DNSキャッシュポイズニングの新たな手法「SAD DNS」、研究者が発見

Steven J. Vaughan-Nichols (ZDNET.com) 翻訳校正: 編集部

2020-11-13 12:39

 2008年に、DNS(Domain Name System)サーバーのキャッシュポイズニングが注目を集めた。ハッカーは、DNSの結果を偽のIP(Internet Protocol)アドレスを用いて欺くことで、ウェブブラウザーを本来の安全なサイトから、マルウェアを埋め込んだ偽サイトに誘導していた。対処策が発見されたおかげで、DNSキャッシュポイズニング攻撃は激減した。しかし、カリフォルニア大学リバーサイド校の研究者らは、脆弱なDNSキャッシュを悪用した新しい攻撃手法の「SAD DNS」を発見した。

 DNSキャッシュポイズニングとは、DNSキャッシュサーバーへのアドレス問い合わせを傍受して、偽のDNSキャッシュに誘導する攻撃のことだ。ウェブブラウザーやインターネットアプリケーションに、悪意のあるIPアドレスを返信して、正しいサイトの代わりに偽サイトに誘導する。そのウェブサイトは、ユーザーのPCをランサムウェアに感染させたり、ユーザー名、パスワード、口座情報などを盗んだりできる。

 防御策として、DNSクエリーIDとDNSリクエストソースポートのランダム化、名前付きエンティティーのDNSベース認証(DANE)、DNSSEC(DNS Security Extension)などがあり、これらによって、DNSキャッシュポイズニングの大部分を防ぐことができる。しかし現状では、十分に導入されていないため、DNSベースの攻撃は依然として起こっている。

 研究者らは、最も人気のあるDNSソフトウェアスタックを対象に実行できる、サイドチャネル攻撃のSAD DNSを発見した。脆弱なプログラムとして、広範に使用されているBINDUnbound、そしてLinux上で動作するdnsmasqなどがある。主たる脆弱性は、DNSサーバーのOSとネットワークが、ICMP(Internet Control Message Protocol)のエラーメッセージを送信できるように設定されている場合だ。

 その仕組みを説明しよう。まず攻撃者は、偽装したIPアドレスと、DNSフォワーダーやリゾルバーからの要求をトリガーできるコンピューターを使用する。フォワーダーやリゾルバーは、DNSリクエストの送信先を特定するためのものだ。例えば、フォワーダー攻撃の場合、学校や図書館の公衆無線ネットワークなど、無線ルーターで管理されているLANに、攻撃者はログインする。Cloudflareの「1.1.1.1」やGoogleの「8.8.8.8」など、パブリックDNSリゾルバーも攻撃できる。

 次に研究者らは、DNSリクエストで使用されているメインチャネルと関連しているが、外部にあるネットワークチャネルを使用した。そして、正しいソースポート番号を突き止めるまで、チャネルを開いた状態にして、毎秒1000件の推測を実行した。ランダム化されなくなったソースポート番号に悪意のあるIPアドレスを注入し、DNSキャッシュポイズニング攻撃を成功させた。

 研究者らの調査から、34%を超えるインターネットのオープンリゾルバーに脆弱性があることが分かった。また、最も人気の高い無料のパブリックDNSサービスの85%が攻撃を受ける可能性があるという。

 攻撃に対して無防備であるか知りたい場合、SAD DNSのウェブサイトで手順に従うだけで、簡単に確認できる。

 これらの攻撃を防ぐ方法が幾つかある。実際のところ、既に存在する手法だ。セキュリティ拡張機能のDNSSECは有効だが、十分に導入されていない。比較的新しい「RFC 7873」DNSクッキーを使用しているなら、それも役立つはずだ。

 しかし、最も簡単な緩和策は、ICMPによる応答を完全に無効化することだ。ただこれにより、ネットワークのトラブルシューティング機能や診断機能が失われる可能性がある。

 もう1つの簡単な対策として、DNSクエリーのタイムアウト時間をより厳しく設定することが挙げられる。例えば、1秒未満に設定するとよい。それによってソースポートの存続時間が短くなり、攻撃者が偽の応答を注入する前に消えてしまう。しかし、より多くのクエリーが再送され、全体的なパフォーマンスが低下するかもしれないマイナス面がある。

 どちらの方法を選ぶかはさておき、1つだけはっきりしている。DNSサーバーやDNSフォワーダーを運用しているなら、何らかの対策が必要だ。この攻撃はあまりにも簡単なため、犯罪グループはすぐに悪用するだろう。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]