匿名質問者
匿名質問者匿名質問者とは「匿名質問」を利用して質問した質問者。
「匿名質問」では、ユーザー名を公開せずに匿名の質問ができます。
詳しくはこちら

DNS情報の書き換えはどの程度やりやすいのか?


http://www.torchlight.co.jp/news/2014/info_20141202_01.html
こんな情報がありましたが、これは氷山の一角で、海面下ではもっと多くの個人的なDNS情報の書き換えがされていると思うのですが、このような攻撃手法はもうメジャーなものなのでしょうか?攻撃手法の概要が書かれているページと、その防ぎ方を教えていただければ。よろしくお願いいたします。

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2014/12/19 23:17:39
  • 終了:2014/12/21 17:28:38

ベストアンサー

匿名回答1号 No.1

匿名回答1号「匿名質問」を利用した質問に回答すると「匿名回答○号」と匿名で表示されます。
「匿名質問」では、ユーザー名を公開せずに匿名の質問ができます。
詳しくはこちら
2014/12/19 23:41:42

これは氷山の一角で、海面下ではもっと多くの個人的なDNS情報の書き換えがされていると思うのですが、このような攻撃手法はもうメジャーなものなのでしょうか?

DNS のレジストラが狙われて、DNS 情報を変更して罠サイトへ誘導する、という「手口」は増えてきていて、IPA も注意喚起をしています。

登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起

何か具体的な攻撃手法があって、というよりは、レジストラ(お名前.com のようなドメイン取得に使う業者)が狙われている、という話です。

大昔は、業者との直接やりとりして、何か変更する時は「これでお願いします」みたいなやりとりがあったのですが、今は、Web 上で申込ができて、情報変更もレジストラが用意した Web の管理画面でできるようになったので、第3者がその管理画面にたどり着けるかどうかが勝負です。

まぁ、中にはレジストラ側の問題もあると思いますが、ユーザサイドでできる事は、管理画面を利用するための認証情報を守る、という話になります。つまり、一般的な Web サービスを利用する上での注意点と、何ら変わるところはありません。

あと、上記のページにも書かれていますが、自分の持っているドメインの whois 情報を定期的に取得して、意図しない変更が起きていないかを監視し、迅速な対応が取れるように準備する、というのもあります。

他4件のコメントを見る
匿名回答1号

つまり届け出る側のPCを乗っ取らないと無理である、と…。

それも一つの手ですが、ターゲットのドメインを選ばない(とりあえず、どんなドメインでも良い)なら、いわゆるリスト型攻撃で、レジストラの Web 管理画面へのログインをトライする、ということもあると思います。

たとえばWindowsUpdateの一斉に開始される時間に合わせてどっと毒入れが試行されて、100あるうち2,3サーバに5分間でもそのままで継続できていれば、相当な数のノードを感染できますよね

毒入れに成功すれば、確かに、そうなりますが、Windows Update だけ(Linux だと yum や apt でのアップデートも同様)の事を考えれば、ダウンロードしたファイルに電子署名されているので、毒入れだけではムリです。

1.キャッシュサーバに毒入れが成功する確率はどの程度か?

下記のページにその計算式とグラフがあります。
http://www.atmarkit.co.jp/ait/articles/0809/18/news152_3.html
このグラフだけを見ると衝撃的に成功率が高く見えますが、式中の「Port」が1の場合です。古い DNS サーバで、パケットの送信ポート(宛先ポートではありません)を固定しているケースがあり、それだと簡単に成功してしまいます。きちんと DNS サーバを更新していれば、この確率は約 65000 分の 1 まで下がります。

2.権威サーバの情報書き換えはどのように行っているのか?

最初の方にも書きましたが、対象ドメインを決めない場合なら、リスト型攻撃用のリストを取得して、例えば、お名前.com の管理画面に対してログインを試みる、という事が多い気がします。

ターゲットがあるなら、フィッシング用のメールを送りつけて、偽サイトに入力させるか、マルウェアに感染させるのが多いでしょう。

DNS での話では無いですが、技術評論社のサイトが、さくらインターネットの VPS を使っていて、そのコンソールにアクセスするためのアカウント、パスワードがフィッシングサイトで抜かれて、という事件がありました。

http://d.hatena.ne.jp/Kango/20141206/1417858727

3.キャッシュサーバの情報書き換えが発覚した際、元に戻すまでにどれぐらいの時間(ロス)を要するのか

キャッシュポイゾニングの状態を解消するのは、ものすごく単純な対処としては、DNS サーバを再起動するだけです。

実際に ISP が提供している DNS サーバがどんな構成をしていて、どんな対策をしているのか分かりませんが、近頃は IP53B と言って、キャッシュサーバへの問い合わせを契約者以外から受け付けないような対策もあります。こうすると、もし、キャッシュポイズニングを仕掛けられるとすれば、契約者の中に犯人があることになり、比較的、発見しやすいとは思います。

OCNさんはそれをちゃんと「キャッシュポイズニングがありました」と公表してくれるのでしょうか?

監視体制と公開フロー次第なので、さすがに中の人じゃないと分からないです...。

2014/12/21 09:08:01
匿名質問者

詳細に渡る回答ありがとうございます、とても納得できました。一刻も早くこの問題が解消されるよう、古いDNSサーバを使っている業者さん達の資金力が上がることを思うばかりです。。長くなりましたのでこの辺で〆たいと思います。匿名回答さん、ありがとうございました。

2014/12/21 17:28:32

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません