« 毛髪クリニックリーブ21 公式WEBサイトが不正アクセスにより改ざん | トップページ | Google Docs ユーザーを狙ったフィッシングメールに注意 »

「DNSキャッシュポイズニング」攻撃の危険性増加に伴う DNS サーバーの設定再確認の呼びかけ

「DNSキャッシュポイズニング」攻撃の危険性増加に伴う DNS サーバーの設定再確認の呼びかけ

日本の大手ISPにおいてカミンスキー型攻撃手法によるものと考えられるキャッシュDNSサーバーへのアクセスが増加しているとの報告が JPRS にあったようです。
DNSキャッシュポインズニングとは、キャッシュDNSサーバに偽の応答を外部から注入することで利用者のアクセスを偽サイトに誘導し、フィッシングや電子メールの盗難などを図る攻撃手法の一つです。2008年7月に発表された「カミンスキー型攻撃手法(http://www.atmarkit.co.jp/ait/articles/0809/18/news152.html)」を使うことで、キャッシュポイズニング攻撃の成功率を高めることができるため、攻撃に対する危険性が高くなっている。

また、最近騒ぎになっている OpenSSL Heartbleed bug で取得したサーバ証明書の秘密鍵を使ってフィッシングサイトを作成。作成したフィッシングサイトにDNSキャッシュポインズニング攻撃で誘導するなどの攻撃が発生することも考えられる。この場合、フィッシングサイトに誘導されたユーザーが、偽サイトであることに気づくことはかなり難しい。

さらに、4/15 新たなDNSキャッシュポイズニングの手法も公開されている。

インターノット崩壊論者の独り言 - 開いたパンドラの箱 - 長年放置されてきた DNS の恐るべき欠陥が明らかに
http://www.e-ontap.com/blog/20140415.html

キャッシュポイズニングの開いたパンドラの箱
http://www.e-ontap.com/dns/endofdns.html

DNS/毒盛 - moin.qmail.jp
https://moin.qmail.jp/DNS/%E6%AF%92%E7%9B%9B

委任インジェクション攻撃 (Müeller手法の適用範囲拡大)

事前に NS のキャッシュがないか容易に上書きでき、本物の応答に邪魔されないノードが危険である

移転インジェクション攻撃: RFC2181 5.4.1 "Ranking data" の欠陥

委譲元から得た最低ランクの NS キャッシュを、偽権威の Answer に付随する Authority Section の NS で上書きして毒入れすることができ、そのゾーンを自由にできる。

上位DNSからの正規の回答が優先されるべきなのに、RFC2181では 下位DNSの回答が優先される仕様になっている。このため、毒入れしたい偽の回答が優先されてしまうとのこと。


DNS の仕組みや具体的な設定を知りたい方は JPRS が出している「実践DNS DNSSEC時代のDNSの設定と運用」を読んでみると良いと思います。 

【楽天ブックスならいつでも送料無料】実践DNS [ 民田雅人 ]

対策方法

DNSキャッシュポイズニングの対策として、DNSサーバのソースポートランダマイゼーションを有効にする方法がある。根本的な対策ではないが、この方法により攻撃の成功確率を約1/65,000程度に下げることができる。

また、対策はオープンではない DNS キャッシュサーバ(特定IPアドレスからのみ許可など)であっても、マルウェアや内部犯行者によって攻撃される恐れがあるため、ソースランダマイゼーションの対策を実施しておいた方が良い。

ソースポートランダマイゼーション設定の確認方法

ソースポートランダマイゼーション設定の有効になっているのか確認する方法

porttest.dns-oarc.net -- Check your resolver's source port behavior
https://www.dns-oarc.net/oarc/services/porttest

Web-based DNS Randomness Test | DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy

上記サイトの「Test My DNS」をクリックすると、診断結果を表示してくれる。結果が「GREATE」であれば、 ソースポートランダマイゼーションが有効であると判断できる。「POOR」や「GOOD」の場合、対策が不十分な可能性があるため、DNSサーバの設定等を見直す必要がある。

以下のように、dig や nslookup コマンドでも確認することが可能となっている。

> nslookup -querytype=TXT -timeout=10 porttest.dns-oarc.net.

関連情報

JPRS、DNSサーバの設定再確認を緊急呼びかけ……「カミンスキー・アタック」が増加 | RBB TODAY

手を変え品を変えて続くDNSキャッシュ「汚染」攻撃 - ITmedia エンタープライズ

SANSはまず第一に、管理下のDNSサーバのキャッシュ情報が汚染されていないか、またシステムがスパイウェアに感染していないかどうかを確認するよう推奨している。

(緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)

キャッシュポイズニングの開いたパンドラの箱 Opened Pandora's box of Cache Poisoning

DNSキャッシュポイズニングの脆弱性に関する注意喚起
http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html



« 毛髪クリニックリーブ21 公式WEBサイトが不正アクセスにより改ざん | トップページ | Google Docs ユーザーを狙ったフィッシングメールに注意 »

セキュリティ事件、サイバー攻撃」カテゴリの記事

記事一覧

スポンサードリンク


Twitter


無料ブログはココログ

ブログ検索