国・自治体のDNS水責め攻撃のまとめ

４月末頃少しニュースになったDNS水責め攻撃について、国および自治体に関連した情報をまとめる。

関連と考えられるニュースはこちら

G7前にサイバー攻撃が頻発　特殊な手法、企業や官庁に ｜ 共同通信

富山県内自治体サイト　つながりにくい状態に　２９日午前｜富山のニュース｜KNB WEB｜北日本放送｜ラジオ・テレビ局発！富山の最新情報サイト

DNS水責め攻撃とは

---

JPRSの説明は以下。

DNSサーバーに対するDDoS攻撃手法の一つです。DNSの問い合わせ名にランダムなサブドメインを付加することでフルサービスリゾルバー（キャッシュDNSサーバー）のキャッシュ機能を無効化し、攻撃対象となる権威DNSサーバーに問い合わせを集中させることにより、権威DNSサーバーやフルサービスリゾルバーをサービス不能の状態に陥らせます。

JPRS用語辞典より

攻撃を受けた可能性のある団体

---

この件の第一人者である中京大鈴木教授（浸透いうな／@tss_ontap_o）のサイトにて情報提供されている。

Summary of Water Torture Attacks in 2023

上記サイトに掲載されている、全 NS が応答しなくなったドメイン（ゾーン）の主要なピックアップリストのうち、.go.jp、.lg.jp、pref.が含まれるもの、city.が含まれるもの、の4種を抜粋した。（2023/5/7 14:00時点）なお応答しない時間が1時間以上続いたものには〇をつけた。

表１）国関係

表２）自治体関係

注意）冒頭にあげた4種のみの抜粋のため、国・自治体の全量か不明。また、元ファイルを見てもらうとわかるがco.jpやne.jpなどへの攻撃もあり国・自治体に攻撃が集中しているということではない。さらに上記は一定時間NSが応答しなくなった事実があるもので数分程度で応答が復旧しているものもある。

DNS水責め攻撃への対策

---

直接的な対策としては以下のようなものがある。

DNSログを解析し攻撃をいち早く検知する
DNS水責め攻撃は予兆に気づきにくい攻撃ですが、DNSログを解析して異常な数の不審な問い合わせがあった場合はDNS水責め攻撃としていち早く検知して対策を取ることが可能です。例えば特定のドメインに対して、一定数以上の問い合わせがあった場合は、DNSの名前解決を停止するなどです。
このような対策により、DNSが過負荷になる前にDNSサーバーを攻撃から守ることができます。

対応する製品を導入する
DNS水責め攻撃に対応した製品もいくつかあります。例えばDNSログを高速に保管し、解析するための専用のシステムや、DNS問い合わせの秒間問合数（QPS）を計算して、予め設定した閾値を超えると、処理を制限するシステムなどです。

サイバーセキュリティ.comより

間接的な軽減策として、放置されたオープンリゾルバの対策をすることで、DNS水責め攻撃の踏み台にされてしまうことを防ぐというものがある。
以下サイト内に説明がある隠れオープンリゾルバ検査サイトで確認ができる。

隠れオープンリゾルバのスキャナー開発と調査

初稿：2023/5/10 17:00