DNS技術の“悪意によらない変化”で多くのものが失われる理由――AVAR 2019 基調講演：セキュリティ・アディッショナルタイム（42）

20年という時間がたてば、インターネットの環境も、サイバーセキュリティの動向も様変わりする。AVARはその間ずっと、セキュリティコミュニティーのナレッジ共有の場として機能してきた。

[高橋睦美，＠IT]

　スロバキア生まれのセキュリティ企業ESETは、統合セキュリティソフト「NOD32」に始まり、EDR（Endpoint Detection and Response）製品やクラウドベースのセキュリティサービスを展開すると同時に、マルウェアや脅威の動向に関するリサーチを展開し、ブログなどで公開してきた。

　さらに、そうしたナレッジを広くコミュニティーで共有し、意識の向上を図り、脅威に対抗するための場として「AVAR」（Association of Anti-Virus Asia Researchers）を1998年に設立し、長年にわたって国際カンファレンスを開催している。AVARは、2019年11月には大阪で開催され、各国のセキュリティリサーチャーが集合し、Emotetをはじめさまざまな脅威のリサーチ結果を披露した。

　2009年の京都以来10年ぶりに日本で開催されたAVARだが、ESETのCTO（最高技術責任者）を務めるユーライ・マルホ氏によると、「AVARが始まった頃は、世界中を見渡しても、セキュリティに関するカンファレンスは年に2回もあるかどうかといった感じだった。だが、今や状況は様変わりし、連日あちこちで開催されるようになっている」という。

　この20年間で、脅威も大きく変化した。単純ないたずらや、拡散を目的とした単純なワームに代わり、サイバー犯罪者による金銭目的の攻撃や、特定の組織・企業からの情報詐取・スパイ活動を狙いとした攻撃が増えてきた。中には、政府やそれに近い組織によるものと思われる攻撃も増えている。「ただ、技術上のリサーチや協力は、政治的文脈とは異なる文脈で語るべきだ。こうした時代だからこそ、昔から行われてきた通り業界全体で情報を共有し、協力していくことが重要だ」（マルホ氏）

対策を見越し、正規のソフトウェアやプロセスを悪用する攻撃が増加

　この数年、サイバーセキュリティの世界で特に話題を振りまいてきたのがランサムウェアだ。「ランサムウェア自体は急に現れたものではなく、以前から存在していた。ただこの数年でより洗練され、より危険な形に変化し、多くの個人や企業に影響を与えている」と、ESETのCRO（Chief Risk Officer）、ローマン・コバチ氏は指摘した。

ESET CTOのユーライ・マルホ氏（右）と同社 CROのローマン・コバチ氏（左）

　もっと注意が必要なのは、特定の会社や組織を狙う標的型攻撃だ。「高い技術を用いて、気付かないうちに何年にもわたって情報を盗んでいる恐れがある」とコバチ氏は述べ、併せて「IoTや暗号通貨といった、これまでに存在しなかった新たな技術に関連した脅威にも注意が必要だ」とした。

　これに関連してマルホ氏が懸念しているのが、正規のソフトウェアを悪用した攻撃だ。「2010年前後、『Rootkit』と呼ばれる攻撃手法がポピュラーになった時期があったが、防御側が進化し、Rootkitによる悪意あるペイロードやマルウェアを検知できるようになってきた。すると攻撃者はそれを踏まえて、今度はクリーンなソフトウェアをまねしたり、正規のソフトウェアの中にコードをインジェクション（注入）したりする手口が増えている」（マルホ氏）

　「こうした“いたちごっこ”が続くからこそ、AVARのような場でナレッジを共有することが重要だし、セキュリティベンダーとしては、検知方法を進化させ、また組み合わせて多層防御を実現する必要がある」と両氏は述べた。

　例えば、さまざまなセンサーやハニーポットで収集した「IoC（Indicator of Compromise：セキュリティ侵害インジケーター）」と呼ばれる脅威情報は、共有知に基づいて攻撃を検知するアプローチだが、「残念ながらIoCの共有、特に単なるMD5ハッシュ値の共有だけでは、強固な手段とは言い難い」とマルホ氏は述べた。前述の、正規のソフトの偽装や改ざんを検知するには、コードそのものの分析という伝統的な手法に加え、アプリケーションの振る舞い分析やシステム、さらにはプロセスのモニタリングを行い、「アノーマリ」（異常）を見つけ出すことが重要だという。

