人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

DNS情報の書き換えはどの程度やりやすいのか?

http://www.torchlight.co.jp/news/2014/info_20141202_01.html
こんな情報がありましたが、これは氷山の一角で、海面下ではもっと多くの個人的なDNS情報の書き換えがされていると思うのですが、このような攻撃手法はもうメジャーなものなのでしょうか?攻撃手法の概要が書かれているページと、その防ぎ方を教えていただければ。よろしくお願いいたします。

●質問者: 匿名質問者
●カテゴリ:インターネット
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● 匿名回答1号
ベストアンサー

これは氷山の一角で、海面下ではもっと多くの個人的なDNS情報の書き換えがされていると思うのですが、このような攻撃手法はもうメジャーなものなのでしょうか?

DNS のレジストラが狙われて、DNS 情報を変更して罠サイトへ誘導する、という「手口」は増えてきていて、IPA も注意喚起をしています。

登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起

何か具体的な攻撃手法があって、というよりは、レジストラ(お名前.com のようなドメイン取得に使う業者)が狙われている、という話です。

大昔は、業者との直接やりとりして、何か変更する時は「これでお願いします」みたいなやりとりがあったのですが、今は、Web 上で申込ができて、情報変更もレジストラが用意した Web の管理画面でできるようになったので、第3者がその管理画面にたどり着けるかどうかが勝負です。

まぁ、中にはレジストラ側の問題もあると思いますが、ユーザサイドでできる事は、管理画面を利用するための認証情報を守る、という話になります。つまり、一般的な Web サービスを利用する上での注意点と、何ら変わるところはありません。

あと、上記のページにも書かれていますが、自分の持っているドメインの whois 情報を定期的に取得して、意図しない変更が起きていないかを監視し、迅速な対応が取れるように準備する、というのもあります。


匿名質問者さんのコメント
回答ありがとうございます。大昔の時は、管理画面までたどり着く必要があったのですね。ネットに関しては私は初心者なのでよくわからないところもあるのですが、TCP/UDPパケットを都合のよいタイミングで送りつけて書き換えをしているのでしょうか?また、有名なプロバイダのDNSサーバーは安全といえるでしょうか?追加の質問ですが、お答えいただければ幸いです。

匿名回答1号さんのコメント
>> TCP/UDPパケットを都合のよいタイミングで送りつけて書き換えをしているのでしょうか? << おそらく、DNS キャッシュポイズニングのことを言われていると思いますが、その攻撃は、例えば、ISP がユーザ向けに提供している DNS サーバに対して、本来の DNS 情報とは違う情報を一時的に覚えこませる、という攻撃方法で、その DNS サーバを利用しているひとだけが、別のサイトへ誘導されます。 質問文にあったケースや、回答に書いたケースは、ドメイン名に関する登録情報を、本来のドメインの所有者になりすまして変更してしまう、という話なので、テクニカルなことはほとんど無いです。 DNS サーバの種類として、権威サーバとキャッシュサーバの2種類があって、前者は、特定のドメインに関する情報を持っているサーバ、後者は、クライアントからの問い合わせに対応するためのサーバになります。キャッシュポイズニングは後者のタイプの DNS サーバに対する攻撃で、質問文にあった話は、権威サーバに関する情報を、第3者がなりすまして変更してしまう、という話になります。 >> また、有名なプロバイダのDNSサーバーは安全といえるでしょうか? << プロバイダの DNS サーバ、というのは、契約者のクライアントが問い合わせるためのキャッシュサーバになるので、当初の質問にあった攻撃とは全く無関係です。 逆に、キャッシュポイズニングの攻撃対象になるのですが、大手プロバイダのキャッシュサーバで問題が発生することは考えづらいです。むしろ、「この DNS サーバに変えると、ネットが早くなる」みたいなものは、どんな人が運営しているか分からない場合もあり、危険な行為です。

