DNSトンネリング 【DNS tunneling】

マルウェア感染などにより遠隔から操作できるようになったクライアントが攻撃者の用意した司令サーバ（C&Cサーバ）と通信を行う手法の一つで、ドメイン名の問い合わせに用いるDNSクエリやDNSレスポンスの一部に指示や応答を埋め込んで送受信する。

攻撃者は何らかの方法でドメイン名を取得し、インターネット上に権威DNSサーバを用意する。クライアント上で動作する攻撃プログラムはそのドメイン名へのDNSクエリを発し、内容の一部としてC&Cサーバへの通信文を紛れ込ませる。攻撃者のDNSサーバは通信文を解析し、DNS応答を装ってクライアントへの通信文を送り出す。

このやり取りを繰り返すことにより、クライアントが収集した情報の送信、攻撃プログラムの送り込み、サーバからの操作指示、奪取した機密情報の報告などが行われる。ただし、DNSはデータ伝送用ではないため、一回に少量のデータしか送受信できない。

DNSは通常のインターネット利用に不可欠のサービスであるため、ネットワーク境界で遮断されることは稀で、通信内容の精査も行われないことが多いため、利用者や管理者に気づかれにくい伝送経路として機能する。1990年代末から知られている手法だが、万全な対応策はなく現代でも用いられている。

関連用語

DNS

【Domain Name System】

HTTP

【Hypertext Transfer Protocol】

IPアドレス

【Internet Protocol Address】

アルゴリズム

【algorithm】

インターネット

【Internet】

クライアント

【client】

サーバ

【server】

トラフィック

【traffic】

ファイアウォール

【firewall】

プロトコル

【protocol】

クエリ

【query】

DNSサーバ

【DNS server】

リゾルバ

【resolver】

アクセス

【access】

サイバー攻撃

【cyberattack】

コンピュータ

【電子計算機】

マルウェア

【malware】

トンネリング

【tunneling】

ネットワーク

【network】

データ

【data】