悪性ドメインの名前解決をブロックするパブリックDNS Quad9を使ってみた

less than 1 minute read

概要

IBM, Packet Clearing House, Global Cyber Allianceが提供するパブリックDNS Quad9(9.9.9.9)を使ってみました。

下記の図で示されているように、悪性ドメインの名前解決をブロックしてくれます。

Imgur

悪性ドメインのリストは、IBM, Packet Clearing House, Global Cyber Allianceの3者が持つものに加えて、以下のパートナーから提供されたものが統合されているとのことです。

  • Abuse.ch, the Anti-Phishing Working Group, Bambenek Consulting, F-Secure, mnemonic, 360Netlab, Hybrid Analysis GmbH, Proofpoint, RiskIQ, ThreatSTOP.

動作確認

さて、実際に悪性ドメインの名前解決がブロックされるのか確認してみましょう。

その1(ZeuS)

パートナーの一人であるAbuse.chが提供するZeuSのドメインブラックリストに掲載されているドメインを引いてみます。

$ nslookup afobal.cl

Server:		9.9.9.9
Address:	9.9.9.9#53

** server can't find afobal.cl: NXDOMAIN

名前解決がブロックされました。

その2(Locky)

同じくAbuse.chが提供するLockyのドメインブラックリストに掲載されているドメインを引いてみます。

$ nslookup sqsigig.pw

Server:		9.9.9.9
Address:	9.9.9.9#53

** server can't find sqsigig.pw: NXDOMAIN

その3(BadRabbit)

BadRabbitに関するFireEyeのレポートに掲載されているドメインを引いてみます。

$ nslookup 1dnscontrol.com

Server:		9.9.9.9
Address:	9.9.9.9#53

** server can't find 1dnscontrol.com: NXDOMAIN

名前解決がブロックされました。

その4(Ursnif)

2017/11/14にSMBCが注意喚起を行っていたフィッシングメールで使われていた、Ursnifを配布するドメインを引いてみます。

フィッシングメール 添付ファイルの情報

  • 警告!今はをチェックしてください.zip(SHA256: 1583f7e210ab76d429e59b2a8d5e362674028c112532041873e88fcfb979c479)
  • セキュリティ情報.docx(SHA256: 535343c0decc93cbec65542a5a651df03d02e28622ab0802446b5ea580477d1d)
  • 通信先URL: http://eu.kihealthandfitness[.]com/doc.bin?syif
$ nslookup eu.kihealthandfitness.com

Server:		9.9.9.9
Address:	9.9.9.9#53

Non-authoritative answer:
Name:	eu.kihealthandfitness.com
Address: 185.17.26.54

名前解決がブロックされませんでした。

まとめ

Quad9は有名どころの悪性ドメインはブロックしてくれます。

ブロックする対象は、公式Twitterアカウント(@Quad9DNS)がつぶやいているように、信頼性が高いものに限られています。

当たり前ですが、あらゆる悪性ドメインをブロックするというわけではありません。

あくまでも補助的なセキュリティ対策の一つとして使用する分にはとても有益なソリューションではないでしょうか。