インターネットを安心して利用できるのは,前提としてネットワーク・インフラが健全な状態にあると考えているためである。例えばIPアドレスやドメイン名だ。メールもWebも,IPアドレスやURLが偽りでないと考えるから利用できる。
ところが,こうした前提を崩しかねない,ネットワーク・インフラに直接ダメージを与える攻撃がじわじわと増えている。代表例が,ユーザーが運用するDNSサーバーのぜい弱性を突いて偽のドメイン名情報を記憶させる「DNSキャッシュ・ポイズニング(汚染)」だ。7月には新しいDNSキャッシュ・ポイズニングの攻撃手法が見付かり,短期間のうちにわき出すように攻撃コードが登場。インターネット接続事業者(ISP)やソフトウエア・ベンダーに衝撃を与えた。
新たに見付かったDNSキャッシュ・ポイズニングの攻撃手法は,ダン・カミンスキー氏が発見・リークしたもので,従来の同攻撃手法よりも効率よく攻撃でき,しかも成功率が高い。頻繁に実行されると,インターネットは信頼できないものになってしまう。
脅威を増幅させる攻撃コード
今回報告されたぜい弱性に関して懸念する点の一つは,攻撃再現ツールが既にいくつも公開されていることである。特に,セキュリティ検証用として著名な攻撃ツール「Metasploit」のモジュールに追加されたことはインパクトが大きい。これらの攻撃ツールにより,攻撃者は容易に標的ユーザーが利用するDNSサーバーに偽情報を持たせ,攻撃用サーバーに誘導できる。
図1は攻撃コードを実行し,DNSのキャッシュに埋め込む偽サーバーのIPアドレスなどを設定している様子。itunes.comの偽サーバーを想定している。攻撃者はこのコードを使って,狙ったユーザーのDNSに本来のitunes.comのものとは異なるIPアドレスをキャッシュさせる。攻撃が成功すると,攻撃者はitunes.comを装ってiTunesのアップデート通知などの偽情報を送る。ユーザーがアップデートだと思ってクリックするとagent.exeがダウンロードされてしまう。
一般に,ぜい弱性のメカニズムと攻撃手順が具体的になると攻撃ツールが作成される。その攻撃成功率が高いと,それらのツールはボットネットや連鎖型攻撃,標的型攻撃といった影響の大きな攻撃に悪用される可能性が高まる。今回見付かったDNSキャッシュ・ポイズニングの攻撃手法は,まさにそういう危険をはらんでいるのである。