セキュリティのトピックス-PR-

「原因はDNSの書き換え?悪質なサイトへ誘導される」---米SANS Institute

2005/03/07
勝村幸博

 米SANS Instituteは米国時間3月4日,「悪質なWebサイトへ勝手にリダイレクトされる」という報告を複数のユーザーから受けたことを公表した。DNSサーバーの情報を勝手に書き換える「DNSポイズニング攻撃」が原因とみられている。現在では,問題は解消している模様。

 SANS Instituteが公開する日誌「Handler's Diary」の3月4日付けの情報によると,「google.comやebay.com,weather.comといった有名サイトへアクセスしようとすると,いくつかの悪質なサイトへ勝手にリダイレクトされる」といった報告が複数のユーザー(サイト)から寄せられたという。

 リダイレクト先のサイトは,「ABX toolbar」と呼ばれるスパイウエアを勝手にインストールしようとする。インストールにはActiveXコントロールを利用するので,ActiveXコントロールに対応していないブラウザや,デフォルト設定のWindows XP SP2環境では,勝手にインストールされる恐れはなかった。

 悪質なサイトへリダイレクトされた原因として,SANS InstituteではDNSポイズニング攻撃を挙げている。同攻撃が広範にわたって行われたため,多くのユーザーが影響を受けたとする。

 DNSポイズニング攻撃とは,DNSサーバーに虚偽の情報をキャッシュさせて,偽のIPアドレスを返す攻撃。これにより,ユーザーが指定したサイトとは異なるWebサイトへ誘導できる。具体的には,例えばgoogle.comのAレコードに悪質なサイトのIPアドレスを登録しておく。こうすれば,ユーザーが正しいURLをブラウザに直接入力しても,悪質なサイトへアクセスさせられる。

 SANS Instituteでは,DNSポイズニング攻撃を許す原因の一つとして,DNSサーバーのセキュリティ・ホールを挙げる。例えば,米SymantecのGateway Securityや Enterprise FirewallなどのDNSサーバー機能には,DNS(キャッシュ)ポイズニング攻撃を許すセキュリティ・ホールが2004年6月に見つかっている。同製品に限らず,DNSサーバーの管理者は,そのセキュリティを改めて確認したい。

 なお,今回のDNSポイズニング攻撃では,なりすましなどは行っていない。なりすましとDNSポイズニング攻撃を組み合わせた,いわゆる「ファーミング」ではなかった(関連記事)。悪質なサイトへリダイレクトされれば,ユーザーはすぐに気付く状態だった。SANS Instituteでは翌3月5日の「Handler's Diary」において,ファーミングの危険性を警告している。

◎参考資料
Global DNS cache poisoning attack?; Update...
Pharming and Phishing Attack; Mailbag
Symantec Gateway Security 製品にDNS キャッシュ・ポイゾニングの脆弱性

(勝村 幸博=IT Pro)

今週のトピックス-PR-

この記事に対するfacebookコメント

nikkeibpITpro

▲ ページトップ

CIO Computerworld

Twitterもチェック

執筆者一覧

イベントINFO -PR-

最新号

注目の書籍

好評発売中!

IT業界徹底研究 就職ガイド2016年版

IT/通信業界の動向・企業・職種・仕事の魅力がこれ一冊でわかる就活必携の1冊です。