POODLE等の問題の影でDNSにも問題が指摘されていた2014年

　世間がShellShockやPOODLEなどで騒がしかった頃、セキュリティや通信業界の中では別の問題も持ち上がっていた。それは「DNS水責め」攻撃という問題だ。

　DNSサーバーへのDDoS攻撃に分類されるこの攻撃は、2014年1月から観測されはじめた。国内では2014年夏ごろに、DNS水責め攻撃と思われるトラフィックによって、複数のISPがDNS障害を被ったと見られている。

　DNS水責め攻撃の特徴とは何か。それは特定のサーバーではなく、DNSの権威サーバー標的にしている点だ。

　その他のDNS利用のDDoS攻撃は、DNSサーバーへの問い合わせを悪用して、標的サーバー（Webサイト）に対して、大量の応答パケットを送り付けてサーバーの負荷を重くするのが一般的だ。

　対してDNS水責め攻撃では、攻撃に対応する大量の応答パケットのパターンが確認されない。不審なパケットは確認できるのだが、直接の攻撃となるパケットが確認されないのだ。分析の結果、この攻撃の目的は、権威DNSサーバーの負荷を上げ、標的サーバーをアクセスしにくくしているのだろうと考えられている。

DNSの正規機能を利用することで対策しにくくする

　なぜ、このような回りくどい攻撃をするのだろうか。DNS水責め攻撃では標的サーバーに直接大量のパケットが届かないので誰が、どのサーバーを攻撃しているのかが分かりにくい。DNSゾーンを管理する権威DNSサーバーの負荷が増えると、影響は標的サーバー以外にも及ぶ。このことも標的がどこなのかをわかりにくくしている。一般的なDDoS攻撃に比べて対策がとりにくいのだ。

　また、通常権威DNSサーバーに問い合わせするのは、ゾーン内に分散しているキャッシュDNSサーバーである。キャッシュDNSサーバーは、各端末からのドメイン名の問い合わせのうち正しいIPアドレス情報を知らない場合、それを権威サーバーに問い合わせる。そして、権威サーバーからIPアドレス情報もしくは正しい情報を持っている他のDNSサーバーを教えてもらう。

　このキャッシュDNSサーバーと権威サーバーのやりとりは、DNSの仕様からはまったく正しいものであり、悪意の有無は識別できない。キャッシュDNSサーバーからの問い合わせはフィルタリングなどの対策がとりにくいのだ。結果として、悪意のある問い合わせが含んでいることがわかっていても、攻撃を効果的に止めることができないことになる。

　このDNSへの攻撃が「水責め攻撃」といわれるのは、大量のパケットを直接送り付けるのではなく、名前解決のコストが高いとされる権威サーバーへの問い合わせを意図的に多く発生させる手法を、中国の拷問のひとつであえる水責め（額に水滴を垂らし続ける）になぞらえてのことだ。

【次ページ】柔軟で可用性が高いゆえの脆弱性を持つDNS