今、何故?DNSキャッシュポイズニングが騒がれているんだ?

DNSキャッシュポイズニング問題が浮上したのだろうか?2008年頃に、新たな攻撃手法「カミンスキー・アタック」攻撃が発表されたのちに、攻撃成功確率があがり注目をあびた。

まず、何故注目を浴びているか、についての説明ではなく、これはいったい何者なのか?ということから説明していこう。なお、詳しくかこうと思ったのだが、詳しいサイトはいくらでもあるため、このサイトは、『初心者向け』のサイトを目標として書いているため、可能な限り簡単に書いてみる。

ただし、これは、インターネット一般利用者は、どうこう対策する手段がない。セキュリティソフトを有効にし、不正サイトを見抜くという以外は、辛抱強く待つしかない。

 

DNS(Domain Name System)とは

例えば、googleのサイトは、http://www.google.co.jp/ であれば覚えられるけど、http://173.194.126.183/や、http://173.194.38.127/ では覚えにくい。どれもGoogleに接続されるが、数字の羅列をわかりやすい文字列に変換して対応を返すシステムのことを指す。

DOSコマンドでは、nslookupで名前を解決することができる。一般的にいう「名前解決」だ。名前解決だけでなく、DNS設定情報のMXレコードや、Aレコード、NSレコード等を調査することができるため、メールサーバ設定状態等の確認もできる。このnslookupは色々できるため、新規に記事をかきたい。

nslookup

DNSキャッシュポイズニングとは

一言でいえば、「DNSサーバ」を乗っ取ること。乗っ取られれば、例えば、http://www.google.co.jp/」とユーザーが入力し、いつもの画面が出ているが、それはのっとられたDNSサーバーが偽画面として表示させたものだった、ということをさせる手法。

偽UFJのWebサイトの場合は、アドレスそのものが根本的に違うため、判断はつきやすいが、http://www.google.co.jp/を入力し、そのサイトが仮に違うサイトだった、ということが発生すれば、これは利用者は気が付かないだろう。

カミンスキー・アタック攻撃とは

名の通り、カミンスキー氏が考案したDNS攻撃手法。これまでの攻撃手法は、1つ1つ明示的に攻撃する必要があった。しかし、ランダムなダミー値を使って効率よい攻撃手法を生み出したことで、連続的な攻撃ができ、そして攻撃成功率が高くなった、ということで、2008年頃、脅威がじわじわと発生したのだ。

DNSキャッシュポイズニングの対策とは?

2008年にIPAが既に設定の見直しについての注意喚起を出していたりする。
dns-1

DNSキャッシュポイズニングの脆弱性に関する注意喚起(IPA:2008年)
DNSキャッシュポイズニング対策(IPA:2009年)

対応の緊急性が高まったDNSキャッシュポイズニングについて(JPNIC:2008年)

結構、過去に話題となったニュースが、OpenSSLの次にはこのDNSキャッシュポイズニングが賑わいているのは何故?と疑ったくらいだ。ひょっとして日付の間違いで、過去記事を見てしまった?と思ったぐらいだ。

 

「株式会社日本レジストリサービス(JPRS)が管理している DNS サーバに対してソースポートランダマイゼーションが有効ではないDNS クエリがあることを確認しており、また本脆弱性を狙うアクセスが増加しているとISP 事業者から報告を受けている」ことが原因で、JPCERTも注意喚起記事を発表した。

impress記事では、「JPRSはキャッシュDNSサーバーの運用者に対して設定を再確認するよう呼び掛けている。問い合わせUDPポートをランダム化する「ソースポートランダマイゼーション」を有効にすることを強く推奨している。」という記載がある。

UDPポートとは、TCP/IPの、L3/L4で利用するTCPと比べると品質が下がるがレスポンスがいいプロトコルを利用して通信を行っている。UDPについては、別の投稿で説明しく。

 

対策方法としては、一般ユーザーは無い。ソースポートランダマイゼーション(送信元ポートをランダムにすること)を有効になっているか、DNSサーバを管理している管理者が設定の再確認を早急に実施してもらう、ということが必要になる。冒頭にも書いたが、インターネット一般利用者は、ただただ待つしかない。

おすすめの記事