狙いはG7サミット？DNSキャッシュサーバーを悪用した企業・官庁へのDDoS攻撃多発

DNS水責め攻撃は2014年頃から確認されており、本来は自組織やISPの契約ユーザーからのリクエスト処理のみを許可するDNSキャッシュサーバーにおいて、任意のアクセス元IPアドレスからの問合せを受け付ける設定になっている、いわゆる「オープンリゾルバー」状態のキャッシュサーバーを多数悪用し、ターゲットとなる組織等のドメイン名情報を返すDNSサーバー(権威サーバー・コンテンツサーバー)に大量のリクエストが送り付けられるよう仕向ける攻撃です。

キャッシュサーバー側でも「qwerty12345.target.example」「asdfgh67890.target.example」等、先頭にランダムな文字列を含めたFQDNでのリクエストを大量に受けるため、キャッシュした結果を返すことができず、都度権威サーバーにリクエストを送信させられることになります。

DNSのオープンリゾルバ―問題はメールサーバーのオープンリレー問題とともに攻撃者に踏み台にされる等の恐れがある古典的な問題であり、今回のような攻撃にも悪用されないよう、組織内で使用しているDNSキャッシュサーバーの設定を厳密に確認する(モバイル回線等第三者ネットワークを利用してリクエストを受けないか診断する等も有用です)ことが肝要ですが、他にも詐称されたアクセス元IPアドレスからのリクエストが本来来ないようなネットワークから飛んでくる可能性や、家庭用ブロードバンドルーター等にもDNSキャッシュサーバー機能が備わっており、設定次第では外部からリクエストを受け付けるオープンリゾルバ―状態となる可能性にも注意を払うべきでしょう。

3月24日、システム内において、保存する添付ファイルの拡張子を大文字から小文字に変更する機能が追加された際、不要な添付ファイルを削除
する既存のプログラムが、拡張子が小文字の添付ファイルを誤って不要なファイルと判断し、削除したことが原因としています。

追加機能は必要な社内手続き(運用テスト、社内審査等)を経ずに適用され、かつ開発・運用担当者間で適用の事実が共有されていなかったこと、バックアップが3日間の保存で、4月9日の削除発生後、判明したのが同13日だったため、復旧に用いることができなかった等の問題が明らかになっ
ています。

サイバー攻撃以外の運用上の問題ながら、完全性・可用性に拘ったものといえ、システムに関わっている全ての機能について担当者が把握し、機能間の齟齬でデータ消失等のトラブル、さらには外部からの侵入や情報流出を許す状態が発生しないようとりまとめる体制は不可欠でしょう。