JPCERT/CC Eyes

はじめに

Domain Name System（DNS）はインターネットサービスを使用する上で欠かせない基幹サービスであり、DNSが関連するセキュリティインシデントへの対処は、健全なインターネットを維持するために重要です。本ブログでは、JPCERT/CCもメンバーとして参加しているFIRSTのDNS Abuse SIGが、2023年2月に公開したDNS Abuse Techniques Matrixについて、その日本語版をJPCERT/CCが主体となり作成および公開したので紹介します。

2023年2月、FIRSTのDNS Abuse SIGが公開したDNS Abuse Techniques Matrix
- DNS Abuse Techniques Matrix
https://www.first.org/global/sigs/dns/DNS-Abuse-Techniques-Matrix_v1.1.pdf

2023年6月、JPCERT/CCが主体となり作成した日本語版
- DNSの不正使用手法に対抗するためのマトリックス
https://www.first.org/global/sigs/dns/DNS-Abuse-Techniques-Matrix_v1.1-ja.pdf

DNSの重要性に鑑み、DNSが関連するセキュリティインシデントへの対応方法などを説明するドキュメントはこれまでにも複数公開されています。 たとえば、ICANN Security and Stability Advisory Committee（SSAC）からは、2021年3月にReport on an Interoperable Approach to Addressing Abuse Handling in the DNSが公開されています。このドキュメントでは、DNSに関連したインシデントへの対応プロセスについての一般的な枠組みがDNS Ecosystemとして解説されています。また欧州委員会からは、2022年1月にEUの政策執行機関向けに、Study on Domain Name System Abuseが公開されています。このドキュメントでは、DNSに関する世界における取り組みや関連インシデントなどが解説されています。

今回公開したDNS Abuse Techniques MatrixはDNSに関連するインシデントの技術要素をまとめたドキュメントであり、これまで公開された他のドキュメントにはないいくつかの特徴があります。その特徴について以下で説明します。

DNS Abuse Techniques Matrixの特徴

本ドキュメントは、フィッシングや改ざんといった一般的なインシデントのカテゴリーではなく、ドメイン名の侵害やDNSキャッシュポイズニングといったDNSが不正使用される際に散見される特定の手法がベースになっており、各手法に関連するステークホルダーを検知・緩和・抑止の3つのフェーズそれぞれについてマトリックス形式でまとめています。各フェーズの行動内容をまとめると以下のようになります。

マトリックスは、縦軸に21種類の手法を、横軸にステークホルダーとして15種類の関係事業者・組織・人を並べ、どの手法に対してどのステークホルダーがどのような検知・緩和・抑止可能か、または不可かを把握できるようになっています。図1にマトリックスの例を表示します。

本ドキュメントの想定読者と本ドキュメントから得られるもの

本ドキュメントは、セキュリティインシデントに対処しているCSIRT関係者やシステム管理者、インシデントレスポンダーに向けた内容になっています。セキュリティインシデントに対応している際に、攻撃手法は特定できたとしても、誰に相談するといいのか迷うケースがあります。そのような時に、本ドキュメントを参考にそれぞれのステークホルダーへの連絡を検討いただければと思います。

また、本ドキュメントは国内だけでなく海外の意見も参考にしてまとめていることから、海外事業者にインシデント連絡もしくは相談をした際、どのような反応が期待できるのか、また対応されない可能性があるのか推測できます。さらにはDNSの不正使用がインターネットにどういう影響を及ぼしているのかについてもある程度把握できるかと思います。

おわりに

セキュリティインシデントは絶えることはないですが、日々それらインシデントの対処をされている方々がいます。このドキュメントが、DNSの不正使用に関連したインシデントに対応されているインシデント対応チームやCSIRTチームの活動、並びにDNSの不正使用の調査・研究における既存の取組の一助となれれば幸いです。