「DNS不正利用」のインシデント対応を支援する資料 - JPCERT/CC

JPCERTコーディネーションセンターは、「DNS」を不正に利用する手法や、手法ごとに支援が得られる可能性がある関係者の情報などをまとめた技術資料「DNSの不正使用手法に対抗するためのマトリックス」を作成した。FIRSTのウェブサイトにて公開されている。

同資料は、2023年2月にFIRST（Forum of Incident Response and Security Teams）のDNS Abuse SIGが公開した「DNS Abuse Techniques Matrix」の日本語訳。同センターが中心となり作成した。

「DNS」の不正使用に焦点を絞り、ドメイン名の侵害やDNSキャッシュポイズニングなど、インシデントで使用される手法の一般的な事例を紹介。インシデントへ対応するCSIRT関係者やシステム管理者に向けたアドバイスを提供している。

レジストラ、DNSサーバの運用者をはじめ、DNSのエコシステムに多くのステークホルダーが関与していることから、対応の手助けとなるよう攻撃手法ごとに関係者における対応能力を一覧表として取りまとめた。

具体的には、21種類の不正利用の手法に対し、インシデントの可能性がある事象を特定する「検知」、インシデントを封じ込め、回復する「緩和」、インシデントが発生する確率を低減する「抑止」の各フェーズにおいて、各関係者における対応能力の有無などを示している。

同資料は、海外の意見も参考に取りまとめられていることから、国内だけでなく海外の関係者とコンタクトした際の反応などもあらかじめ想定することができるとしている。

（Security NEXT - 2023/07/06 ）ツイート