JPドメイン名を標的とした“DNS水責め攻撃”を確認、JPCERT/CC定点観測レポート

　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は27日、2015年1月〜3月のインターネット上の攻撃動向に関する定点観測の結果を公表した。

　JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置しており、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類・分析することで、攻撃活動や準備活動の捕捉を行っている。

　2015年1月〜3月に観測された日本宛のパケットを中心に分析した結果によると、宛先ポート別ではTCP 23番ポート（telnet）が最も多く、以下、ICMP、TCP 22番ポート（ssh）、TCP 445番ポート（microsoft-ds）、TCP 1433番ポート（ms-sql-s）の順となった。送信元の地域別では、中国、米国、日本、台湾、韓国の順となっている。

　TCP 23番ポート宛のパケットは減少傾向にあり、これは約54％を占めている中国を送信元とするパケットが減少したことに伴うものだという。また、国内を送信元とするパケットについては、QNAP製NAS製品のマルウェア感染に起因すると思われるパケットが増加していたが、該当IPアドレスの管理者などに対して調査を依頼するなどの活動を行ってきたこともあって、2月上旬以降は減少に転じた。

　一方、3月中旬からはTCP 445番ポート宛のパケットが増加している。原因についてははっきりとしないが、TCP 445番ポートへのスキャンを行うマルウェア「Conficker」の新たな亜種の活動も懸念されるとして、WindowsやWindows Serverを利用している場合には、適切なセキュリティ対策を行うよう注意を行っている。

　期間中に注目された現象としては、JPドメイン名を攻撃対象とした、送信元ポート番号がUDP 53番ポート（DNS応答パケット）およびDNSサービスのポート不達を示すICMPエラーパケットが、2月上旬に多数観測されたことを挙げている。

　この現象は、「オープンリゾルバー」と呼ばれる不適切な設定のDNSサーバーを使用して、存在しない名前を多数問い合わせることで、攻撃対象の権威DNSサーバーに過剰な負荷を加えようとする“DNS水責め攻撃”と呼ばれるDDoS攻撃によるもので、JPドメイン名を対象としたDDoS攻撃では初の事例だと考えられるという。

　攻撃対象となったドメイン名は、国内のドメイン名登録代行事業者が運用する権威DNSサーバーに登録されていた。この権威DNSサーバーが、国内でも利用者数の多い複数のサイトのドメインを管理していたことから、対象となったドメイン名だけではなく、同一のDNSサーバーで管理されていたサービスやオンラインゲームなどにも影響が及んだという。

　JPCERT/CCでは、今回確認されたDNS水責め攻撃も含め、多数のオープンリゾルバーが国内に存在することで、DDoS攻撃に加担する結果となっていると指摘。攻撃の踏み台となっているオープンリゾルバーを減らすために、DNSサーバーを運用している場合には、再帰的な問い合せを受け付ける範囲など、設定を再確認し、必要最小限になるようアクセス制限を施してほしいとしている。

　また、ルーターなどが不特定のホストからのDNS問い合せに応答しない設定になっていることを確認することや、管理するサーバーで不要なDNSサーバーが稼働していないかを確認することを呼び掛けている。JPCERT/CCではオープンリゾルバーを減らすための活動として、定点観測システムの調査を元に、該当すると思われる国内のIPアドレスの管理者に対して調査を依頼している。