Fastly エッジクラウドプラットフォーム

革新的なデジタルソリューション

DNS 増幅攻撃とは

DNS 増幅攻撃は、オープン DNS リゾルバを利用して増幅された UDP トラフィックを標的に大量に送信するリフレクション型の DDoS 攻撃です。

まずは、この攻撃の仕組みを見てみましょう。ドメインネームシステム (DNS) は、「example.com」のように人間が判読できるドメイン名を、デバイスがオンラインリソースにアクセスするために使用する数値の IP アドレスに変換します。この処理では、ネームサーバーを使用してドメイン名を解決し、適切な IP アドレスを返します。

DNS 増幅攻撃では、攻撃者は身元を偽装して標的サイトになりすまします。攻撃者は、小さなクエリ (通常、数百バイト程度) を、誰からのリクエストにも応答するオープンなネームサーバーに送信します。問題は、ネームサーバーが送信元ではなく、偽装対象の IP アドレスに対して大量のレスポンスを送信することで発生します。 

DNS 増幅攻撃の影響

DNS 増幅攻撃は、ビジネスに即時的および長期的な悪影響を与える可能性があります。これらの攻撃はインフラストラクチャを過負荷の状態にするため、サービスの停止を招き、リソースへのアクセスを制限し、長期にわたる脆弱性をもたらします。とくに、以下の主な影響に注意する必要があります。

  • サービスへのアクセスの中断 : ユーザーが重要な情報やサービスにアクセスできなくなり、カスタマーエクスペリエンスが損なわれ、ビジネスの信頼性が低下する可能性があります。 

  • 過度のネットワークリソースの消費 : トラフィックの急増により大量の帯域幅が消費され、インフラストラクチャ全体のスピードが低下します。これにより、従業員の生産性とユーザーエクスペリエンスの両方が影響を受け、大きな損害を発生させる遅延につながります。

  • 直接的なコストと潜在的な収益損失 : 攻撃への対処により支出が増え、サービスの中断によって機会損失が発生するため、収益に直接影響します。 

  • 顧客の信頼とブランドイメージの低下 : 頻繁な障害はビジネスの評判を損ね、より信頼性の高い製品やサービスへの乗り換えを顧客が求める原因となりかねません。 

  • サードパーティシステムへの巻き添え被害 : 接続されたアプリケーションや共有インフラストラクチャは、攻撃の直接の対象ではなくても、予期しない影響を受ける可能性があります。 

  • システムおよびネットワークのパフォーマンスの低下 : 攻撃の影響は長引くことが多く、是正措置が講じられるまでパフォーマンスが徐々に低下します。 

  • 他のセキュリティ上の弱点が露出 : これらの攻撃により、ネットワーク内に潜む脆弱性が明らかになり、さらなる悪用につながる可能性があります。

  • ITチームとセキュリティチームの負担 : 継続的なトラブルシューティングによってチームが疲弊し、他の重要なタスクに取り組む余裕がなくなります。 

DNS 増幅攻撃の検出

DNS 増幅攻撃を軽減するには早期検出が不可欠であり、初期段階で特定することで、広範な被害を防ぐことが可能になります。プロアクティブな監視ツールと戦略によって不審なアクティビティをすばやく検知し、攻撃が重大な被害をもたらす前に対応できます。以下の方法で潜在的なインシデントを検出できます。

  • DNS または UDP トラフィックの突然の急増を監視 : ネットワーク上で DNS クエリまたは UDP パケットが突然、予期せず急増した場合、自社サービスを標的とした活発な攻撃が発生している可能性があります。このような急増を監視することで、迅速に対応して影響を最小限に抑えられます。 

  • 応答の増幅をもたらすクエリのパケット内容を調査 : ネットワーク内を流れるデータパケットを詳しく調べることで、通常のトラフィックと一致しない異常な DNS クエリのパターンを特定できます。これらのパターンには、DNS 増幅を引き起こす脆弱性を悪用するように作成されたリクエストが含まれている場合があります。

  • 機械学習による異常検知 : 通常のネットワークの動作を理解する AI 搭載システムを活用することで、標準からの逸脱を自動的に検出することが可能になります。トラフィックパターンが予期せず変化した場合、機械学習のアルゴリズムによって潜在的な脅威を特定し、セキュリティチームにリアルタイムでアラートを送信できます。

