2005年08月05日(金) 14時35分

大規模な「DNSキャッシュ汚染」攻撃の可能性--専門家が警鐘（CNET Japan）

　何十万台ものインターネットサーバがある攻撃のリスクを抱えている。その攻撃とは、ウェブユーザーを勝手に悪質な偽のサイトへとリダイレクトしてしまうというものだ。

　セキュリティ研究者のDan Kaminskyが、250万台のDNS（Domain Name System）サーバをスキャンしたところ、そのうちの約23万台が「DNSキャッシュ汚染」として知られている脅威に対して脆弱であることがわかった。DNSサーバはインターネットの電話帳の役割を果たしている。

　同氏は、7月末にラスベガスで開かれた「Black Hat」セキュリティカンファンレンスで講演を行い、この数は「スキャンしたDNSサーバの約10％にあたる」とした上で、「DNSサーバのチェックを済ませていない場合は、監査を受けてほしい」と述べた。

　ネットワークに対する脅威を監視するSANSのInternet Storm Centerによると、こうした攻撃は金銭目当てで仕掛けられるという。攻撃の犯人は通常、スパイウェアやアドウェアをインストールしたPCの台数に応じて報酬を受け取っている。

　社会保障番号やクレジットカード情報など、被害者のPCから盗み取った情報が売買される可能性もある。さらに、PCを乗っ取ってスパムの送信に使う目的で、悪質なソフトウェアがインストールされる可能性もある。

　DNSサーバは、文字列からなるインターネットアドレスを、IPアドレスの数字列に変換するためのもので、各サーバのキャッシュは、ウェブアドレス情報をそのサーバに保存しておくために使用されている。

　DNSキャッシュ汚染では、DNSサーバに保存された人気の高いウェブサイトのIPアドレスが、悪質なサイトのアドレスに置き換えられてしまう。このため、正規のウェブサイトにアクセスしようとしたユーザーが偽のサイトへリダイレクトされてしまい、そこで機密性の高い情報の入力を求められたり、有害なソフトウェアをPCへインストールするように指示されることになる。専門家によれば、このテクニックが電子メールで使われることもあるという。

　何千台ものコンピューターが、インターネットアドレスを見つけだすために、1台のDNSサーバにアクセスしている。そのため、この問題が何百万人ものウェブユーザーに影響を及ぼす可能性があり、ユーザーはフィッシング詐欺や個人識別情報の盗難などのサイバー犯罪に遭う危険にさらされることになる。

　汚染されたキャッシュは「人々を間違った場所に導く偽の道路標識」のようなものだと、DNSの仕組みを設計したPaul Mockapetrisは説明する。同氏は現在、セキュアなDNSを提供するNominumの会長兼チーフサイエンティストを務めている。「（DNSには）これまでにも他の脆弱性が存在していたが、いま問題になっているこの脆弱性には修正する方法がない。（DNSサーバのソフトウェアを）アップグレードするべきだ」（Mockapetris）

　Kaminskyによれば、インターネット上には900万台のDNSサーバが存在するという。同氏はそのうちの250万台について、Prolexic Technologiesの提供する高帯域接続を用いて調査した。その結果、調査の対象となったサーバのうち、23万台が潜在的に脆弱性を抱えており、また6万台はこの種の攻撃に対して無防備な状態に置かれている可能性が高く、さらに1万3000台は確実にキャッシュを汚染できる状態にあることがわかった。

　脆弱性を抱えたサーバでは、「Berkeley Internet Name Domain（BIND）」ソフトウェアが安全でない状態で稼働しており、アップグレードが不可欠な状態になっているとKaminskyは言う。これらのシステムでは「BIND 4」もしくは「BIND 8」が動いており、DNSリクエストのforwarder（サーバ内に情報がない場合、他のサーバに問い合わせを行う機能）を使うように設定されているが、これはBINDソフトウェアの配布元が明確な警告を発している状態だ。

　BINDはInternet Software Consortium（ISC）から無償で配布されている。ISCは、「現在、大規模な...DNSキャッシュ汚染攻撃」が行われているとする警告を同グループのウェブサイトに上げている。ISCは、forwarder設定が有効になっているすべてDNSサーバは、BIND 9にアップグレードされなければならないとしている。

　DNSキャッシュ汚染という攻撃手法は目新しいものではない。SANSによれば、今年の3月にはこの手法が用いられ、CNN.comやMSN.comといった人気ウェブサイトにアクセスしようとしたユーザーが、悪質なサイトにリダイレクトされ、PCにスパイウェアをインストールされてしまう事件が起こったという。

　「自分のISPがforwarder設定を有効にしてBIND 8を稼働させていれば、私はISPがユーザを守る上で必要な手段を講じていないと主張するだろう」とMockapetrisは言う。「そのようなシステムを運用することは、インターネットの世界では背任行為にあたる」（Mockapetris）

新たな脅威--「ファーミング」

　Kaminskyは、7月半ばにDNSサーバをスキャンしたものの、現在のところどの組織が潜在的に脆弱なDNS設定を行っているかまでは特定していない。しかし同氏は、そのようなシステムの運用責任者に電子メールを送るつもりであるという。

　「送るつもりの電子メールは数十万通にもなる。こういうことは、セキュリティ絡みの仕事としては面白いものではない。でも、面白いことしかやらないというわけにはいかない。われわれには自分たちが使うインフラを守る必要がある」（Kaminsky）

　DNSキャッシュ汚染を使って、ウェブユーザーを偽のウェブサイトにリダイレクトし、個人情報を盗み取ろうとする攻撃は、比較的最近になって出てきたものだ。セキュリティ対策会社のなかには、このテクニックを「ファーミング」と呼んでいるところもある。

　DNSキャッシュを汚染することは特に難しくないと、アイスランドのDNS関連コンサルティング／ソフトウェア会社Men & MiceのCEOであるPetur Peturssonは言う。「それは簡単にできることで、実際に最近でも行われている」（Petursson）

　Peturssonによると、この2年ほどでDNS関連の問題全般に対する関心が高まったという。4年前、DNSの設定がまずかったせいで、Microsoftのウェブサイトが大規模なサービス停止に追い込まれたが、この事件をきっかけとしてDNSが問題を引き起こす可能性が注目を浴びた。

　「いまだに脆弱なサーバが何十万台も存在しているというのは驚きだ」（Petursson）

　Kaminskyの行った調査の結果は、すべてのDNSサーバ管理者--なかでもブロードバンドサービスを提供するISPには警鐘となるはずだとMockapetrisはいう。Kaminskyは、この調査結果を使って脆弱なサーバを標的にする意図はないとしている。だが、別の人間が独自にDNSサーバにスキャンをかけ、攻撃対象を見つけだす可能性はあると、同氏は注意を促している。

　「この技術はハッカーコミュニティの一部ではよく知られたものであり、この情報は今後さらに広く知れ渡る一方だと思う」とMockapetrisは述べている。


この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

関連記事
「ファーミング」「クライムウェア」・・・新たなオンライン詐欺が増加の兆し - 2005/08/04 21:05
DNSサーバを不正操作するフィッシング手法が出現--専門家が警告 - 2005/03/09 12:34
DNSのハッキング手法が発表に--セキュリティ専門家が警告 - 2004/08/02 09:53

　■CNET Japanニューズレター（無料）
　 毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/

http://headlines.yahoo.co.jp/hl?a=20050805-00000005-cnet-sci