、基調講演を締め括りました。
後編に続く。後編はこちら↓↓↓
https://note.com/infoblox/n/ne65ec21fb362
[関連情報]
次回のセキュリティセミナーは、日本シーサート協議会の北村 理事長をお招きし、2024年3月14日(木)15時から開催します。
ご存知の方も多々いるかと思いますが北村 氏は、大成建設の情報企画部門にて長らく従事し、「Taisei-SIRT」を立ち上げからチームリーダとしてインシデント対応やセキュリティ環境整備をリードされてきました。
その後、2020年1月よりSBテクノロジーに参画し、セキュリティ事業や建設業への営業活動に対する支援やアドバイザーを務めると同時に、セキュリティ事故対応チーム( SBT-CSIRT ) の一員として、現在でもセキュリティの維持、改善を実行されています。
本基調講演では、セキュリティ人材やプロセスではなく、「テクノロジー」や「テクニカル」な部分にフォーカスし、ご案内させていただきます。
北村 氏 からはインシデントレスポンスのベストプラクティスとその中でのDNSセキュリティの位置付けを、DNS専業ベンダーであるInfobloxからは海外で導入が加速的に進んでいるProtective DNSや既存のDHCPやIPAMを活用して実現するDNS Detection and Response(DNSDR)をご案内します。
会場の都合上、先着50名様限定です。すぐに埋まってしまうと思いますので気になる方は早めのご登録をお願いいたします。
登録はこちら↓↓↓
https://bit.ly/47Z4zjX
この記事が気に入ったらサポートをしてみませんか?