  • サイズの大きい DNS レスポンスの追跡 : 特定のクエリタイプ (とくにトラフィックの増幅を引き起こす脆弱性に関係するもの) に対する過度の DNS レスポンスは、ネットワークが標的にされていることを示しています。トラフィック全体で一貫して大量のレスポンスが見られる場合、攻撃が進行中である可能性が高いです。 

  • DNS サーバーがレスポンスを返す送信元の多様化を監視 : DNS リクエストが通常の限られた送信元からではなく、突然、多様な多数のサーバーから発生している場合、リフレクション攻撃の兆候であり、トラフィックがリダイレクトされてシステムを過負荷にしようとしている可能性があります。

  • 増幅攻撃に悪用されやすいクエリタイプの増加を追跡 : 一般的なネットワークトラフィックと一致しない ANY レコードや TXT レコードなど、特定のクエリタイプで異常な急増がないか監視します。これは、攻撃者が増幅に悪用できる脆弱性についてお客様のネットワークをテストしていることを示す初期の兆候である可能性があります。 

  • 急激な帯域使用量の急増を検出 : ネットワークにおける原因不明の急激な帯域使用量の増加 (特に受信トラフィック) は、ネットワークが増幅攻撃によって過負荷の状態にある可能性を強く示しています。これらの急増を早期に捉えることで、攻撃が深刻化する前に防御策を講じることができます。 

DNS 増幅攻撃の防止と軽減

DNS 増幅攻撃に効果的に対抗するには、多層的なアプローチが必要です。単一のソリューションだけでは、このような DDoS 攻撃を完全に阻止することはできません。脆弱性を減らし、被害を軽減するために、企業はプロアクティブな戦略を採用する必要があります。包括的なソリューションには、技術的な設定、ネットワークコントロール、レスポンス計画に加え、より広範なサイバーセキュリティコミュニティ内での連携が含まれます。 

以下は、レジリエンス戦略の一環として検討すべき重要な対策の例です。

  • BCP38 の適用

BCP38 では、真正性を確保するために、送信元アドレスに基づいて IP パケットをフィルタリングするようにルーターを設定することが推奨されています。ネットワークの境界でイングレスフィルタリングを有効にすることで、DNS 増幅攻撃で使用される偽装アドレスを持つデータパケットを破棄し、深刻化する前にリフレクション攻撃を阻止できます。 

  • 安全な DNS サーバーの設定

DNS サーバーを適切に設定することで、増幅攻撃での悪用を防ぐことができます。ゾーン転送を、許可されたサーバーに制限し、不要な場合は再帰リゾルバを無効にしてゾーン転送オプションを保護することは、攻撃対象領域を減らすための重要なステップです。 

  • エニーキャスト DNS のデプロイ

権威 DNS サーバーを複数の地理的拠点に分散配置することで、攻撃トラフィックを分散し、単一のサーバーが過負荷になるのを防ぎます。エニーキャスト DNS により、攻撃者がインフラストラクチャの機能を停止させることが困難になるため、リフレクション攻撃の進行中でもサービスの可用性を維持しやすくなります。 

  • 単一 IP アドレスからのリクエストを制限

送信元の IP アドレスごとに許可される DNS クエリの数を制限することで、攻撃者が過剰なリクエストを送りつけてシステムを過負荷にするのを防ぐことができます。一般的なトラフィックパターンに基づいてレート制限を設定すると、DNS の悪用に対する強力な保護レイヤーを追加できます。 

  • 悪意のある DNS トラフィックのフィルタリング

悪意のあるパターンを示す DNS クエリを特定してブロックするためのフィルターを実装します。既知の攻撃手法をスクリーニングすることで、ネットワークが疑わしいリクエストに応答するのを防ぐことができます。新たな脅威に先手を打つことができるよう、これらのフィルターを定期的に更新します。

  • オープン DNS リゾルバへのアクセスを制限

DNS リゾルバへのアクセスを制限することで、許可されたユーザーのみがサービスを利用できるようになります。DNSSEC などの認証標準を実装し、攻撃者がオープンリゾルバをリフレクション攻撃に悪用するのを防ぎます。 

  • DNS レスポンスのレート制限 (RRL)

