関連性があると思われる分散型サービス拒否(DDoS)攻撃が、ここ数日、ドメイン名管理および DNS ホスティング サービスの少なくとも 3 つのプロバイダーの DNS サーバーを襲った。
DNSimple、easyDNS、TPP Wholesaleはいずれも月曜日に、DDoS攻撃を理由にDNSサービスの一時的な停止と性能低下を報告した。攻撃は数日前から始まっており、現在も継続しているケースもある。
オーストラリア最大手のウェブホスティング、ドメイン管理、その他のオンラインサービスプロバイダーであるシドニーに拠点を置くネットレジストリの子会社TPPホールセールは月曜日、自社のウェブサイトを通じて、8台のDNSサーバーで「予定外のサービス中断」が発生したことを顧客に警告した。
TPP Wholesaleは、過去数日間、DNSネームサーバーに対する一連のDDoS攻撃を受けたと、Netregistry Groupのセキュリティチームがブログ投稿で発表した。同社は、DNSクエリのレート制限という「思い切った措置」を講じることで、月曜日を通してサービス中断を引き起こしたDDoS攻撃を軽減することができたと、同チームは述べている。
このような積極的なフィルタリングは誤検知が発生しやすく、一部の顧客がDNSサービスの利用を拒否される可能性があります。「今後数日間、このような誤検知を発見次第、ホワイトリストに登録していきます」とチームは述べています。
第二波
トロントに拠点を置くDNSホスティングプロバイダーのEasyDNSも、月曜日にDDoS攻撃によるDNSサービスの中断を報告した。
「これは昨日の小規模なDDoS攻撃の大規模版のようです。おそらくテストだったのでしょう」と、同社のCEO、マーク・ジェフトヴィッチ氏は月曜日のブログ投稿で述べた。「今回のDDoS攻撃は、標的が当社の顧客ではなく、easyDNSである当社であるように見える点で、これまでの攻撃とは異なります。」
ジェフトヴィッチ氏は、実際のトラフィックとDDoSトラフィックを区別するのは困難だったものの、同社は攻撃を部分的に軽減し、影響を受けた顧客向けに回避策も公開したと述べた。「これはDNSプロバイダーにとって『悪夢のシナリオ』です。なぜなら、特定ドメインへの攻撃ではなく、easyDNS自体への攻撃であり、しかもその攻撃は極めて巧妙に構築されているからです」とジェフトヴィッチ氏は述べた。
3人目の犠牲者
フロリダ州マラバーに拠点を置くAetrionは、DNSホスティングサービス「DNSimple」を運営しており、こちらも月曜日に攻撃を受けました。DNSimpleの創設者であるアンソニー・イーデン氏によると、DDoS攻撃は現在も継続中だが、同社は被害を軽減することができたとのことです。
「当社の権威ネームサーバーは、サードパーティネットワークへの攻撃の増幅装置として利用されました」と、エデン氏は火曜日のメールで述べた。「攻撃者は、当社のDNSサービスが管理する様々なドメインに対して、実質的に『ANY』クエリを大量に送信し、これらの小さなクエリを増幅して、特定のネットワークを狙った非常に大きなレスポンスを生成することを意図していました。」
この攻撃手法は、DNSリフレクションまたはDNSアンプリフィケーションと呼ばれます。これは、多数のコンピュータから偽装した送信元IP(インターネットプロトコル)アドレス(通常は被害者のアドレス)を含むクエリをDNSサーバーに送信し、これらのサーバーから被害者のIPアドレスに短時間内に長い応答が送信されるように仕向けるものです。十分な数のコンピュータとDNSサーバーが使用されると、結果として生じる不正なDNSトラフィックによって、被害者の利用可能なインターネット帯域幅が枯渇します。
DNSリフレクション技術は古くから知られています。しかし、3月にスパム対策団体Spamhausを標的とした攻撃のように、前例のない規模のDDoS攻撃に利用されたことで、攻撃者の関心が再び高まっていると考えられます。
イーデン氏によると、DNSimpleが月曜日に経験した攻撃は、過去に同社のネームサーバーを襲った他の攻撃に比べて、規模も期間も大幅に大きかったという。
彼は、今回の攻撃はeasyDNSとTPP Wholesaleが経験した攻撃と関連していると考えています。「TPP Wholesaleのブログに表示されているパターンは、私たちが目にしているものと似ており、easyDNSと連絡を取り合っており、これらの攻撃に類似点が見られます。」
