2025年7月16日に公開されたWIRED記事によると、DomainToolsの研究者が2021-2022年に実行されたDNSレコード悪用攻撃を発見し分析した。
この攻撃では、迷惑マルウェア「Joke Screenmate」をバイナリから16進数に変換し、数百のチャンクに分割してwhitetreecollective[.]comドメインの異なるサブドメインのTXTレコードに格納していた。
同じ攻撃者はCovenant C2マルウェアのステージャーも配信していた。攻撃者は無害に見えるDNS要求を通じて各チャンクを取得し、再構築してバイナリ形式に変換し直す。
DNSトラフィックは多くのセキュリティツールの監視対象外となっており、DNS over HTTPS(DoH)やDNS over TLS(DoT)の普及により検出困難性が増している。
DomainToolsの上級セキュリティオペレーションエンジニアであるIan Campbell氏は、DNSレコード内にAIチャットボットを狙ったプロンプトインジェクション攻撃用のテキストも発見した。この攻撃手法は約10年前から知られているが、16進数分割方式は比較的新しい手法である。
From: 
Hackers Are Finding New Ways to Hide Malware in DNS Records
【編集部解説】
DNS攻撃の進化:従来手法の巧妙な発展
今回報告されたDNSレコードを悪用したマルウェア隠蔽技術は、従来から知られていた手法の進化版として、サイバーセキュリティの根本的な課題を浮き彫りにしています。研究者らは約10年前から、脅威アクターがDNSレコードを使用して悪意のあるPowerShellスクリプトをホストすることを知っていましたが、今回の16進数分割方式はより巧妙で検出困難な手法となっています。
DNSは「インターネットの電話帳」と呼ばれる基本的なインフラですが、その信頼性の高さが皮肉にも攻撃者に悪用される結果となっています。
16進数分割技術の革新性
攻撃者が使用した16進数分割技術は、従来のファイルベースの検知システムを巧妙に回避します。バイナリファイルを数百のチャンクに分割し、それぞれを異なるサブドメインのTXTレコードに格納することで、個々のピースは無害に見えるものの、再構築すると完全なマルウェアとなります。
この手法は、デジタル時代の「ジグソーパズル」とも言える攻撃手法で、各ピースが散在している限り検出は困難です。2021-2022年の攻撃事例では、同じ攻撃者がCovenant C2フレームワークへの接続スクリプトも配信しており、多段階攻撃の一部として機能していました。
DNS over HTTPSの普及が生む新たな脅威
DoH(DNS over HTTPS)とDoT(DNS over TLS)の普及により、DNS通信の暗号化が進んでいます。これは本来プライバシー保護のための技術ですが、同時にセキュリティ監視の難易度を大幅に押し上げています。
暗号化されたDNSトラフィックは、ネットワーク管理者にとって「見えない脅威」となり、マルウェアの隠蔽や不正通信の発見を困難にします。独自のネットワーク内DNSリゾルバーを持つ組織でも、正当なDNSトラフィックと異常な要求を区別することが困難になっています。
AIチャットボットに対する新たな脅威
特に注目すべきは、AIチャットボットを標的としたプロンプトインジェクション攻撃への応用です。大規模言語モデルは、正当なユーザー指示と悪意のある埋め込みコマンドを区別できないという根本的な脆弱性を抱えています。
これらの攻撃は、企業のカスタマーサービスボットや金融サービスのAIアシスタントなど、実用的なAIシステムに対する直接的な脅威となる可能性があります。
企業セキュリティへの長期的影響
この攻撃手法は、企業のセキュリティ戦略に根本的な見直しを迫ります。従来のペリメーターベースのセキュリティモデルでは、DNSトラフィックは信頼された通信として扱われてきましたが、これが大きな盲点となっています。
企業は、DNS監視の強化、DoH/DoTトラフィックの適切な管理、そして新たな検知技術の導入を検討する必要があります。
技術の二面性:プライバシーとセキュリティの矛盾
DoH技術は、ユーザーのプライバシー保護という重要な目的を持つ一方で、セキュリティ監視を困難にするという矛盾を抱えています。この技術的ジレンマは、今後のインターネットセキュリティ政策において重要な議論の焦点となるでしょう。
