DNSのクエリログ、調べるときがきました

DNSのクエリログの調査ができるようになっていますか？調べるときがきました。

先日私が「あなたの組織はDNSのクエリログを記録していますか？」という記事を書きました。その後、DNSのクエリログを設定されたでしょうか。私が聞いている範囲ではまだまだほとんどの組織で記録されるような体制になっていないようです。

あなたの組織はDNSのクエリログを記録していますか？ | ラック公式ブログ | 株式会社ラック

遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起 | セキュリティ情報 | 株式会社ラック

「そーいえば、設定したけど、そのままだったな」という方も多くいらっしゃるでしょう。私も「とりあえず今はログを取っておいてください。いずれ、調べるときがきますから」と言っていました。その「調べるとき」がきました。
PaloAlto社とFireEye社がDNSを使用する攻撃キャンペーンについての記事を掲載しています。それぞれの攻撃の内容については興味がある方が読んでいただければ良いのですが、そこに記載されているドメインに注目してください。それぞれのブログに記載されている攻撃者が使用しているドメインを以下に引用しました。

ns1.logitech-usa[.]com
globalprint-us[.]com
intranetwabcam[.]com
login.access-mail[.]com
glb.it-desktop[.]com
local.it-desktop[.]com
hi.getgo2[.]com
go0gIe[.]com

これら全てがDNSを悪用するものかどうかはわかりませんが、念のためDNSクエリログの中にこれらのドメインに関するものがないかを調べてみましょう。今までただ記録するだけだったDNSクエリログを調査するちょうど良いエクササイズになります。もちろん、攻撃キャンペーンのターゲットになっている組織の方はしっかり対策を取ってほしいものです。

New Wekby Attacks Use DNS Requests As Command and Control Mechanism - Palo Alto Networks BlogPalo Alto Networks Blog

Targeted Attacks against Banks in the Middle East ≪ Threat Research Blog | FireEye Inc
（https://www.fireeye.com/blog/threat-research/2016/05/targeted_attacksaga.html）