EasyDNS と TPP Wholesale は、自社のサーバーに対する最近の攻撃についての詳細情報と、DNS リフレクション技術が使用されていたことの確認を求める問い合わせにすぐには応答しませんでした。
攻撃と虐待の報告が増加
エデン氏は、他の企業が運営するDNSサーバーもこの攻撃の影響を受けた可能性があると述べた。「DNSプロバイダーは顧客数が非常に多いため、攻撃はより多くの人が影響を受けるため、より早く検知されます」と彼は述べた。
エデン氏によると、DNSimple の権威ネームサーバーは、Sharktech というサーバーホスティング会社またはその顧客に対する DDoS 攻撃を増幅するために使用されたという。
Sharktechは、ISPやホスティング会社から、自社のDNSサーバーに対するDDoS攻撃について苦情を訴える報告が過去24時間で急増していることに気づいたと、Sharktechの社長兼CEOであるティム・ティムラウィ氏がメールで述べた。同社はさらに調査を進め、これらの報告は実際には、これらの企業の権威DNSサーバーを悪用した、自社の顧客に対するDNSアンプ攻撃の結果であると判断したという。
影響を受けたDNSサーバーのほとんどは適切に保護されており、担当ドメインのクエリが送信されていたとティムラウィ氏は述べた。「攻撃者がオープンな再帰DNSサーバーを利用していた過去のDNSアンプ攻撃とは異なり、今回の攻撃では、攻撃者は見つけられる限りのDNSサーバーを収集し、標的ホストの送信元を偽装して、ドメインレコードのMX(およびその他のクエリ)を送信しています」とティムラウィ氏は述べた。
ティムラウィ氏は、シャークテックの顧客を標的とした増幅型DDoS攻撃の規模は40Gbpsを超えたと述べた。「攻撃の背後にある理由は不明です」と彼は述べた。
DDoS緩和プロバイダーであるArbor Networksのセールスエンジニアリングおよびオペレーション担当バイスプレジデント、カルロス・モラレス氏は、DNSリフレクション攻撃における権威ネームサーバーの悪用はそれほど一般的ではないと述べています。これは、攻撃者が悪用する各サーバーが管理するドメイン名を正確に把握する必要があるためです。この情報の入手はそれほど難しくありませんが、オープンDNSリゾルバーを悪用する場合と比べて追加の作業が必要であり、攻撃者は通常、目的を達成するために最も簡単な方法を好むとモラレス氏は述べています。
オープンDNSリゾルバは、インターネット上のあらゆるコンピュータからのクエリを受け入れるように設定された再帰DNSサーバーです。ユーザーと権威DNSサーバー間のリレーとして機能します。つまり、あらゆるドメイン名のクエリを受け取り、そのドメイン名を担当する権威ネームサーバーを探し出し、そのサーバーから取得した情報をユーザーに中継します。
一方、DNSimple、easyDNS、TPP Wholesale などが運営する権威ネーム サーバーは、自らがサービスを提供するドメイン名に関するクエリにのみ応答します。
十分に準備された攻撃者
こうしたサーバーをターゲットにするには追加の作業が必要であることから、これらの DNS ホスティング プロバイダーに対する最近の攻撃の背後にいる攻撃者は十分な準備を行い、事前に十分な調査を行っていたことがうかがえるとモラレス氏は述べた。
この種の攻撃に対する緩和策の一つとして、DNSサーバーソフトウェアを設定して、UDP(ユーザーデータグラムプロトコル)経由で送信されたすべての「ANY」クエリをTCP(伝送制御プロトコル)経由で再送信するように強制することが挙げられます。これは、TCビットを設定し、応答セクションを空にしたUDP応答を送信することで実現できます。正当なDNSクライアントはTCP経由で再試行しますが、偽のクライアントは何も得られないとエデン氏は述べています。
オープンリゾルバの場合、クエリを許可するIPアドレスを制限することでこの問題を軽減できるとモラレス氏は述べた。例えば、顧客向けにDNSリゾルバを運用しているISPは、その使用を自社ネットワーク内のIPアドレスのみに制限することができるとモラレス氏は述べた。
しかし、この種の緩和策は権威ネームサーバーには適用できないとモラレス氏は述べた。権威ネームサーバーは、インターネット上の誰もが、そのサーバーが提供する特定のドメイン名に関する情報を取得したい場合にクエリを実行することを想定しているからだ。エデン氏が説明した緩和策は非常に優れており、実際にアーバーも権威ネームサーバーの保護に使用しているとモラレス氏は述べた。また、送信元IPアドレスに対するクエリレート制限を強制することも緩和策の一つだとモラレス氏は述べた。