DNS サーバーが同一のレスポンスを送信するレートを制限することで、増幅攻撃における悪用の可能性を低減できます。この戦略により、潜在的な DDoS 攻撃トラフィックの増加に加担することなく、ネットワークの応答性を維持できます。 

  • 継続的な DNS トラフィック分析

DNSトラフィックを定期的に監視することで、不規則な挙動を迅速に特定できます。自動アラートが異常なパターンを警告し、攻撃が重大な被害を引き起こす前に、セキュリティチームが素早く対応できるようにします。 

  • 専門的な DDoS 攻撃対策サービス

Fastly などのサードパーティの DDoS 攻撃対策プロバイダーは、複雑な攻撃に対処できる高度な緩和ソリューションを提供します。これらのサービスは、24時間365日のサポートと DDoS 攻撃からの保護に特化したツールを提供し、大規模な脅威に直面した際に追加のセキュリティレイヤーを提供します。さまざまなサービスを評価することで、防御を強化するための最適なパートナーを選択できます。

  • 定期的なセキュリティ監査

悪用される前に脆弱性を特定するためには、DNS インフラストラクチャと技術的なコントロール機能の定期的な監査が不可欠です。弱点にプロアクティブに対処することで、進化する攻撃手法に対するシステムのレジリエンスを確保できます。 

  • アクセス制御リスト (ACL) の実装

アクセス制御リストを実装することで、DNS リゾルバにアクセスできる IP アドレスとサブネットをコントロールできます。ブロックリストと許可リストにより、権限のない第三者がサーバーとやり取りするのを防ぎ、保護を強化します。 

  • Next-Gen WAF のデプロイ

DNS のトラフィックパターンを分析する Web アプリケーションファイアウォール (WAF) をデプロイすることで、重要なシステムに到達する前に悪意のあるリクエストをブロックできます。WAF と脅威の定義を定期的に更新することにより、最新の攻撃手法に対して効果的な防御を維持できます。

Fastly のソリューションが DNS 増幅攻撃からの保護に優れている理由

Fastly の包括的な DDoS 攻撃ソリューションNext-Gen WAF は、DNS 増幅攻撃に効果的に対抗できるように最適化されています。Fastly プラットフォームのグローバルなエッジセキュリティネットワークは、エンドユーザーの近くで DNS トラフィックを検査し、悪意のあるクエリが顧客のインフラストラクチャに到達する前に検出してブロックします。Fastly のセキュリティソリューションを導入することで、さらに以下のメリットと機能が得られます。

  • 攻撃トラフィックの吸収 : Fastly のグローバルな配信拠点 (POP) ネットワークが、受信した攻撃トラフィックを複数の POP に分散し、単一ノードへの負荷を軽減します。 

  • リアルタイムのトラフィック監視 : 高度な分析ツールにより、脅威の発生時に異常をリアルタイムで検出できます。SmartParse 検出エンジンは、誤検知を最小限に抑えながらトラフィックパターンを分析します。 

  • 特化した DNS 防御 : Fastly のセキュリティソリューションには、増幅の試みを含む DDoS 攻撃からの保護に特化した機能が含まれます。

  • カスタマイズ可能なセキュリティルール : Fastly では、お客様固有のニーズに合わせて設定を調整することが可能です。この柔軟性により、お客様の環境固有の条件やリスク要因に正確に対応できるルールを適用できます。

  • 脅威への自動対応 : 危機的な状況で貴重な時間を無駄にすることなく、Fastly が自律的に緩和措置を実施します。より迅速に脅威を軽減し、新たに発生する問題による被害の可能性を低減できます。

  • API ベースのセキュリティコントロール : プログラムによるアクセスにより、プロセスと自動化ワークフローをスムーズに統合できます。

  • 継続的な防御の更新 : Fastly のインテリジェンスと防御戦略は定期的に調整・改善されるため、新たな脅威からの保護を強化できます。

  • パフォーマンスを最適化したセキュリティ対策 : Fastly は、期待されるサービスのスピードと質を維持できる、堅牢なマネージドセキュリティを提供します。エンドユーザーに違和感を感じさせることなく、包括的な保護を実現できます。

早速、無料デモをリクエストして、Fastly が DNS 増幅攻撃の検出、防止、緩和において、お客様やエンドユーザーの体験を損なうことなく優れた効果を発揮できる理由をご覧ください。

始める準備はできましたか?

ぜひご連絡ください