PR

 ボットネットの“司令塔”となるC&Cサーバーを次々と変える「ファストフラックス」。攻撃者が編み出した新手口だ。これに対抗すべく防御側では、「一方的な仮処分」という法制度を利用して、C&Cサーバーのドメイン名を差し押さえる。これにより、ボットネットとC&Cサーバーが通信できないようにして、ボットネットをテイクダウン(使用不能)に追い込む。

 ボットネットを悪用する攻撃者の常套手段の一つが「ファストフラックス」である(関連記事:[ボットネットと戦う2]“司令塔”を守る、脅威の「ファストフラックス」)。ファストフラックスを使うことで、ボットネットの司令塔となるC&Cサーバーを次々と変更し、テイクダウンを免れようとする。

 ファストフラックスのポイントは、C&Cサーバーへのアクセスにドメイン名を利用し、そのドメイン名に対応するIPアドレスを次々と変更することだ。

 ファストフラックスでは、C&Cサーバーを多数用意する。ボットネットを構成するウイルスには、IPアドレスではなく、ドメイン名でC&Cサーバーにアクセスさせる。このドメイン名の管理者である攻撃者は、ドメイン名に対応するIPアドレスを次々と変更することで、ウイルスがアクセスするC&Cサーバーを次々と変える。

 だが、工夫するのは攻撃者だけではない。防御側も工夫している。ファーストフラックスの対抗策として防御側が編み出したのが、「ドメイン名の差し押さえ」だ。C&Cサーバーを停止させるのではなく、ウイルスがC&Cサーバーにアクセスできないようにすることで、ボットネットをテイクダウンするのだ。

 ファストフラックスのように、C&Cサーバーがドメイン名で指定されている場合、ウイルスは直近のDNSサーバーに、そのドメイン名のIPアドレスを問い合わせる。直近のDNSサーバーは、そのドメイン名のコンテンツサーバー(権威DNSサーバー)に問い合わせてIPアドレスを取得。ウイルスに対して、C&Cサーバーに対応するIPアドレスを返す。この一連の流れの中で、ウイルスに対して偽のIPアドレスを返すようにすれば、ウイルスはC&Cサーバーにアクセスできなくなる。

 ただし、コンテンツサーバーをはじめとする全てのDNSサーバーはいずれも真っ当であり、C&Cサーバー以外のドメイン名やIPアドレス情報も管理している。それらのDNSサーバーに対して、偽のIPアドレスを登録するよう強制させることは通常はできない。