主要DNSサーバのトラフィックが急増、サイバー攻撃の兆候の可能性

　米国時間2月6日、インターネットのバックボーンの重要部分が悪質なハッカーの攻撃を受けた徴候が確認された。しかしセキュリティ専門家によると、今のところ被害はないようだ。

　問題の攻撃はドメイン名システム（DNS）を狙ったもようだ。DNSは、「News.com」といったテキストベースのドメイン名をインターネットに接続しているサーバのIPアドレス（数字の組み合わせで表現される）に変換、あるいはその逆の変換を行うものだ。そして、複数の専門家が6日未明、こうしたDNSサーバのうちの重要な何台かについて、トラフィックの急増を確認した。これはサイバー攻撃の兆候だ。

　ルートサーバと呼ばれる主要なDNSサーバの1つを管理する団体、Internet Corporation for Assigned Names and Numbers（ICANN）で最高技術責任者（CTO）を務めるJohn Crain氏は「尋常ではない規模のトラフィックがDNSサーバを攻撃している。ときおり大規模な攻撃が確認されることもあるが、今回はかなり多くのサーバに異常なトラフィックが発生しており、かなり大規模と言える」と話している。

　ただし、Crain氏は、DNSサーバが激しい攻撃に耐えたことを強調し、次のように述べた。「腹の立つ話だ。おかげでわたしは睡眠を邪魔された。複数のシステムで同時にこのようなことが起こるのは、まったく異例のことだ。しかし、インターネットユーザーにこの攻撃の影響は出ていない」

　DNSは、インターネットのアドレス帳のようなものだ。正式なルートDNSサーバは13台あり、DNS階層の最上位に位置している。これらのルートサーバは、インターネットサービスプロバイダ（ISP）などに置かれた他のDNSサーバが、あるウェブサイトに該当するIPアドレスを持っていなかった場合にのみ、クエリを受け取る。

　DNSの一部が機能を停止すると、ウェブサイトにアクセスできなくなったり、メールが配信できなくなったりするおそれがある。しかしDNSには柔軟性を持って構築されているので、DNSに対する攻撃はめったない。2002年に同様のサービス拒否（DoS）攻撃が発生したが、これも失敗に終わっている。

　Symantec Security Responseの研究員、Zully Ramzan氏は「重要なのは、一般の（インターネット）利用者にほとんど影響が及ばなかったことだ。サーバは攻撃に持ちこたえた」と指摘する。「そもそも、インターネットは核攻撃があってもダウンしないネットワークとして設計されているはずだ」

　DNSシステムを狙ったとみられるデータトラフィックの集中攻撃は、6日の午前2時30分（米国太平洋標準時）ごろから始まった。このとき、複数のルートサーバがトラフィックの異常な増加を確認している。Ramzan氏によると、なかでも特に集中して攻撃を受けたのが、米国防総省（DoD）が運用する「G」サーバと、ICANNが運用する「L」サーバだったという。ICANNのCrain氏も、この事実を認めている。

　今回の攻撃について、ICANNとSymantecではインターネットへの影響はほとんどなかったとしているが、実際にはISPの1つ、Neustarで通信速度の減速が確認されている。同社では「機能停止ではなく、機能低下と呼ばれる現象だ。機能はいっさい停止していないが、影響は明らかにあった」との見解を示している。

　Ramzan氏とCrain氏の両氏とも、トラフィック急増の本当の原因はまだ特定されていないと述べている。

関連記事

• DNSサーバを不正操作するフィッシング手法が出現--専門家が警告 - 2005/03/09 12:34:59
• ベリサイン、DNSルートサーバの数を3倍に--冗長性と信頼性の向上をねらう - 2005/05/20 17:46:38
• シスコのIP電話に脆弱性--異常なDNSパケットで機器停止のおそれ - 2005/05/25 22:01:01
• 大規模な「DNSキャッシュ汚染」攻撃の可能性--専門家が警鐘 - 2005/08/05 13:45:37
• 英調査：DNSサーバの約2割に「DNSキャッシュ汚染」のおそれ - 2005/10/26 12:10:00
• DNSサーバを悪用したDoS攻撃が台頭 - 2006/04/04 15:48:01
• 米政府はDNS管理の民間移行に前向き--商務省発言 - 2006/07/27 22:55:01