検索
連載

DNSキャッシュポイズニングの原因・対策・その理由DNSキャッシュポイズニングの影響と対策(後編)(4/4 ページ)

パッチの適用は急務としても、これだけでは確実に脅威がなくなるわけではないのがこの問題のポイントです。しかし私たちにはまだできることがあります。後編では6つの対策ポイントを提示し、現時点におけるベストプラクティスを考えます。(編集部)

PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

対策6:日々の監視を行う

 トラブルは突然襲ってきます。それがセキュリティの脆弱性を突いた攻撃であれ、ハードウェアの故障やソフトウェアの異常動作といったサーバの異常であれ、迅速に検出し、可能であれば予見できる仕組み作りは非常に重要です。

 図1の対策後ネットワークでは、SNMPマネージャによる監視を行うことにより、本脆弱性による攻撃が発生したときでも、キャッシュDNSサーバに届くUDP53番ポートのパケット量と、処理した再起問い合わせクエリ量を定期的に計測することで、問題が発生したときの対処をより迅速に、的確に行うことを目指しています。

 前編で説明した、攻撃手法を思い出してみてください。

 攻撃者は大量のDNSクエリと、1回のDNSクエリに対して膨大な量の汚染応答パケットを送りつけるブルートフォース攻撃を行う必要があります。これは逆に、攻撃の足がかりは確実に検出できるということになります。

図3 攻撃発生時のDNSパケット量遷移
図3 攻撃発生時のDNSパケット量遷移

 通常はある程度一定なDNSパケット量が、攻撃開始後は異常なほどのパケット量を受信していることが一目瞭然(りょうぜん)です。このような監視システムがすでにあればそれを使ってもよいでしょうし、ないという場合でも、これを機に監視対応を強化することは、将来の安心を得るための重要な一歩であることは間違いありません。

 このような異常状態をいち早く検出し、DNSキャッシュを調査し必要に応じてキャッシュクリアを行うなど、しかるべき対策を行うことで、この脆弱性は危険なものにはならず、インターネットをより安心して利用できることにつながります。

時代とともに変わる「ベストプラクティス」

 今回発見されたDNSの脆弱性は、確かにインターネットの存在を脅かすほどの危険性をはらんでいたことは事実です。しかし、このような問題が発生した場合でも、過去のベタープラクティスの組み合わせによって十分回避できる可能性について執筆させて頂きましたが、いかがでしたでしょう。

 本質的には今回の脆弱性問題はDNSSECの利用が必要で、その普及によってのみ解決できる問題であることは前回も述べたとおりですが、それにはどうしても時間がかかることは否めません。

 そのため、いつの日か(それは決して遠い未来ではなく)DNSSECが普及する波が来るまでに現状を今一度見直し、可能な限り安全でメンテナンスしやすい環境と盤石な運用体制を整えておくことが非常に重要な課題となります。この記事が皆さまの環境をよりセキュアにする一助となり、それによりインターネットをさらに有益で利便性の高い環境に発展させる一助となれば、これ以上の幸せはありません。

Profile

Infoblox株式会社 Professional Service Engineer

藤川 浩一(ふじかわ こういち)

DNS/DHCP/RADIUSのアプライアンスメーカーであるInfoblox株式会社に勤務し、コアネットワークシステムコンサルタント業務と、カスタムプログラムの設計業務を担当。

世界はたくさんの愛で満ちあふれていると信じてやまない乙女座O型 :-)


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  4. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  5. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  6. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  9. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  10. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
ページトップに戻る