ＭＣセキュリティ｜新世代の情報セキュリティ

インターネットを利用する上で必ず見かける「mcsecurity.co.jp」のような「ドメイン名」と呼ばれる文字列ですが、どのような仕組みで動いていて、どのように接続するかご存じでしょうか？

例として、http://mcsecurity.co.jp/ のページに接続する状況を考えてみます。

• 1. ブラウザにhttp://mcsecurity.co.jp/ と入力する
• 2. OSが「mcsecurity.co.jp」のIPアドレスを知るために、パソコンに設定されたDNSサーバに問い合わせる
• 3. DNSサーバからIPアドレスの回答が返ってくる
• 4. 回答されたIPアドレス宛にhttp://mcsecurity.co.jp/ のページリクエストを送る
• 5. http://mcsecurity.co.jp/ の内容が返される

このように、インターネットを利用する上でDNSは様々な通信の始めに行われる重要な通信です。

もしDNSサーバに接続できなくなり、IPアドレスの回答が得られないと、様々なサイトやサービスが利用できなくなります。

最近では、新しいサイトやサービスが生まれる度に、特徴的な文字列やサービス名などのドメイン名を取得して、利用されるケースが増えています。また、ドメイン名の末尾の文字列であるトップレベルドメイン(.jpなど)にも新しい種類が増え、新しいドメイン名を取得しやすい環境となっています。

その一方で、ウイルスの配布や、攻撃に利用されるサーバにおいても、様々なドメインが使われ、一見するとランダムな文字列のような文字列や、有名なサービスに似せたドメイン名などを取得して利用されるケースが増えています。

最近では、セキュリティ対策としてDNSの履歴(ログ)を取得するように推奨されていますが、ログファイルが膨大になってしまうため、セキュリティ事象が発生した際の確認や調査に利用される用途がほとんどです。

NetStableでは、ウイルスのダウンロードで利用されたドメイン、ウイルス感染後の情報の送信先として利用されたドメイン、DNSサーバへの攻撃通信などを遮断するシグネチャを作成しています。

• ウイルスに関する通信を遮断するシグネチャ 161個
• DNSサーバへの攻撃通信を遮断するシグネチャ 32個

このシグネチャが検出された際は、端末とDNSサーバのIPアドレスが記録されます。
検出された際は、直前に見ていたWebサイトなどが改ざんされていたり、ウイルスに感染している可能性があります。
端末のウイルスチェックを行い、改ざんサイトにアクセスしていないか確認を行って下さい。

このシグネチャでは、端末とDNSサーバのIPアドレスが記録されますが、社内にサーバがある環境、例えば「プロキシサーバ」や「Active Directoryサーバ (ADサーバ)」などがある環境では、接続する際の通信先が変わるため、記録されるIPアドレスが変わります。

• プロキシサーバ環境の場合

プロキシサーバ環境の場合、パソコンからDNSの通信は発生しません。
全てのHTTP通信がプロキシサーバに一旦送られ、そこからDNSの通信、ページリクエストが行われます。

• Active Directoryサーバや社内DNSサーバがある場合

Active Directoryのサーバは、ほとんどの場合社内DNSサーバとして動作しています。
社内DNSサーバ環境の場合、パソコンのDNSサーバ設定は社内DNSサーバとなっているので、全てのDNS通信が社内DNSサーバに一旦送られ、そこから外部のDNSサーバに通信が行われます。

• DNSは通信の始めに行われる、接続するIPアドレスを知るための通信
• 様々なドメインが簡単に取得出来るようになり、便利で分かりやすくなった一方、悪用もされている
• プロキシサーバや社内DNSサーバの有無で、DNS通信が発生しない場合があったり、検出されるIPアドレスが変わる場合がある