メルマガ購読
IPA(独立行政法人情報処理推進機構、理事長:西垣浩司)は19日、DNSサーバの脆弱性に関して改めて注意を喚起するとともに、DNSサーバのパッチ適用や設定変更の実施を呼びかけた。
「DNSキャッシュポイズニング」の脆弱性を悪用した攻撃コードが公開されていたため、IPAは7月24日にウェブサイト運営者へ向けて緊急対策情報を発行した。また、「実際に運用されているDNSサーバに対策が実施されていないのではないか?」という旨の届出が激増したため、9月18日に注意喚起を発行した。しかしその後も、政府機関、地方公共団体、民間企業など広範囲からDNSキャッシュサーバに対する届出が継続しており、さらに、これらのDNSキャッシュサーバの多くに「組織の外部からの問合せに回答してしまう脆弱性」が内在していることから、改めてウェブサイト運営者やDNS サーバの管理者に対して注意を喚起することとしたものだ。
DNSキャッシュポイズニング脆弱性の届出件数と12月18日現在の対策状況によると、届出件数は11月末までに累計666件。9月から11月は月に平均219件の届出があったという。通常のウェブサイト脆弱性の届出は毎月50〜80件程度であることから、DNSキャッシュポイズニング脆弱性の届出件数が突出していると言える。対策状況は、たとえば9月に届出のあった273件のうち、207件は取扱中のままとなっている。10月に届出のあった213件のうち184件は取扱中のままだ。対策中のものがまだ数多くあり、DNSサーバの管理者は早急にDNSサーバのパッチ適用や設定変更が必要だとIPAでは見ている。
DNSキャッシュポイズニングの脆弱性がある場合、これを悪用した攻撃が行われると、インターネットの利用者はホスト名に対する正規のIPアドレスに接続できなくなる。その結果、偽のウェブページが表示され、パスワードやクレジットカード番号などの情報を盗まれる可能性が出る。また、電子メールが偽の宛先へ送付され、メールの盗聴・改ざんを受ける可能性もある。これらの脅威は、実際に被害を受けている場合でも、利用者から見れば正常な場合と見分けがつかないため気づくことが困難となる。またDNSキャッシュサーバが組織の外部からの問合せに回答してしまう脆弱性が、DNSキャッシュポイズニング脆弱性のあるDNSサーバの多くに内在している。この脆弱性を悪用した「DNS amp攻撃」と呼ばれる大規模なサービス妨害攻撃が2005年頃から観測されている。「DNS amp攻撃」は、分散型サービス妨害(Distributed Denial of Service: DDoS)攻撃の一種で、ボットと組み合わせて仕掛けられ、公開されているDNSキャッシュサーバを踏み台として悪用することで、ボットからのデータを何十倍にも増幅して攻撃対象に送信し、攻撃対象をサービス不能状態にしてしまう。DNSキャッシュサーバの管理者はこのような攻撃に加担しないよう、DNSサーバのサービスの提供範囲を適切に設定し、本来サービスを提供するべき対象にのみ応答を返すようにすることが必要だ。
DNSサーバはその機能によってDNSコンテンツサーバとDNSキャッシュサーバが存在する。セキュリティ対策として、これらを適切に配置・設定する必要がある。クライアントが参照するDNSサーバは内部DNSキャッシュサーバのみとし、その内部DNSキャッシュサーバが保持しない名前の解決は、外部DNSコンテンツサーバに反復的な問合せを行う設定とすべきだ。また、外部DNSコンテンツサーバはDMZ上に配置し、再帰的なDNS問合せに回答しないように設定すべきだ。特に、BINDやWindowsのDNSサービス等のDNSサーバソフトウェアは、起動するとキャッシュサーバとして動作し、初期設定では再帰的な問い合わせを制限していないものが多く、攻撃の踏み台に利用されるおそれがある。攻撃を未然に防止するため、DNSコンテンツサーバは、再帰的な問い合わせを受け付けないように設定する必要がある。また、キャッシュサーバとして使用しているDNSサーバでは、設定によって再帰的な問い合わせの受付範囲を内部利用者のみに制限するか、またはネットワーク構成で同様の制限をする必要がある。
早急にDNSサーバのパッチ適用や設定変更を!〜IPA、“キャッシュポイズニング”に再度の注意喚起
2008年12月20日(土) 00時50分
DNSキャッシュポイズニング脆弱性の届出件数と対策状況
DNSキャッシュポイズニングの脅威例(Webサイトの場合)
不適切な設定のDNSサーバを悪用する攻撃
DNSサーバのセキュリティ対策
《冨岡晶》
注目ニュース
情報処理推進機構(IPA)は15日、「漏れたら大変!個人情報」のページを公開した。
VASCO Data Security Japanは10日、同社のセキュリティソリューション「Identikey Server」において、SaaS環境でのワンタイムパスワードによる二要素認証が可能と...
