DNSサーバーのキャッシュの内容を書き換え、不正なサーバーなどに誘導する攻撃手法
インターネット利用者がURLを入力するだけでホームページにアクセスできるしくみは、URLに記載されたドメイン名の「問い合わせ」に対し、該当するホームページのIPアドレスを「返答する」 DNSサーバーの働きによって実現している。
そのDNSサーバーは、問い合わせ内容をキャッシュとして一時的に保有する機能を持ち、利用者からの繰り返しの問い合わせにはキャッシュを使って素早く返答する仕組みを備えている。そのキャッシュに偽りのDNS情報を蓄積させる攻撃を「DNSキャッシュポイズニング」という。キャッシュが汚染されたDNSサーバーは、問い合わせに対して誤った内容を返答するため、DNSサーバーの利用者は気付かぬまま、本来アクセスしたかったIPアドレスとは別のIPアドレスに誘導されてしまう。
その結果として、インターネット利用者が正しいURLを入力しても、偽のDNS情報により、有害サイトといった本来とは異なるサーバー(攻撃者が用意したサーバー)へ誘導される恐れがある。URLを入力して知りたい情報を得られるというインターネットサービスの基本機能のひとつが損なわれてしまうため、インターネットの信頼性に影響する問題とされている。
こうした問題を受け、DNS応答が正規なものかを電子署名にて検証する「DNSSEC」の導入が進められている。
影響
偽のDNS情報によって、なりすましやフィッシング、マルウェア感染サイトなどへの誘導に悪用されたり、メールを盗聴されるといった恐れがある。
また本来アクセスされるはずだったサーバーにとっては、なりすましやWebサーバーへの不正侵入などが発生しするわけではないが、アクセスされなくなることによって事実上サービス不能に陥る可能性が高い。
主な感染/被害の流れ
- 1. DNSサーバーに対する不正アクセス→キャッシュが改ざん→DNSサーバーを参照したクライアントが不正へ誘導
- 2. 権威DNSサーバーの応答前に攻撃者が偽の応答を送信→キャッシュが改ざん→DNSサーバーを参照したクライアントが不正サイトへ誘導
キャッシュを汚染する攻撃としては、DNSサーバーの脆弱性や設定ミスを突いたり、DNSサーバーの実装やプロトコルの弱点を利用するなど、複数の方法が存在する。
主な対策と注意点
DNSサーバー管理者としての対策
- DNSサーバーにおける脆弱性の解消
- ポートのランダム化やキャッシュ有効期間など設定の見直し
- DNSSECの導入
インターネット利用者として対策
- 正規のSSL証明書による真偽の確認
- 攻撃を受けた場合に備え、マルウェア対策などの徹底
DNSサーバーを管理する際は、脆弱性の有無や攻撃を受けやすい設定になっていないか見直すことが重要。また他のDNS情報の改ざんを見抜くことは非常に難しく、攻撃を受けても被害に合わないよう、脆弱性を修正したり、アンチウイルス製品(ウイルス対策ソフト)を最新にするなど、基本的なセキュリティ対策を徹底しておく必要がある。
