http://www.torchlight.co.jp/news/2014/info_20141202_01.html
こんな情報がありましたが、これは氷山の一角で、海面下ではもっと多くの個人的なDNS情報の書き換えがされていると思うのですが、このような攻撃手法はもうメジャーなものなのでしょうか?攻撃手法の概要が書かれているページと、その防ぎ方を教えていただければ。よろしくお願いいたします。
これは氷山の一角で、海面下ではもっと多くの個人的なDNS情報の書き換えがされていると思うのですが、このような攻撃手法はもうメジャーなものなのでしょうか?
DNS のレジストラが狙われて、DNS 情報を変更して罠サイトへ誘導する、という「手口」は増えてきていて、IPA も注意喚起をしています。
登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起
何か具体的な攻撃手法があって、というよりは、レジストラ(お名前.com のようなドメイン取得に使う業者)が狙われている、という話です。
大昔は、業者との直接やりとりして、何か変更する時は「これでお願いします」みたいなやりとりがあったのですが、今は、Web 上で申込ができて、情報変更もレジストラが用意した Web の管理画面でできるようになったので、第3者がその管理画面にたどり着けるかどうかが勝負です。
まぁ、中にはレジストラ側の問題もあると思いますが、ユーザサイドでできる事は、管理画面を利用するための認証情報を守る、という話になります。つまり、一般的な Web サービスを利用する上での注意点と、何ら変わるところはありません。
あと、上記のページにも書かれていますが、自分の持っているドメインの whois 情報を定期的に取得して、意図しない変更が起きていないかを監視し、迅速な対応が取れるように準備する、というのもあります。
それも一つの手ですが、ターゲットのドメインを選ばない(とりあえず、どんなドメインでも良い)なら、いわゆるリスト型攻撃で、レジストラの Web 管理画面へのログインをトライする、ということもあると思います。
毒入れに成功すれば、確かに、そうなりますが、Windows Update だけ(Linux だと yum や apt でのアップデートも同様)の事を考えれば、ダウンロードしたファイルに電子署名されているので、毒入れだけではムリです。
下記のページにその計算式とグラフがあります。
http://www.atmarkit.co.jp/ait/articles/0809/18/news152_3.html
このグラフだけを見ると衝撃的に成功率が高く見えますが、式中の「Port」が1の場合です。古い DNS サーバで、パケットの送信ポート(宛先ポートではありません)を固定しているケースがあり、それだと簡単に成功してしまいます。きちんと DNS サーバを更新していれば、この確率は約 65000 分の 1 まで下がります。
最初の方にも書きましたが、対象ドメインを決めない場合なら、リスト型攻撃用のリストを取得して、例えば、お名前.com の管理画面に対してログインを試みる、という事が多い気がします。
ターゲットがあるなら、フィッシング用のメールを送りつけて、偽サイトに入力させるか、マルウェアに感染させるのが多いでしょう。
DNS での話では無いですが、技術評論社のサイトが、さくらインターネットの VPS を使っていて、そのコンソールにアクセスするためのアカウント、パスワードがフィッシングサイトで抜かれて、という事件がありました。
http://d.hatena.ne.jp/Kango/20141206/1417858727
キャッシュポイゾニングの状態を解消するのは、ものすごく単純な対処としては、DNS サーバを再起動するだけです。
実際に ISP が提供している DNS サーバがどんな構成をしていて、どんな対策をしているのか分かりませんが、近頃は IP53B と言って、キャッシュサーバへの問い合わせを契約者以外から受け付けないような対策もあります。こうすると、もし、キャッシュポイズニングを仕掛けられるとすれば、契約者の中に犯人があることになり、比較的、発見しやすいとは思います。
監視体制と公開フロー次第なので、さすがに中の人じゃないと分からないです...。
2014/12/21 09:08:01詳細に渡る回答ありがとうございます、とても納得できました。一刻も早くこの問題が解消されるよう、古いDNSサーバを使っている業者さん達の資金力が上がることを思うばかりです。。長くなりましたのでこの辺で〆たいと思います。匿名回答さん、ありがとうございました。
2014/12/21 17:28:32