論文抄録

近年, DNS アンプ攻撃による被害が深刻化しており, 早急な対策が求められている. 我々は, DNS アンプ攻撃を観測する手法として DNS ハニーポットを提案し, DNS アンプ攻撃の観測・分析を行っている. DNS アンプ攻撃では通信を増幅するためにインターネット上のオープンリゾルバが用いられるため, 攻撃者は広範囲なスキャンによりオープンリゾルバを探索することが予想される. しかし, DNS ハニーポットは, DNS サーバとして動作するための運用コストが高く, 大規模な観測に不向きであるため, 攻撃者によるスキャン活動の全体的な傾向を把握することが困難である. 本論文では, DNS ハニーポットが観測した DNS アンプ攻撃と, 広範囲のアドレス空間を監視するダークネットセンサが観測したスキャン活動を突合し, その相関を分析する. 分析の結果, 分析対象期間内に DNS ハニーポットで観測された 33 個の攻撃用ドメイン名のうち 87% にあたる 29 個のドメイン名は, 攻撃と同一のドメイン名を用いたスキャン活動がダークネットセンサでも観測され, そのうち 22 個のドメイン名は, DNS アンプ攻撃が観測される 1 日以上前に, 同様のスキャン活動がダークネットセンサでも観測された. 本分析結果は, スキャン情報を用いた DNS アンプ攻撃の早期対策技術への応用に期待できる.