株式会社ラックは1日、遠隔操作ウイルスに対する指令の伝達手段として、DNSプロトコルを悪用する事例を確認したとして注意喚起を行った。

ラックでは、2015年後半より複数の大手企業から、PCで不審なソフトウェアが動作しているとの調査依頼を受け、攻撃者との指令伝達にDNSを使用した遠隔操作ウイルスを確認した。

これまでの遠隔操作ウイルスでは、HTTP/HTTPSプロトコルを使用し、ウェブサーバーを模したC&C（指令）サーバーを使用する事例が大半だったが、今回、攻撃者はDNSサーバーを模したC&Cサーバーを構築し、企業内部で活動する遠隔操作ウイルスが、通常のDNSリクエストを模したパケットをC&Cサーバーに送ることで、指令を伝搬していたという。

DNSプロトコルは、ドメイン名からIPアドレスなどの情報を得るためにDNSサーバーとの通信に使用されるもの。インターネット接続に必要不可欠な技術であるため、大半の企業で同プロトコルの制限は行っていない。また、反応速度を重視し、DNSのアクセスログを保持していない企業が多く、攻撃者と遠隔操作ウイルスの更新状況を把握するのが困難だとしている。

ラックが調査した遠隔操作ウイルスは、感染したクライアントから、通常のものとは考えられないDNSパケットの送出が確認されている。ただし、DNS通信単体では特に異常は見当たらないため、次世代型ファイアウォールやプロキシ、IDSなどでの検知は困難だという。また、標的となる組織に特化して開発されていることが多く、ウイルス対策ソフトでも検知は非常に難しいとしている。

遠隔操作ウイルスによるDNSサーバーのアクセスを防ぐには、攻撃者が用意したDNSサーバーのドメイン名を知る必要がある上に、ドメイン名を知っていてもアクセスの制限は容易ではない。ウェブブラウザーやメール、メッセンジャーなどのアプリケーションを制限した業務端末であっても、遠隔操作ウイルスが実行できる機器であれば、DNSプロトコルを介して遠隔操作される危険があるため、深刻な脅威だとしている。

ラックでは、DNSのアクセスログの取得、ログ取得が難しい場合はDNS通信（UDP/53およびTCP/53）に対するパケットキャプチャーで不正なDNSリクエストがないかの確認を推奨している。もし、不正なDNSリクエストが確認された場合は、C&CサーバーとのDNS通信を拒否する必要がある。可能であれば、内部DNSでの名前解決を企業内部ネットワークに制限し、社外のDNSサーバーにフォワードしない設定の適用、ウェブサイトなどの閲覧はプロキシサーバー経由に制限するなどの対応策を挙げている。