分野 ：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ

クライアントからのDNSクエリを受け取ったDNSキャッシュサーバ(フルサービスリゾルバ)は、有効期限内のキャッシュが存在すればそれを返し、そうでなければそのドメインを管理する権威DNSサーバ(DNSコンテンツサーバ)に問合せを行い、その結果をクライアントに返します。このような仕組みにより、攻撃者が生成したサブドメインに対するDNSクエリを受け取ったDNSキャッシュサーバは、(キャッシュが存在しないため)サブドメインごとに権威DNSサーバへの問合せを行うことになります。その結果、「サブドメイン数×キャッシュサーバ数」の大量のDNSクエリが権威DNSサーバに集中し、サービス不能やサーバダウン状態に陥ってしまう可能性があります。このDDoS攻撃は「DNS水責め攻撃」「ランダムサブドメイン攻撃」と呼ばれ、多数の脆弱性のある公開キャッシュサーバ(オープンリゾルバ)や欠陥を持つホームルータを経由し、権威DNSサーバやISPのDNSキャッシュサーバを攻撃対象することが特徴です。したがって設問の攻撃の標的は「A社ドメインの権威DNSサーバ」が正解です。

• 正しい。
• A社利用者PCは、DNS問合せの送信元IPアドレスに設定されておらず、名前解決処理とも無関係です。
• 送信元IPアドレスはランダムに設定されているため、DNS amp攻撃のように送信元に設定されたノードに向かって応答パケットが集中することはありません。
• キャッシュサーバにも相応の負荷が掛かるため被害が発生する可能性がありますが、攻撃者の最終的な目的は権威DNSサーバをサービス停止に追い込むことです。

参考URL: 株式会社日本レジストリサービス：DNS水責め攻撃の概要と対策(PDF)
　https://jprs.jp/related-info/guide/021.pdf