JPRS、連続攻撃が可能なDNSキャッシュポイズニング「カミンスキー・アタック」を警告

エンタープライズその他

2008年9月9日（火） 15時56分

注目記事

　日本レジストリサービスは9日、「DNSキャッシュポイズニング」攻撃の概要と対策を解説するコラム「No.9 新たなるDNSキャッシュポイズニングの脅威〜カミンスキー・アタックの出現〜」を公開した。

　DNSキャッシュポイズニングとは、名前解決処理の効率化を目的として、DNSサーバに一時的に記憶されたIPアドレスや権威DNSサーバ名といった情報（DNSキャッシュ）に偽のデータを記憶させることで、ドメイン名の乗っ取りやフィッシングを図る攻撃。2008年7月にあらたに発見されたDNSキャッシュポイズニングの手法「カミンスキー・アタック」では、攻撃対象の名前と同じドメイン名内の存在しない名前の問い合わせを攻撃目標となるDNSキャッシュサーバに送り、その直後に攻撃者が用意した偽のサーバのIPアドレスに問い合わせを誘導する偽の応答情報をIDを変化させながらDNSキャッシュサーバに大量に送りつける。

　従来型のDNSキャッシュポイズニングでは、ポイズニングが一度失敗した直後に同じ名前に対して即座に再攻撃を仕掛けることは不可能だったが、カミンスキー・アタックでは、問い合わせる名前を毎回変化させることで、攻撃目標となる名前に対する攻撃を連続して繰り返し行えるのが特徴だ。また、一部のDNSサーバの実装では、通常の名前検索で攻撃対象の名前がすでにキャッシュされている場合でも、それを無視する形で偽の情報が上書きされてしまうため、攻撃対象データのTTLの設定値やキャッシュ情報の有無にかかわらず、外部からのDNSキャッシュポイズニングが成立してしまうことがある。

　日本レジストリサービスでは、DNSキャッシュポイズニングへの対策方法として、問い合わせUDPポートのランダム化や適切なアクセスコントロールやフィルタリングの適用、権威DNSサーバは狙われやすいので機能分割と反復検索機能の無効化などを挙げているが、根本的な解決方法として、電子署名によるDNS応答の正当性が確認できるDNSSECの導入を推奨している。ただし、DNSSECの導入にあたって、権威DNSサーバ、DNSキャッシュサーバの両方をすべてDNSSEC対応のものにする必要があるため、DNSSECの普及が大きな課題としている。

《富永ジュン》