特定の遠隔操作ウイルスが攻撃者の指令を伝達する指令サーバとの通信に、DNSプロトコルが悪用されているのを複数の大手企業から要請された遠隔操作ウイルスに関連する調査を行ったラックが確認し、DNSサーバの動作状況やDNSパケットの確認を行うよう注意を呼びかけている。
これまでの遠隔操作ウイルスはHTTPプロトコルを使用してWebサーバを模した指令サーバが使用されているが、今回の調査ではDNSサーバを模したC&Cサーバを構築し、企業内ネットワークで動作する遠隔操作ウィルスの操作にDNSプロトコルを使用したDNSトンネリングの手口の利用が確認された。
多くの企業はDNSプロトコルの制限を行っておらず、またシステムへの負荷を考慮して多くのDNSはログ収集を行っていないため、不正なリクエストや詳細を把握するのが困難になっている。また、DNS通信単体は以上があるわけではないことや、ウィルス対策ソフトでは検知できないため、深刻な脅威となっている。
対応方法として、現在のDNSサーバへのアクセス状況を確認するため、アクセスログを取得して不正リクエストの有無を確認し、不正なDNSリクエストが確認された場合にはDNS通信を拒否することなどを挙げている。また、DNSアクセスの制限や不正パケットを送出しているクライアント特定、遠隔操作ウイルスの隔離などをするよう推奨している。