将来への展望と対策の方向性
サイバーセキュリティ業界は、この脅威に対応するため、DNS解析技術の高度化やAI基盤の異常検知システムの開発を急ピッチで進めています。また、プロンプトインジェクション攻撃に対する防御技術の研究も活発化しています。
今回の発見は、インターネットの基盤技術が攻撃者に悪用される時代において、テクノロジーの進歩と同時に、その裏に潜む脅威への対策も同様に進化させる必要があることを、改めて認識させられる事案と言えるでしょう。
【用語解説】
DNS(Domain Name System)
インターネットの「電話帳」とも呼ばれる仕組みで、人間が理解しやすいドメイン名(example.com)を、コンピューターが使用するIPアドレス(192.168.1.1)に変換する役割を担う。
TXTレコード
DNS記録の一種で、ドメインに関する任意のテキスト情報を保存できる。通常はサイト所有権の証明やメール認証などに使用される。
16進数(Hexadecimal)
0-9の数字とA-Fの文字を使用してデータを表現する方法。バイナリデータをコンパクトに表現するために広く使用される。
DoH(DNS over HTTPS)
DNS通信をHTTPS(ポート443)で暗号化する技術。従来の平文DNS通信と異なり、通信内容の盗聴や改ざんを防ぐことができる。
DoT(DNS over TLS)
DNS通信をTLS暗号化で保護する技術。DoHとは異なり、専用のポート853を使用する。
プロンプトインジェクション
AIチャットボットに対して悪意のある指示を埋め込み、意図しない動作や情報漏洩を引き起こす攻撃手法。
Covenant C2フレームワーク
正当なポストエクスプロイテーションツールキットだが、脅威アクターによって転用され、侵害されたシステムへの永続的なアクセスを確立するために使用される。
パッシブDNS
過去のDNS問い合わせ履歴を記録・分析するセキュリティ技術。攻撃者のインフラストラクチャーを追跡する際に重要な役割を果たす。
【参考リンク】
DomainTools(外部)
DNSおよびドメイン情報の分析・監視を専門とするサイバーセキュリティ企業。23年以上の歴史的DNS記録を保有。
Cloudflare DNS over HTTPS(外部)
CloudflareによるDNS over HTTPSの技術解説ページ。DoHの仕組みや実装方法を詳細に説明。
JPNIC DNS over HTTPS解説(外部)
日本ネットワークインフォメーションセンターによるDNS over HTTPSの基本的な解説。
AhnLab DNS TXTレコード攻撃解説(外部)
AhnLab ASECによる、DNS TXTレコードを利用したマルウェア実行方法の詳細な技術解説。
NEC ChamelDoH解説(外部)
NECによるDNSトンネリングとDNS over HTTPSを悪用したマルウェア「ChamelDoH」の技術解説。
【参考記事】
サイバー犯罪者が DNS レコードを悪用し、AI を活用した再構築技術(外部)
日本語による同事案の詳細な報道。DNS TXTレコードを悪用したマルウェア隠蔽技術について解説。
DNS TXT レコードを利用したマルウェアの実行方法(外部)
AhnLab ASECによる、DNS TXTレコードを利用したマルウェア実行の実際の事例分析。
【編集部後記】
2021-2022年に実行されたこのDNSレコード悪用攻撃は、私たちが日常的に使っているインターネットの基盤が、実は攻撃者にとって格好の隠れ蓑となっているという現実を改めて突きつけています。
皆さんの職場や日常生活で、「なぜこのセキュリティ対策が必要なの?」と疑問に思った経験はありませんか?今回の事案のように、過去に実行された攻撃手法を知ることで、現在のセキュリティ対策の重要性がより身近に感じられるのではないでしょうか。
特にAIチャットボットへのプロンプトインジェクション攻撃は、私たちがこれから更に身近になるAI技術の新たなリスクを示しています。皆さんはAIサービスを利用する際、どのような点に注意していますか?また、企業のセキュリティ担当者の方がいらっしゃいましたら、DNS監視の強化についてどのような取り組みを検討されているか、ぜひお聞かせください。