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は2日、2008年11月のコンピュータウイルス・不正アクセスの届出状況について発表した。
日本インターネットプロバイダー協会(JAIPA)ほか7団体は1日、「Eメール・ウェブ適正利用推進協議会」(EWPC:Email Web Proper use promortion consortiu...
独立行政法人 情報処理推進機構(IPA)は5日、2008年10月のコンピュータウイルス・不正アクセスの届出状況について公表した。
インターネットイニシアティブ(IIJ)は29日、同社の「エンタープライズダイアルアップIPサービス」のFOMAパケットオプションがNTTドコモの定額データプランに対応したことを公表した。
独立行政法人情報処理推進機構(IPA)は17日、優れたオープンソースソフトウェア(OSS)の開発者やOSSの普及に貢献した人物を表彰する「2008年度日本OSS貢献者賞」の受賞者を発表した。
情報処理推進機構(IPA)は2日、オークションサイトなどのアカウントの不正利用を回避するために、パスワードの作成・管理に注意を呼びかけた。
米iPassは24日、2008年度前期の世界のビジネスユーザーによる公衆無線LANの利用動向と2008年第2四半期における米国内のモバイルデータ利用動向を示す「iPass Mobile Broadb...
情報処理推進機構(IPA)は18日、DNSサーバに対するDNSキャッシュポイズニングの疑いの届出が激増している現状をうけて、DNSサーバのパッチ適用や設定変更をあらためて呼びかけ、注意喚起を行った。
情報処理推進機構(IPA)は9日、2008年6月から8月までの3か月連続でワンクリック不正請求に関する相談件数が最多件数を更新し続けている事態をうけて、ワンクリック不正請求を中心とした有害サイトの状...
情報処理推進機構(IPA)は2日、心当たりのないメールは興味本位で開かずにすぐ捨てるよう呼びかけを行った。
オリンパスイメージングは26日、叩いて操作する「トントン操作」機能を搭載したコンパクトデジタルカメラ「μ 1050SW(ショック&ウォータープルーフ)」シリーズを発表した。予想実売価格は40,000円...
ニコンは、同社製デジタル一眼レフカメラ「D3」が、欧州カメラ業界団体「EISA」の「EISA アワード」において「EISA アワード ヨーロピアン プロフェッショナル カメラ オブ ザ イヤー 20...
米アイパス・インクとインターネットイニシアティブ(IIJ)は13日、高速モバイルデータ通信サービスの提供においてパートナー契約を締結し業務提携したことを発表した。
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は7日に、夏休み前のセキュリティ対策確認を呼びかける文書を発表した。
情報処理推進機構(IPA)は4日、2008年7月のコンピュータウイルス・不正アクセスの届け出状況のまとめを発表した。
日立製作所は、5年間でデータセンターの消費電力を最大50%削減するというプロジェクト「CoolCenter50」を進めている。「日立 uVALUEコンベンション2008」では、数多くの機器やソフトウ...