　残念ながら、破壊的な攻撃やサボタージュ目的の攻撃など、いくら多層防御を積み重ねても対処が難しい攻撃はある。「そうした限界を知った上で、攻撃をより困難にして、攻撃者のコストを上げていくことが大事だ。そして、銀行と個人の家とで警備に費やす投資や装備が異なるのと同じように、守るべきものの価値とのバランスを考えながら対策を検討する感覚を持つことが重要だ」（マルホ氏）

　さらにAPT（Advanced Persistent Threat：持続的標的型攻撃）対策を考えるなら、「人と人との戦いである」ことを踏まえ、ある種の「攻撃的な防御」が必要だという。「ドアに鍵が掛かっていれば、ずっと安全というわけではない。それを打ち破って侵入を試みる人もいることを認識するのが大切だ」（マルホ氏）

　具体的には、エンドポイント保護製品とEDRを連携させ、疑わしい振る舞いをトリガーにして素早く分析を進め、正規の動きではないなら対応していく――そんな具合に、検知と対応、分析という一連のプロセスを統合的に、またできる限り自動的に進めることが必要であり、そのための機能を新バージョンで追加しているという。

モジュール化やプロセスホローイング、難読化で解析や検知をより困難に

　マルホ氏らが述べた“脅威の変化”は、AVARで行われた複数のプレゼンテーションでも言及されていた。

AVASTのAdolf Streda氏「モジュール化や検知・解析を拒む仕組みが高度化している」

　例えばAVASTのAdolf Streda氏は、Netflixを含む世界各国のWebサービスや銀行をターゲットにした攻撃キャンペーン「Guildma」についてのリサーチ結果を発表した。「Guildmaは、今までにない高度にモジュール化されたマルウェアで、広く世界中に拡散している。クレジットカード情報やオンラインバンクのアカウントといったさまざまな情報を盗み取り、第三者に売りさばくことを目的にしている」（Streda氏）

　やはり、セキュリティ企業や研究者による解析を困難にするためか、感染先の正規プロセスに不正なコードを埋め込む「プロセスホローイング」という手法を用いている。さらに、「リバースエンジニアリングによる解析を困難にするため、さまざまな難読化を行い、暗号化されたコードを復号するためのキーの抽出方法も複雑だ」とStreda氏は説明した。

　Guildmaのキャンペーンで遠隔操作ツールを埋め込み、コントロール下に置いたPCを制御したり、他のモジュールをダウンロードしたりする先のC2（Command＆Control）サーバについても、「ドメインを申請・購入し、基盤を作りダウンロードするという一連の処理を『バッチ化』『自動化』しており、次々使い捨てながら使っている」とのことだ。

インターネットを支えるDNS技術の変化が「統治」をゆるがす？

　AVAR 2019の基調講演では、技術者、セキュリティリサーチャーだけではなく、インターネットを利用する人が幅広く考えるべき話題が取り上げられたので、それも紹介しておこう。具体的にはDNSの在り方についてだ。

DNSの在り方について一石を投じる基調講演を行ったPaul Vixie氏

　広く利用されてきたDNSサーバソフトウェア「BIND」の開発に携わり、今は米国のFarsight SecurityのCEOを務めるPaul Vixie氏が基調講演のタイトルに選んだのは、「Benefits and Hazards of Non-Local DNS Resolution」。長年ローカルな環境で行われてきたDNSの名前解決が、最近はTLSやHTTPSといった暗号化されたプロトコルを介して、外部のサードパーティーによって行われ始めている。それがどんなリスクをはらんでいるのかを同氏は紹介した。

　ドメイン名とIPアドレスとの対応付けを行うDNSは、それと意識したことはなくても、インターネット利用時に欠かせない重要なサービスだ。「DNSはインターネット上のあらゆるものに関わり、その重要さはますます高まっている」とVixie氏は述べた。

