はじめに
2026年6月、Amazon Route 53 DNS Firewall にアップデートがありました。
https://aws.amazon.com/jp/about-aws/whats-new/2026/06/amazon-route-53-resolver-dns/
Amazon Route 53 Resolver DNS Firewall に、Palo Alto Networks(PANW)Advanced DNS Security が統合されたとのことなので、概要を整理してみました。
※当アップデートは現在プレビュー
これまでの課題
Route 53 DNS Firewallは、VPC内のDNSクエリをフィルタリングできるサービスです。AWS管理のドメインリスト(マルウェア・フィッシングなど)を使って、既知の悪性ドメインへの名前解決をブロックできます。
ただし、これまでより高度なDNS脅威検知(DGAドメイン、DNSトンネリング、fast-fluxなど)をPANWで実現しようとすると、別途PANWのファイアウォールをVPCやアカウントごとに展開する必要がありました。
[Before]
VPC → Route 53 DNS Firewall(AWSマネージドリストのみ)
↓ 抜けてしまう高度な脅威...
PANWで対応する場合は別途PANW FWをVPC/アカウントごとに展開 → コストUP・運用複雑性UP
今回の統合で何が変わるか
PANWの脅威インテリジェンスが、Route 53 DNS Firewallのルール作成ワークフローに直接組み込まれました。
[After]
VPC → Route 53 DNS Firewall
|
+-- AWSマネージドリスト
| +-- データソース:AWS内部 + Recorded Future(外部インテリジェンス企業)
| +-- カバレッジ:既知の悪性ドメインリストベース
|
+-- PANWルール(今回追加)
+-- データソース:PANWの脅威インテリジェンス(世界中のNGFWからの収集)
+-- カバレッジ:C2 / Malware / Phishing / NRD /
Fast-Flux / DNSトンネリング / DNS Rebinding / DGA
VPCルーティングの変更も、別FWの展開も不要。DNS Firewallのコンソールからサブスクライブするだけです!
AWSマネージドリストは、AWSの内部ソースと脅威インテリジェンス企業 Recorded Future のデータを組み合わせた「既知の悪性ドメインリスト」ベースで、脅威の出現に応じて更新が行われます。PANWの統合により、これに加えてfast-flux・DNSトンネリング・DGAといった高度な脅威への対応カテゴリが追加されます。
そもそもPalo Alto Networks(PANW)とは?
Palo Alto Networks(PANW) は、ネットワークセキュリティ分野で世界的に高いシェアを持つサイバーセキュリティ企業です。
PANWは、世界中の企業・組織に展開されたNGFWから日々収集される膨大な脅威データをもとに、悪性ドメインのデータベース(脅威インテリジェンス)を継続的に更新しています。このデータベースの質と量が、今回の統合のメリットです。
DNS攻撃手法の解説:PANWが検知する脅威とは
検知カテゴリが何個か追加されますが、何を防いでいるのかピンとこなかったので、主要な攻撃手法を整理してみました。
🔴 Command & Control(C2通信)
マルウェアに感染したPCが、攻撃者の「指令サーバー」に接続して命令を受け取る通信のことです。
[C2通信の流れ]
感染したEC2
│
│ "c2-server.evil.com のIPを教えて"(DNSクエリ)
▼
Route 53 DNS Firewall
│
│ 🛑 PANWがC2ドメインと判定 → BLOCK
▼
攻撃者のサーバーへは到達させない
DNSレベルでブロックする意味:感染してしまっても、攻撃者からの指令を受けられなくすることで実害を最小化できます。
🟠 DGA(Domain Generation Algorithm)
固定ドメインをブロックされた攻撃者が考えた対策が「毎日ドメインを自動生成する」仕組みです。
[通常のC2]
マルウェア → c2.evil.com(ブロックされたら終わり)
[DGAを使ったC2]
マルウェア → 今日のドメイン: xkqpzmvf.com
→ 明日のドメイン: brtzwlnq.com (毎日変わる)
→ 明後日: pqvmjxck.com
攻撃者とマルウェアが同じアルゴリズム(日付などをシードにしたハッシュ計算)を持っており、毎日同じドメインを独立して生成します。人間が見ると「意味のない文字列の羅列」になるのが特徴で、PANWの脅威インテリジェンスがこのパターンの検知に対応しています。
🟡 DNSトンネリング
DNSは本来「ドメイン名→IPアドレス」の変換に使うプロトコルですが、クエリ文字列にデータを埋め込んでファイアウォールをすり抜ける手法です。
[通常のDNSクエリ]
query: "google.com のIPは?"
response: "142.250.x.x"
[DNSトンネリング(悪用)]
query: "c2VjcmV0ZGF0YQ==.attacker.com のIPは?"
