ラックは2016年2月1日、企業内に侵入したマルウエア(悪意のあるソフトウエア)を攻撃者が遠隔操作する手段にDNS通信を使ったサイバー攻撃を国内で初めて確認したと公表した。「企業の多くはDNS通信を制限・監視していない。この状況を攻撃者は逆手に取った」として、ラックはDNS通信の監視強化を呼び掛けている。

 2015年後半に複数の大手企業に侵入した遠隔操作マルウエアをラックが解析したところ、事態が判明した。攻撃者はマルウエアを操るための「C&C(コマンド&コントロール)サーバー(指令サーバー)」をDNSサーバーに模して設置したとみられる。マルウエアはDNSへの問い合わせ通信を約10秒間に80回以上発生させ、問い合わせ通信内に暗号化した30文字以上の文字列を埋め込んでいたという。

遠隔操作マルウエアをDNSで制御する概要図
(出所:ラック「遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起」)
[画像のクリックで拡大表示]

 マルウエアは海外では確認されていたが国内で観測したのは初という。「PlugXの可能性が高いが、これまでに確認されていない個体」(ラック)。他の遠隔操作マルウエアと同じく、HTTPやHTTPS、ICMPを使ってC&Cサーバーと通信する機能も備えている。マルウエアは組織内の情報収集や破壊行為などを目的としているとラックは見ているが、解析時点でC&Cサーバーは既に存在していなかったため、具体的な指令内容は不明という。

 DNSを使った遠隔操作マルウエアとC&Cサーバーとの通信をラックは「深刻な脅威」と位置付ける。DNS通信単体では異常がなく、各種セキュリティ対策製品で検知しにくいことや、多くの企業ではDNSのログを収集していないために事後調査が難しいこと、などが理由だ。

 対策としてラックは、DNSサーバーの負荷を確認しつつログを取得して不正なDNS通信の有無を解析することや、可能であれば組織内のDNSサーバーのみを使う設定に変えることなどを挙げる。「今後、他のマルウエアもDNSによる遠隔操作機能を備える可能性がある。HTTPの監視だけでは不十分である」とラックは注意を呼び掛けている。