公開日:

更新日:

DNSリフレクション攻撃とは?概要と手口、対策をわかりやすく解説

DNSリフレクション攻撃とは

インターネットの普及とともに、さまざまなサイバー攻撃が日常的に行われるようになりました。その中でも「DNSリフレクション攻撃」は、特に悪質かつ破壊力の高い攻撃手法の一つとして知られています。DNSリフレクション攻撃は、攻撃者が偽装したDNSリクエストを利用してターゲットに大量のトラフィックを送りつけ、サービスを一時的にダウンさせることを目的としています。

本記事では、DNSリフレクション攻撃の概要やその仕組み、具体的な手口、さらには有効な対策方法について詳しく解説します。

DNSリフレクション攻撃とは

DNSリフレクション攻撃は、DNSサーバーを利用した分散型サービス拒否(DDoS)攻撃の一種で、攻撃者が偽装したリクエストを送り、ターゲットに大量の応答を返す手法です。この攻撃は、攻撃者が自分のIPアドレスを隠すためにDNSサーバーを悪用することから、その名が付けられました。結果として、ターゲットのネットワークやサーバーに過剰な負荷がかかり、サービスが停止する可能性があります。

関連記事
DDoS攻撃とは?概要や特徴、対策をわかりやすく解説

DNSリフレクション攻撃の仕組み

DNSリフレクション攻撃の仕組みは、攻撃者がターゲットのIPアドレスを偽装して、大量のDNSリクエストを送信することから始まります。このリクエストは、オープンリゾルバと呼ばれる誰でもアクセス可能なDNSサーバーに送られます。オープンリゾルバは、攻撃者の偽装されたリクエストに応答し、その結果として大量のDNS応答がターゲットに返されます。これにより、ターゲットのネットワークやサーバーが過負荷状態になり、サービスが停止します。

DNSリフレクション攻撃の手口

権威DNSサーバーを利用

攻撃者は、権威DNSサーバーを利用してリフレクション攻撃を行います。権威DNSサーバーは、特定のドメインに対する公式のDNS応答を提供するサーバーです。攻撃者は、ターゲットのIPアドレスを偽装して権威DNSサーバーに大量のリクエストを送り、応答をターゲットに返すことで攻撃を実行します。この方法は、正当なDNSトラフィックに紛れるため、検出が困難です。

オープンリゾルバを利用

攻撃者は、オープンリゾルバを悪用してDNSリフレクション攻撃を行います。オープンリゾルバは、誰でもアクセスできるDNSサーバーであり、攻撃者はターゲットのIPアドレスを偽装してリクエストを送信します。これにより、オープンリゾルバから大量の応答がターゲットに送られ、ネットワークやサーバーが過負荷状態になります。この手法は簡単に実行できるため、攻撃者にとって非常に魅力的です。

DNSリフレクション攻撃の対策方法

使用していないポートは閉じる

DNSリフレクション攻撃の対策として、使用していないポートを閉じることが重要です。これにより、攻撃者が不正にアクセスする可能性を減らすことができます。特に、DNSトラフィックが通過するポート53を監視し、不正なトラフィックを検出することが有効です。

レートリミットを設ける

レートリミットを導入することで、特定のIPアドレスからの大量のリクエストを制御し、DNSリフレクション攻撃を防ぐことができます。この対策により、攻撃者のトラフィックを制限しネットワークの安定性を保つことができます。

IPレピュテーションを活用してブロックする

IPレピュテーションを活用して、悪意のあるIPアドレスからのトラフィックをブロックすることができます。これにより、既知の攻撃者からのリクエストを事前に遮断し、DNSリフレクション攻撃のリスクを低減します。

オープンリゾルバ機能の停止

オープンリゾルバ機能を停止することで、攻撃者がDNSリフレクション攻撃に利用するリソースを削減できます。これにより、外部からの不正なリクエストを防ぎ、攻撃の成功率を下げることができます。

権威DNSサーバーとキャッシュDNSサーバーを分離する

権威DNSサーバーとキャッシュDNSサーバーを分離することで、攻撃者が一方のサーバーを攻撃しても、他方に影響を及ぼすことを防ぐことができます。これにより、サービスの継続性を確保しやすくなります。

DNSリクエストの送信元を検証する

DNSリクエストの送信元を確認することで、攻撃者の偽装リクエストを排除し、DNSリフレクション攻撃の影響を軽減することができます。この対策により、正当なトラフィックのみを許可しネットワークの安全性を確保できます。

アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne)のおまかせ運用を実現します。

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。

アクトのイバーセキュリティ対策支援

アクトでは日頃のIR・SOC業務で多くの知見を持つ当社サイバーセキュリティ事業部のスペシャリストが、業さまのセキュリティに関する不安を解消するため、全力でサポートさせていただいております。

サイバーセキュリティ対策を徹底したい方

EDR+SOCサービス
EDR+SOCサービス(補助金活用も可能)

SentinelOneといったグローバルブランドのEDRとアクトのセキュリティ専門技術者がPCなどのエンドポイントの挙動を監視し、ランサムウェアをはじめとしたサイバー攻撃を抑止・駆除します。

何から始めれば良いかわからない方

セキュリティかかりつけ医
セキュリティかかりつけ医

医療分野のかかりつけ医と同様に、セキュリティに関することを何でも相談でき、「何から始めれば良いかわからない」といったお悩みに対しても、当社のセキュリティ専門技術者がご対応します。

サイバー攻撃の疑い・緊急対応が必要な方

フォレンジックサービス
フォレンジックサービス

フォレンジックサービスはサイバー攻撃の被害を受けている疑いがあるお客様の端末を調査し、被害の食い止め・排除を行うサービスです。アクトはSentinelOneの国内唯一のIRパートナーです

自社環境の健康診断をしたい

脆弱性診断
脆弱性診断サービス

CEH、CISSP等の国際資格を保有したセキュリティ専門技術者が、貴社のIT資産に潜む脆弱性を調査・検出し、検査結果と今後の対応策をご報告させていただきます。人とツールを用いたハイブリットな診断手法で最新の脆弱性にも対応します。

社員研修やトレーニングを行いたい

セキュリティコンサル・トレーニング
セキュリティトレーニング

サイバー先進国であるイスラエルの実践的なトレーニングをはじめとした、グローバルレベルのトレーニングプログラムを提供しています。
・セキュリティeラーニング/標的型メール訓練など

もしもの時に備えたい

データお守り隊

独立行政法人情報処理推進機構(IPA)に認定されているEDR+SOC+簡易サイバー保険がセットになったセキュリティサービスです。
ランサムウェアなどによる不審な挙動を検知・緊急時の迅速な対応を可能にします。

サイバーセキュリティ対策まるわかり3点セット 資料ダウンロード