オープンリゾルバ（Open Resolver）とは何か？オープンリゾルバを悪用したサイバー攻撃についても解説

2023年5月17日

1. オープンリゾルバとは
2. オープンリゾルバを悪用したサイバー攻撃
3. オープンリゾルバを悪用したサイバー攻撃への対策
4. 参考

オープンリゾルバとは

オープンリゾルバ（Open Resolver）とは、インターネット上で公開状態になっているリゾルバのことで、不特定のクライアントからの名前解決要求に対して答えが得られるまで繰り返し問い合わせを行います。

リゾルバとはクライアントからの名前解決要求をDNS (Domain Name System)サーバーへ照会して、ドメイン名とIPアドレスを相互に変換するソフトウェアです。
通常、リゾルバは組織の内部にあり、内部クライアントからの問い合わせのみを許可します。
しかしながら、組織内のリゾルバが外部からの問い合わせにも応じるオープンリゾルバになってしまうことがあります。
管理者のDNSの仕組みについての認識が不足していたり、サーバーの設定を誤っていたりする場合です。
また、ブロードバンドルータなど外部からの問い合わせを受け付ける必要のないネットワーク機器も初期設定のままになっており問い合わせを受け付けていることがあります。
このように本来の意図とは別に、管理者やクライアントが気づかないうちにオープンリゾルバとなっていたというケースも多く報告されています。

オープンリゾルバを悪用したサイバー攻撃

DNSにおける通信の性質が狙われ、オープンリゾルバがサイバー攻撃の踏み台として利用されています。
DNSの名前解決要求で利用されるプロトコルがUDP（User Datagram Protocol）です。
UDPは速度を重視しているため、送信元は送ったデータが送信先に届いたかを確認せず次々とデータを送ります。
このようなUDPの性質を悪用したサイバー攻撃にDDoS（Distributed Denial of Service attack）攻撃があります。

DDoS 攻撃

DDoS攻撃は「分散型サービス拒否攻撃」とも呼ばれ、多数のオープンリゾルバに対して名前解決要求を行います。
名前解決要求を受け付けた複数のオープンリゾルバは、攻撃対象のネットワークやサーバーに大量の応答を送ります。
その結果、攻撃対象のネットワークやサーバーは過負荷となりサービスが停止することがあります。
DoS攻撃は１台のコンピュータから攻撃しますが、DDoS攻撃は複数のコンピュータを踏み台にした攻撃であることが特徴です。

リフレクター攻撃

リフレクター攻撃はDDoS攻撃の一種です。
「リフレクション攻撃」、「アンプ攻撃」とも呼ばれています。
送信元のIPアドレスを偽装して名前解決要求を行い、オープンリゾルバによって増幅された応答パケットを間接的に攻撃対象に送り付けます。
リフレクター攻撃は、踏み台となるネットワークやサーバーをリフレクター（反射鏡）として利用して応答パケットを増幅させているのが特徴です。

実際にあったDDoS攻撃

2013年３月、当時最大規模のDDoS攻撃がスパム対策組織であるSpamhaus Projectに対して行われました。
攻撃の規模はピーク時で300Gbpsに達しました。
史上最大ともいわれるDDoS攻撃は2017年９月に発生しています。
Googleが標的となった攻撃で、その規模は2.54 Tbpsに達しました。
単発的な攻撃ではなく、過去６か月間に渡って複数のDDoS攻撃が行われていました。

オープンリゾルバを悪用したサイバー攻撃への対策

有効な対策は、必要のないオープンリゾルバをなくすこと、意図せずにオープンリゾルバとなっていないかを確認することです。
DNSの応答機能を持つサーバーやネットワーク機器は設定を無効にしたり、不必要なDNSの再帰問い合わせに応答しないようにします。
ソフトウェアはバージョンを更新して最新状態を保ちます。
オープンリゾルバになっていないかどうかは、「オープンリゾルバー確認サイト」で確認できます。
確認サイトが対象としているのは、使用しているコンピュータに設定されているDNSサーバーと、確認サイトへの接続元となっているネットワーク機器です。
多くのオープンリゾルバを探すような操作はセキュリティインシデントとして扱われる可能性があるので注意が必要です。

オープンリゾルバー確認サイト

参考

https://www.nic.ad.jp/ja/basics/terms/open-resolver.html（2023年５月10日確認）
https://www.nic.ad.jp/ja/dns/openresolver/（2023年５月10日確認）
https://eset-info.canon-its.jp/malware_info/term/detail/00053.html（2023年５月10日確認）
https://www.cloudflare.com/ja-jp/learning/ddos/famous-ddos-attacks/（2023年５月10日確認）

技術ネットワーク

Posted by promapedia