パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

ラック、遠隔操作ウイルスが攻撃者の指令伝達するサーバ通信にDNSプロトコル悪用を確認

  • 元記事:遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起
  • HP:ラック
  • 発表日時 2016/2/1

    特定の遠隔操作ウイルスが攻撃者の指令を伝達する指令サーバとの通信に、DNSプロトコルが悪用されているのを複数の大手企業から要請された遠隔操作ウイルスに関連する調査を行ったラックが確認し、DNSサーバの動作状況やDNSパケットの確認を行うよう注意を呼びかけている。
    これまでの遠隔操作ウイルスはHTTPプロトコルを使用してWebサーバを模した指令サーバが使用されているが、今回の調査ではDNSサーバを模したC&Cサーバを構築し、企業内ネットワークで動作する遠隔操作ウィルスの操作にDNSプロトコルを使用したDNSトンネリングの手口の利用が確認された。
    多くの企業はDNSプロトコルの制限を行っておらず、またシステムへの負荷を考慮して多くのDNSはログ収集を行っていないため、不正なリクエストや詳細を把握するのが困難になっている。また、DNS通信単体は以上があるわけではないことや、ウィルス対策ソフトでは検知できないため、深刻な脅威となっている。
    対応方法として、現在のDNSサーバへのアクセス状況を確認するため、アクセスログを取得して不正リクエストの有無を確認し、不正なDNSリクエストが確認された場合にはDNS通信を拒否することなどを挙げている。また、DNSアクセスの制限や不正パケットを送出しているクライアント特定、遠隔操作ウイルスの隔離などをするよう推奨している。




    ワンビは情報漏洩対策の専門家です。情報漏洩に関する様々な情報はこちらからどうぞ!

    おすすめ