このURL危険なの？Dossier活用によるDNSセキュリティ運用効率化

セキュリティ事業メニュー

セキュリティ事業
HOME

選ばれる
理由

サービス

取扱メーカー

事例・レポート・
ブログ・用語集

セミナー・
オンデマンド動画

TOP

製品・サービス

製品
サービス
- DNSで見るDDoS攻撃診断
- DNSで見る標的型攻撃診断

仕様・技術情報

仕様・技術情報

ソリューション

ソリューション
- InfobloxとFireEyeによる標的型攻撃対策
- DNSセキュリティ

ユーザー事例

サポート

- Macnica Support

セミナー・コンテンツ

評価機申込・FAQ

評価機申込
- Infoblox 評価機申込

資料請求

お問い合わせ

イベント・セミナー

オンデマンド動画

はじめに

SOCやCSIRTの活動において、ドメインの調査に苦労したという経験はないでしょうか。DNSセキュリティ製品(DNS-FW)を導入した場合でも、不正なドメインへの名前解決はブロックしてくれるのですが、なぜその通信がブロックされたのかの調査を求められたりするとなかなか大変です。今回はその一助となるツールをご紹介します。

DNSセキュリティ(DNS-FW)とは

ツールの説明をする前に、DNSセキュリティについておさらいしておきます。DNSセキュリティとは、インターネットへのアクセスの一番最初に行われるDNSで不正通信を検知するものです。(DNSサーバに対するDDoS攻撃等を防ぐタイプのものもありますが、本項では内部クライアントのDNS問い合わせに対してFW的動作をする製品について説明します)InfobloxのDNSセキュリティ製品であるBloxOne Threat Deffense(B1TD)はクラウド型とオンプレ型があります。それぞれ悪意のあるドメインのブラックリストを持ちそれに対するDNS通信がクライアントから来た場合に名前解決させないことで通信を行わせないようにするものです。また、振る舞い検知によるDNSトンネリングのブロックも可能で、DNSのみを使った情報流出も防ぐことが出来ます。

以下はクラウド版のWebコンソール画面で、脅威の検出状況をグラフィカルに確認することが出来ます。(以前Splunk連携でしか見られなかった情報が現在はWebコンソール上で見ることが出来ます。)

Dossier(ドシエ)とは

B1TDでは、Dossierという調査ツールを利用することが出来ます。

DossierはURLやIP、ドメイン、ファイルのハッシュ値などの情報から調査を行うことが出来るツールで、それらの脅威レベルや、現在もアクティブかどうか(過去C2サーバに使用されていたが現在は使用されていないなど)、ファイルの場合は、そのファイルのアンチウイルススキャン結果などを参照することが出来ます。また、ドメインとIPの組み合わせの履歴を表示したり、そのドメインに関するレポートやブログなどがあればそのリンクも表示してくれます。WHOISの情報やIPのジオロケーション情報も表示され、関連するURLやメールアドレス、IPアドレスといった情報はリンクとなっており、それをクリックすることで、どんどん調査を行っていくことが出来ます。

B1TDでブロックされたドメインを検索したり、あやしいURLが記載されたメールを受信したけど調査してという依頼に対して大変強力なツールとなるのではと思います。

では簡単に調査の流れをご紹介します。

「http://abcdefg.xxx/example/aa12345678/」のようなURLが記載されたメールを受信しました。このURLが問題のないものかどうかをDossierを使って確認してみましょう。

Dossierの検索ボックスにURLを入力します。するとこのURL結果が表示されます。結果は、72種類中10のアンチウイルスソフトにてマルウェアサイトであると診断されています。

この時点ですでに少し怪しいですが、次にこのURLのドメインについて調査したいと思います。ページ上部のリンクからドメイン情報のページへ移動します。

「CATEGORIZATINOS」の項目で、このドメインがどのようなカテゴリに分類されるかを確認できます。また、「Indicator Information」では、B1TDのどのフィードに含まれているのか、現在のステータスはどうかを確認できます。それぞれほとんどがマルウェアのダウンロードサイトだと診断しており、現在もアクティブであると表示されていますので、危険極まりないサイトであることがわかります。

また、WHOISの情報で、ドメイン登録者のメールアドレスが表示されていますので、これをクリックしてみます。このメールアドレスで他にも登録されているドメインが存在していた場合、その一覧を表示させることができるので、そこからいくつかのドメインをピックアップして調査することで、この登録者が悪意をもって何らかの攻撃を行っているかどうかをある程度推測することが出来ます。

その他の項目について一部解説します。

「Current DNS」では、現在のドメインの登録情報が表示されます。(IPやネームサーバなど。)「Timeline」では、このドメインが、いつWHOISに登録され、いつマルウェアサイトと認識されたかといった情報が時系列で確認できます。「Related URLs」「Related File Samples」では、関連するURLやダウンロードできるファイルが表示され、それぞれアンチウイルススキャンによる結果が表示されます。また、「Reports」では、関連したブログなどのサイトのURLリンクが表示されます。

まとめ

B1TDのドメインやURLなどの情報検索ツールであるDossierについて説明しました。DossierはAPIも提供しているので、そのあたりについてもいつか紹介できればと思います。また、B1TDのクラウドサービスは、頻繁に機能追加が行われているので、新しい機能についてもアップデートしていきたいと思います。

記事一覧はこちら

お問い合わせ・資料請求

株式会社マクニカ　Infoblox 担当

お問い合わせ資料請求

TEL：045-476-2010
E-mail：infoblox-sales@macnica.co.jp

月～金 8：45～17：30