匿名質問者さんのコメント
回答ありがとうございます。返答コメントで内容を消化できたような感じがします。権威サーバの情報の書き換えは、web上で書類を届けて、それが受理されないと起きないんですね。つまり届け出る側のPCを乗っ取らないと無理である、と…。その点ではATP攻撃なんかが効果的なんでしょうか(攻撃する側としては)。 それで、DNSキャッシュポイズニングが行われるのは権威サーバではなくキャッシュサーバで、権威サーバへのそれと比べて手続きが無い攻撃で?という感じだと把握しました。でも、キャッシュサーバは確か確率的には低いとはいえ一時的には毒入れさせられるんですよね、となれば、その「一時的」に宛先が変更されたノードに脆弱性があって、たとえばWindowsUpdateの一斉に開始される時間に合わせてどっと毒入れが試行されて、100あるうち2,3サーバに5分間でもそのままで継続できていれば、相当な数のノードを感染できますよね(違ってたら指摘していただければ…)。で、その中に権威サーバに電子書類を送れる人のPCがあればいつでも権威サーバに?、という感じなのでしょうか。何度も疑問投げかけて申し訳ないのですが、現段階で、 1.キャッシュサーバに毒入れが成功する確率はどの程度か? 2.権威サーバの情報書き換えはどのように行っているのか? 3.キャッシュサーバの情報書き換えが発覚した際、元に戻すまでにどれぐらいの時間(ロス)を要するのか この辺りよく知らないので教えていただければ…(あるいは他の方から回答をいただければ)と思います。 http://www.e-ontap.com/blog/20140617.html ここのページを読んでからネットにはプライバシーなど存在しないと思っていて、その確信を深めたいと思っています。とりあえず私はOCNのDNSサーバを参照するようにしているのですが、ここのキャッシュサーバの情報書き換え・改ざんがあれば、OCNさんはそれをちゃんと「キャッシュポイズニングがありました」と公表してくれるのでしょうか?ちょっとパラノイア的な感じの再質問ですが、キャッシュサーバに対する攻撃、とそれに対する防御策について、教えていただければ幸いです。

匿名質問者さんのコメント
追記です。質問の2.ですが、情報書き換え(というか改ざん)は正規管理者ではなく攻撃者がするにはどうやって行うのか?という意味です。

匿名回答1号さんのコメント
>> つまり届け出る側のPCを乗っ取らないと無理である、と…。 << それも一つの手ですが、ターゲットのドメインを選ばない(とりあえず、どんなドメインでも良い)なら、いわゆるリスト型攻撃で、レジストラの Web 管理画面へのログインをトライする、ということもあると思います。 >> たとえばWindowsUpdateの一斉に開始される時間に合わせてどっと毒入れが試行されて、100あるうち2,3サーバに5分間でもそのままで継続できていれば、相当な数のノードを感染できますよね << 毒入れに成功すれば、確かに、そうなりますが、Windows Update だけ(Linux だと yum や apt でのアップデートも同様)の事を考えれば、ダウンロードしたファイルに電子署名されているので、毒入れだけではムリです。 >> 1.キャッシュサーバに毒入れが成功する確率はどの程度か? << 下記のページにその計算式とグラフがあります。 http://www.atmarkit.co.jp/ait/articles/0809/18/news152_3.html このグラフだけを見ると衝撃的に成功率が高く見えますが、式中の「Port」が1の場合です。古い DNS サーバで、パケットの送信ポート(宛先ポートではありません)を固定しているケースがあり、それだと簡単に成功してしまいます。きちんと DNS サーバを更新していれば、この確率は約 65000 分の 1 まで下がります。 >> 2.権威サーバの情報書き換えはどのように行っているのか? << 最初の方にも書きましたが、対象ドメインを決めない場合なら、リスト型攻撃用のリストを取得して、例えば、お名前.com の管理画面に対してログインを試みる、という事が多い気がします。 ターゲットがあるなら、フィッシング用のメールを送りつけて、偽サイトに入力させるか、マルウェアに感染させるのが多いでしょう。 DNS での話では無いですが、技術評論社のサイトが、さくらインターネットの VPS を使っていて、そのコンソールにアクセスするためのアカウント、パスワードがフィッシングサイトで抜かれて、という事件がありました。 http://d.hatena.ne.jp/Kango/20141206/1417858727 >> 3.キャッシュサーバの情報書き換えが発覚した際、元に戻すまでにどれぐらいの時間(ロス)を要するのか << キャッシュポイゾニングの状態を解消するのは、ものすごく単純な対処としては、DNS サーバを再起動するだけです。 実際に ISP が提供している DNS サーバがどんな構成をしていて、どんな対策をしているのか分かりませんが、近頃は IP53B と言って、キャッシュサーバへの問い合わせを契約者以外から受け付けないような対策もあります。こうすると、もし、キャッシュポイズニングを仕掛けられるとすれば、契約者の中に犯人があることになり、比較的、発見しやすいとは思います。 >> OCNさんはそれをちゃんと「キャッシュポイズニングがありました」と公表してくれるのでしょうか? << 監視体制と公開フロー次第なので、さすがに中の人じゃないと分からないです...。

匿名質問者さんのコメント
詳細に渡る回答ありがとうございます、とても納得できました。一刻も早くこの問題が解消されるよう、古いDNSサーバを使っている業者さん達の資金力が上がることを思うばかりです。。長くなりましたのでこの辺で〆たいと思います。匿名回答さん、ありがとうございました。
関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