↑ Base64エンコードした盗んだデータを埋め込んでいる
response: "1.2.3.4(に見せかけた応答データ)"
↑ 攻撃者への指令が返ってくる
80番/443番ポートをFWでブロックされていても、DNS(53番ポート)は通常許可されているため、抜け道として使われます。クレデンシャル情報の窃取やVPN代わりに悪用されます。
🟡 Fast-Flux
C2サーバーのIPアドレスを数分おきに切り替え続けることで、IPベースのブロックを無効化する手法です。
[Fast-Fluxの動き]
10:00 evil.com → 1.2.3.4 ← テイクダウン・ブロックされる
10:05 evil.com → 5.6.7.8 ← また別のIPに切り替え
10:10 evil.com → 9.10.11.12 ← さらに別のIPに...
IPアドレスが次々変わるため、従来のIPブロックが効きません。しかしドメイン名(evil.com)は変わらないため、DNSレベルでのブロックが有効です。
🟢 DNS Rebinding
ブラウザの「Same-Origin Policy(同一オリジンポリシー)」をDNSを悪用して回避する攻撃です。
[DNS Rebindingの流れ]
1. ユーザーが evil.com にアクセス(TTLを意図的に数秒に設定)
↓
2. TTL切れ後、evil.com のIPを 192.168.1.1(社内ルーター)に書き換え
↓
3. ブラウザは「まだevil.comと通信中」と認識したまま、
192.168.1.1(社内ルーター)にリクエストを送ってしまう
↓
4. → 外部から社内ネットワークのリソースに不正アクセス成功
🔵 Newly Registered Domains(NRD)
フィッシングに使われたドメインの 約41%は登録から14日以内に悪用され、大多数は登録後48時間以内に使用される という研究結果があります(Interisle Phishing Landscape 2022 / APWG)。さらに別の分析では、フィッシングドメインの 63%が登録から4日未満 のものだったとも報告されています(DNS Research Federation)。
NRDフィルタリングはこうした統計を利用して、「登録から日が浅いドメイン」への通信を疑わしいとみなします。
例:amaz0n-secure-login.com(登録3日前)→ フィッシングの疑いが高い
正規のビジネスで新規ドメインを使うケースもあるため、アクションを ALERT(ブロックではなくログのみ)にするのが現実的な運用です。
主な機能・ポイント
検知カテゴリ
| カテゴリ | 説明 |
|---|---|
| Command & Control | マルウェアのC2サーバーへの通信 |
| Malware | マルウェア配布・関連ドメイン |
| Phishing | フィッシングサイト |
| Newly Registered Domains(NRD) | 悪用されやすい新規登録ドメイン |
| Fast-Flux | IPアドレスを高頻度で変えて検知を逃れる手法 |
| DNS Tunneling | DNSプロトコルを使ったデータ窃取 |
| DNS Rebinding | ブラウザのSame-Origin Policyをバイパスする攻撃 |
| DGA | マルウェアが自動生成するランダムドメイン |
これにより、AWSマネージドリスト単体よりカバー範囲が広がります。
マルチアカウント管理
- AWS Resource Access Manager(RAM) でルールグループを複数アカウントに共有
- Route 53 Profiles で設定を統一
- AWS Firewall Manager で組織全体に展開
可視性
DNS Firewallのクエリログを以下に送れます:
- Amazon S3
- Amazon Data Firehose
- Amazon CloudWatch Logs
さらに AWS Security Hub でFindingsとして集約できるので、既存のSOCワークフローとの統合も◎
対応リージョン(プレビュー)
- US East (Ohio), US West (N. California)
- Europe (London, Frankfurt)
- Asia Pacific (Tokyo) ✅
- Asia Pacific (Mumbai, Singapore)
- Africa (Cape Town)
東京リージョンで試せます!
料金
- DNS Firewall Advancedプランの利用が前提
- PANWルールの追加自体は追加料金なし
- PANWのMarketplaceサブスクリプションはプレビュー期間中は無料
DNS Firewall Advancedプランの料金はかかります。プレビュー中にお試しの場合は料金ページで確認を。
まとめ
PANWの脅威インテリジェンスをRoute 53 DNS Firewallに統合することで、インフラ的なオーバーヘッドなしに高度なDNS脅威検知が使えるようになったのは素直にうれしいアップデートだと思います。
特に「VPCにFWを置くほどではないけど、AWSマネージドリスト以上のカバレッジが欲しい」というニーズにはドンピシャです。
東京リージョンで使えてプレビュー中は無料なので、DNS Firewall Advancedプランを使っている方はぜひ試してみてください!