　というのも、単に名前を解決して、人間が覚えやすい名前でWebやメールを利用できるようにするだけではなく、最近では広告配信やユーザーのトラッキング、あるいはセキュリティ制御など、幅広い用途に活用されているからだ。同時に、不正な書き換えによって悪意あるサイトに誘導するといった具合に、サイバー攻撃にも悪用されている。

　ともあれDNSは、ルートサーバと権威DNSサーバ、キャッシュDNSサーバ（フルサービスリゾルバ）といった具合に分散データベースの階層構造をなし、それぞれが自律的に協調することで信頼性を保ち、うまく機能してきた。そして大抵の場合、名前解決を行うフルサービスリゾルバは、自社内、あるいは利用しているISP（Internet Services Provider）の網内など、ローカルな環境に置かれたものを利用することが前提となっていた。

　状況を一変させたのが、いわゆる「スノーデン事件」だ。米国家安全保障局（NSA）による、DNSを含む通信監視の実態が告発されたことを機に、「誰がどのサイトにアクセスしているか」という、個人を特定できる情報を扱うDNS通信を保護すべきという議論が沸き起こり、これまで「UDP（User Datagram Protocol）」というプロトコルの上で動作し、暗号化されていなかったDNSの保護が議論されるようになった。

DNSのアーキテクチャの変化は、技術的な意味合いだけではなく、さまざまな影響をもたらす恐れがある

　その一環として浮上してきたのが「DNS over TLS」（DoT）や「DNS over HTTPS」（DoH）というアイデアだ。トランスポート層を暗号化することで、さまざまな機関による監視・盗聴を無効にしようというアプローチで、人によっては「改ざんや盗聴を防ぎ、インターネットをより安心・安全に使うために必要な技術」と説明している。

　だがVixie氏の意見は正反対で、「これは良いアイデアとはいえない」という。

　理由は幾つかある。まず、技術的ではなく政治的な思惑に基づくプロジェクトであり、RFC（Request for Comments）という標準がインターネットの分断を招きかねないからだ。技術的に見ても、盗聴・改ざんを防ぎたいならば既にVPNという手段がある。その上DoT／DoHでは、ユーザーとキャッシュDNSサーバの間は保護できても、その先のキャッシュDNSサーバとルートサーバや権威サーバとの通信は保護されないため、プライバシー保護にとって十分な解決策とはいえないということだ。また、今やWebの比重が高まっているとはいえ、Webが全てではなく、DNSを利用するサービスは他にも存在する。

　これが、並行して広がり始めたOpenDNSやGoogle Public DNSなどの「パブリックDNS」、あるいはWebコンテンツの一部にDNSの応答を埋め込む「リゾルバレスDNS」と組み合わさることによって、問題はさらに深刻化し、プライベートなネットワークの「主権」が誰にあるのかが揺らぐことになりかねないと同氏は説明した。

　今はネットワーク管理者、あるいはISP側が自分たちのルールに基づいて、プライベートなネットワークに対してフィルタリングなどのコントロールを行っている。だが、多くの資金を持ち、Webブラウザ市場で高いシェアを持つ企業、DoT／DoHを提供する企業がその立場にとって代わり、プライベートなネットワークのルールを作り、統治することになりかねない。DoT／DoHで暗号化されている以上、自社のルールに基づいてスパムやマルウェアをフィルタリングすることすら困難になる。

　つまり、インターネットから生まれたアプリケーションの一つであるWebが、インターネットアクセス全体のルールを決めることになりかねない――Vixie氏はそれを懸念しているという。国土や領海、領空といった領域には、伝統的に国家主権が及んできた。だが新たな範囲であるITの世界では、こうした企業が優位性を示す可能性がある。

　DoT／DoHにせよ、パブリックDNSにせよ、リゾルバレスDNSにせよ、悪意から生まれたものではないが、「われわれは、それによって得たものよりも多くを失うかもしれない。分散型でありながら一貫性を持ち、階層的でありながら自立協調的なDNSという仕組みを守る上で大変な時期に差し掛かっている。一人一人が注意深く見守り、できることをしていく必要がある」（Vixie氏）