メルマガ購読
日本レジストリサービスは9日、「DNSキャッシュポイズニング」攻撃の概要と対策を解説するコラム「No.9 新たなるDNSキャッシュポイズニングの脅威〜カミンスキー・アタックの出現〜」を公開した。
DNSキャッシュポイズニングとは、名前解決処理の効率化を目的として、DNSサーバに一時的に記憶されたIPアドレスや権威DNSサーバ名といった情報(DNSキャッシュ)に偽のデータを記憶させることで、ドメイン名の乗っ取りやフィッシングを図る攻撃。2008年7月にあらたに発見されたDNSキャッシュポイズニングの手法「カミンスキー・アタック」では、攻撃対象の名前と同じドメイン名内の存在しない名前の問い合わせを攻撃目標となるDNSキャッシュサーバに送り、その直後に攻撃者が用意した偽のサーバのIPアドレスに問い合わせを誘導する偽の応答情報をIDを変化させながらDNSキャッシュサーバに大量に送りつける。
従来型のDNSキャッシュポイズニングでは、ポイズニングが一度失敗した直後に同じ名前に対して即座に再攻撃を仕掛けることは不可能だったが、カミンスキー・アタックでは、問い合わせる名前を毎回変化させることで、攻撃目標となる名前に対する攻撃を連続して繰り返し行えるのが特徴だ。また、一部のDNSサーバの実装では、通常の名前検索で攻撃対象の名前がすでにキャッシュされている場合でも、それを無視する形で偽の情報が上書きされてしまうため、攻撃対象データのTTLの設定値やキャッシュ情報の有無にかかわらず、外部からのDNSキャッシュポイズニングが成立してしまうことがある。
日本レジストリサービスでは、DNSキャッシュポイズニングへの対策方法として、問い合わせUDPポートのランダム化や適切なアクセスコントロールやフィルタリングの適用、権威DNSサーバは狙われやすいので機能分割と反復検索機能の無効化などを挙げているが、根本的な解決方法として、電子署名によるDNS応答の正当性が確認できるDNSSECの導入を推奨している。ただし、DNSSECの導入にあたって、権威DNSサーバ、DNSキャッシュサーバの両方をすべてDNSSEC対応のものにする必要があるため、DNSSECの普及が大きな課題としている。
JPRS、連続攻撃が可能なDNSキャッシュポイズニング「カミンスキー・アタック」を警告
2008年9月9日(火) 15時56分
DNS キャッシュポイズニングの概要
カミンスキー・アタックの概要
《富永ジュン》
注目ニュース
Webの世界では一般化したマッシュアップだが、自社データベースなどと組み合わせて活用する例はまだ少ない。企業ユーザーが手軽にマッシュアップアプリを作れるミドルウェア「IBM Mashup Cente...
有限責任中間法人JPCERT コーディネーションセンター(JPCERT/CC)は24日夜、「[続報]複数の DNS サーバ製品におけるキャッシュポイズニングの 脆弱性に関する注意喚起」と題する文書を...
チェック・ポイント・ソフトウェア・テクノロジーズは10日、同社のVPN-1、UTM-1、およびConnectraによって最新のDNSキャッシュ・ポイズニングの脅威に対処できる方法を発表した。
JPCERTコーディネーションセンターは9日、「複数のDNSサーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起」を発行した。
伊藤忠テクノソリューションズ(CTC)、アルバリオン、インフォブロックス、シスコシステムズ、ジュニパーネットワークス、テリロジー、東陽テクニカの計7社は15日に、「CTC WiMAX Ecosyst...
WIDEプロジェクトと日本レジストリサービスは5日、M-Root DNSサーバのIPv6アドレスがIANA(Internet Assigned Numbers Authority)によってAAAAレ...
WIDE Projectと日本レジストリサービスは4日、JP DNSの信頼性向上を目的として、WIDE Projectが運用するJP DNSサーバ「e.dns.jp」にサンフランシスコ、パリの2海外...
ウェブルート・ソフトウェアは3日、6月中に国内で最も多く検知されたスパイウェアのランキングトップ10を発表した。
