お知らせ

DNSへの水責め攻撃防止システム構築サービスを開始

2015年10月30日 プレスリリース



DNSへの水責め攻撃防止システム構築サービスを開始

2015年10月30日
株式会社デージーネット

株式会社デージーネット(本社:愛知県名古屋市、代表取締役:恒川 裕康)は、キャッシュDNSサーバへの水責め攻撃によるサービス停止を防止するDNSサーバ構築サービスを開始しました。このDNSサーバ構築サービスにより、水責め攻撃によるDNSサービスの停止が予防でき、ユーザが受ける影響を小さく留めることができます。

DNSへの水責め攻撃とはDNSサーバのDDoS攻撃の手法の一つです。2014年頃から世界中で確認され、攻撃は1年経った現在でも続いています。2014年6月~7月にかけて国内の複数のISPで発生したDNS障害の原因と考えられています。

水責め攻撃とは

攻撃者はBotnetとオープンリゾルバを踏み台にし、DNSサーバへの妨害を行います。Botnetとはウィルス感染などにより、攻撃者が遠隔操作できるPCです。そのため、BotnetPCは攻撃者が遠隔操作できる分だけ存在しています。また、オープンリゾルバとは、必要なアクセス制限がされていないDNSサーバで、外部からの不正使用が可能な状態となっている機器を指します。この中には、欠陥を持つホームルータも含まれています。受け付けてはならないDNS問い合わせを受け付け、処理をしてしまいます。

攻撃者はまずBotnetに対し、攻撃対象のドメイン名をランダムなサブドメインでDNS問い合わせするように指令を出します。攻撃者はオープンリゾルバのリストを持っており、遠隔操作された不特定多数のBotnetPCは、そのリストに掲載されたオープンリゾルバへ問い合わせを送ります。オープンリゾルバは自らのネットワークのキャッシュDNSサーバへ問い合わせを行います。しかし、ランダムなサブドメインはキャッシュに存在しないため、毎回外部への問い合わせが必要となります。そして、攻撃対象ドメインの権威DNSサーバには、大量の問い合わせが殺到します。問い合わせが集中する攻撃対象ドメインの権威DNSサーバ、ISPや一般企業などのキャッシュDNSサーバが過負荷となり、サービスが継続できなくなります。
ブロードバンドルータの利用がない組織内であっても、攻撃者によりウィルス感染させられたPCにより大量のクエリが送信されます。

unboundで水責め攻撃に対応:水責め攻撃の仕組み

水責め攻撃対策の問題点

サービスが停止した場合、ユーザからDNSへの問い合わせができなくなります。そして、通信ができない状態に陥ります。そのため、サービス停止前に対策が必要です。ところが、この水責め攻撃を受ける前に対策することは困難です。理由は、「どこから攻撃されるか特定しづらいこと」「攻撃に気づきにくいこと」が挙げられます。

2014年のISPのDNS攻撃による障害は、顧客側から攻撃されていた可能性があります。もちろん顧客側に悪意があるわけでなく、知らない間にホームルータなどを通して攻撃に加担しているのです。不特定多数のオープンリゾルバを見つけることは容易ではありません。したがって、事前に攻撃に利用される機器を見つけることは困難となります。

また、攻撃を受ける側が対策を考えた場合、DNS問い合わせが異常に増加しているなど、実際に攻撃を受けなければ気づくことはできません。そのため、攻撃を受ける前の対策は困難です。したがって、攻撃をすばやく見つけ、対策する仕組みが必要となります。

デージーネットの構築サービス

今回デージーネットが開始した「DNSへの水責め攻撃防止システム構築サービス」では、キャッシュDNSの統計情報を調査し、一定以上問い合わせがあったドメイン名に対し、DNSの名前解決を停止します。そうすることで、DNSが過負荷となる前に攻撃からDNSサーバを守ることができます。また、キャッシュDNSサーバが複数ある場合でも、すべてのキャッシュDNSサーバにドメイン情報を共有し、対象ドメインの名前解決を停止することが可能です。また、攻撃の踏み台として使われたPCやブロードバンドルータを検出し、管理者に通知することもできます。

DNSサーバには動的に設定を変更する機能があるソフトウェアを利用します。ドメインの名前解決を停止する際、DNSサーバの再起動を行わなくても設定を変更することができるため、可用性の高いDNSサーバを構築することが可能です。

また、システム導入後は、Open Smart Assistanceにより、サーバのサポートを提供しています。Open Smart Assistanceは以下のようなサービスを提供いたします。

  • Q&A(インストールしたOSSやソフトウェアの利用方法に関してのご質問にお答えします。)
  • セキュリティ情報提供
  • 障害時リモート対応
  • 障害時オンサイト対応
  • 障害時システム再構築

価格(税抜き)

  • DNSへの水責め攻撃防止システム構築
    37万円~
  • 導入後支援サービス(Open Smart Asistance)
    7万4千円~

会社概要

会社名: 株式会社  デージーネット
代表者: 代表取締役  恒川 裕康
本社   : 〒465-0025  愛知県名古屋市名東区上社四丁目39-1
資本金: 1,000万円
URL   : http://www.designet.co.jp/

<一般の方からのお問い合わせ先>
https://www.designet.co.jp/contact/index.php

このお知らせの先頭へ