DNS高速フラックスは、ドメインに関連付けられているIPアドレスを高速に入れ替えることで、フィッシング攻撃などの犯罪行為に使われる悪意のあるドメインのブロックを困難にする方法です。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
DNS高速フラックスとは、1つのドメイン名に複数のIPアドレスを関連付け、これらのIPアドレスを素早く入れ替えていく手法です。時には、数百、数千のIPアドレスが使用されることもあります。攻撃者は、DNS高速フラックスを使用して、Webプロパティを稼働させ続け、悪意のある活動の真の発信元を隠蔽し、セキュリティチームによってIPアドレスがブロックされることを阻止します。このテクニックは、ボットネットでよく使用されています。
攻撃者は、フィッシング攻撃、マルウェアのホスト、盗んだクレジットカード情報の販売、その他の違法行為を行うために、Webサイトを稼働させ続ける必要があります。DNS高速フラックスにより、悪意のあるドメインはより稼働時間が増え、ブロックが困難になるため、サイバー犯罪者はより多くの攻撃ができるようになります。基本的に、DNS高速フラックスは、悪意のあるドメインを「移動するターゲット」に変えるものです。
銀行強盗が逃走する場面を考えてみましょう。警察が強盗の運転する車を把握していれば、そのナンバーの車両を警戒して、街を離れる前に止めることができます。今度は、銀行強盗がトランクいっぱいのナンバープレートを持っていて、数キロごとにナンバープレートを変えて逃走する場合を考えてみましょう。警察が銀行強盗の車両を特定することは、はるかに難しくなります。DNS高速フラックスも同様の効果をもたらします。WebサイトのIPアドレスが常に変化するため、Webサイトを特定しブロックすることがはるかに難しくなります。
攻撃者は、そのドメイン名に関連付けられているDNSレコードを高速に変更することで、1つのドメイン名に複数のIPアドレスを関連付けます。IPアドレスは、数分または数秒ごとに登録と解除を繰り返し、新しいIPアドレスに置き換えられます。攻撃者は、DNSラウンドロビンと呼ばれる負荷分散技術を悪用し、各IPアドレスに非常に短いtime to live(TTL)を設定することでこれを行います。多くの場合、使用されるIPアドレスの一部または全部は、攻撃者が侵害したWebホストになります。これらのIPアドレスのマシンは、攻撃者のオリジンサーバーのプロキシとして機能します。
ラウンドロビンDNSとは、1つのドメインに対して、それぞれが独自のIPアドレスを持つ複数の冗長Webサーバーを関連付ける方法です。そのドメインの権威ネームサーバーがクエリーを受信すると、毎回異なるIPアドレスを返し、その結果、1つのWebサーバーが(理論上は)トラフィックで圧倒されることはありません。負荷分散はラウンドロビンDNSの正当かつ意図的な使用法ですが、攻撃者はこの機能を利用して、悪意のある活動をわかりにくくすることができます。
また、高速フラックスを利用する攻撃者は、これらのIPアドレスに非常に短いTTLを、時には60秒という短時間を設定します。TTLが切れるとそのIPアドレスはそれ以降そのドメイン名と関連づけから外れます。
ダブル高速フラックスは、DNSフラックスのもう一つの層を追加し、ドメインのブロックや悪意のある活動の発生源の追跡をさらに困難にしています。ダブル高速フラックスでは、権威ネームサーバーのIPアドレスも高速に変更されます。(これをより技術的に言うと、ドメインのDNS Aレコードと、ゾーンのDNS NSレコードの両方が常に変更されるということです)。
これは、先ほどの銀行強盗が、ナンバープレートを変え続けるだけでなく、車を乗り換え続けるようなものです。
DNSの高速フラックスを停止する最も効果的な方法は、単純にドメイン名をテイクダウンすることです。ドメイン名のレジストラは、さまざまな理由から必ずしもそれに協力的であったり、可能なわけではありません。
また、ネットワーク管理者は、ネットワーク内のユーザーに対して、自分たちが管理するDNSサーバーの使用を義務付けたり、悪意のあるドメインに対するクエリーをブラックホールに送る(破棄する)ことができます。この方法では、悪意のあるドメインは解決されず、ユーザーはそのドメインにアクセスすることができません。この技術は、DNSフィルタリングと呼ばれています。