ニュース

オープンリゾルバー〜正規キャッシュDNSサーバー経由の2段階DDoS攻撃か?

警察庁が怪しいパケットの増加を観測

 DNSのオープンリゾルバーを踏み台とした新たな攻撃手法に起因するものとみられるパケットが増加していることを、警察庁が23日、発表した。オープンリゾルバーを踏み台にして大量のDNS問い合わせを行うことにより、攻撃対象のDNSサーバーの運用を妨害するDDoS攻撃が行われている可能性を指摘している。

 想定されている攻撃手法とは、ISPが加入者向けに設置しているキャッシュDNSサーバーなどから、攻撃対象DNSサーバーに対して大量のDNS問い合わせが行くよう仕向けるもの。ISPのキャッシュDNSサーバーはオープンリゾルバーではなく、DNS問い合わせを受け付ける範囲がきちんと制限されているが、攻撃者は、その範囲内にあるオープンリゾルバー(ISPの加入者のブロードバンドルーターなど)を踏み台にして、そこからISPのキャッシュDNSサーバーを経由して攻撃を仕掛けるわけだ。

 なお、今回の攻撃では、オープンリゾルバーからの応答パケットを攻撃対象のDNSサーバーに仕向ける“DNSリフレクター攻撃”ではないため、オープンリゾルバーによるパケットサイズの増幅は行われないという。その一方で、ISPなどが運用するオープンリゾルバーではない正規のキャッシュDNSサーバーを経由して攻撃が行われるため、攻撃を受けるDNSサーバー側は、単純にIPアドレス単位でアクセスをブロックするという対策がとれない点で、攻撃者にメリットがあるとしている。

想定される攻撃手法(警察庁の発表資料より)

 警察庁では今年2月以降、UDP 53番ポートを発信元とするDNS問い合わせに関する応答パケットを観測。これは、攻撃者が発信元を偽装し、オープンリゾルバーを探索するのに起因するものと考えられるという。

 それが6月以降、問い合わせ対象のドメイン、発信元IPアドレスの国内比率、発信元IPアドレス当たりの観測パケット数について変化が生じているのを確認。単にオープンリゾルバーを探索しているのではなく、何らかの攻撃活動が行われている可能性が出てきた。

 警察庁では、国内の複数のISPにおいて深刻な通信障害が起きていること、また、一部ではISPが管理するキャッシュDNSサーバーに大量アクセスが発生している状況もあることをふまえ、上記のような新たな攻撃手法がとられているのではないかと考えるに至った。一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)からは、同様の攻撃手法とみられる具体的な観測事例が報告されているという。

(永沢 茂)