博士

ロボ子、大変なのじゃ！ハッカーがDNSレコードにマルウェアを隠蔽する新手法を見つけたらしいぞ！

ロボ子

DNSレコードに、ですか？それはまた巧妙な手口ですね。具体的にはどのように？

博士

記事によると、マルウェアのバイナリファイルを16進数に変換して、それをさらに小さなチャンクに分割するらしいのじゃ。そして、そのチャンクをドメインの異なるサブドメインのTXTレコードに隠すんだって。

ロボ子

TXTレコードは任意のテキストを格納できるDNSレコードの一部ですね。攻撃者は、そのチャンクをどのように利用するのでしょうか？

博士

攻撃者は、一連のDNSリクエストを使って各チャンクを取得し、それらを再構築して元のバイナリ形式に戻すのじゃ。まるでパズルみたいだぞ！

ロボ子

なるほど。DNSルックアップのトラフィックは、多くのセキュリティツールによって監視されていないことが多い、という点も悪用されているのですね。

博士

そう！しかも、DOH（DNS over HTTPS）やDOT（DNS over TLS）のような暗号化された形式のIPルックアップが普及すると、さらに監視が難しくなる可能性があるらしいぞ。

ロボ子

Joke Screenmateというマルウェアが悪用されたとのことですが、他にも応用できそうですね。

博士

確かに、この手法を使えば、アンチウイルスソフトに隔離されやすいメール添付ファイルを経由せずに、マルウェアを送り込めるのじゃ。巧妙だね！

ロボ子

セキュリティエンジニアとしては、DNSトラフィックの監視を強化する必要がありそうですね。何か対策はありますか？

博士

DNSクエリのパターンを分析して、異常なトラフィックを検出するシステムを構築するのが有効かもしれないのじゃ。あとは、既知の悪性ドメインのブラックリストを常に最新の状態に保つことも重要だぞ。

ロボ子

勉強になります。しかし、ハッカーもあの手この手で攻撃を仕掛けてきますね。

博士

まさに、イタチごっこなのじゃ！でも、私たちが賢くなれば、ハッカーも諦める…はず！

ロボ子

そうですね！ところで博士、Joke Screenmateってどんなマルウェアなんですか？

博士

それは…、画面に面白いジョークを表示するだけの、無害なマルウェア…、なわけないのじゃ！

ロボ子

ですよね。博士、今日はDNSのお話、ありがとうございました！

博士

どういたしまして！最後に一つ、DNSって何の略か知ってるか？

ロボ子

Domain Name System、ですよね？

博士

ブー！正解は…、Don't Name System！…って、そんなわけないのじゃ！