キャッシュDNSサーバにおける名前解決要求回数の少ないクエリログの調査

抄録

サイバー攻撃において、マルウェアに感染した複数の端末を一斉に操作して攻撃を仕掛ける手段がある。マルウェアに感染した端末は命令を下すC&Cサーバと接続するためにIPアドレスを得る必要がある。このとき、名前解決にDNSが利用される。我々はこれまでにキャッシュDNSサーバの名前解決要求ログを分析し、マルウェア感染端末を検出する方法について研究を進めてきた。本研究は、マルウェアから送信されるDGAをはじめとした悪性の名前解決要求はドメイン名を変化させC&Cサーバと接続することに着目し、１週間当たりの名前解決要求回数が１０回未満のドメイン名について調査した結果を報告する。